Ignorieren eines Benutzerrisikos – Bekannte Probleme
Über Benutzerrisiko ignorieren in Microsoft Entra ID Protection wird der Akteur im Risikoverlauf des Benutzers in ID Protection auf <Administratorname mit Link zum Blatt des Benutzers> festgelegt.
Derzeit verursacht ein bekanntes Problem Wartezeit beim Ablauf des Schließvorgangs für Benutzerrisiken. Wenn Sie eine Benutzerrisiko-Richtlinie haben, gilt diese Richtlinie nicht mehr für abgelehnte Benutzer, sobald Sie auf Benutzerrisiko ignorieren klicken. Allerdings gibt es bekannte Verzögerungen beim Aktualisieren des „Risikozustands“ von verworfenen Benutzern in der Benutzerumgebung. Aktualisieren Sie als Problemumgehung die Seite im Browser, um den aktuellen Risikozustand eines Benutzers anzuzeigen.
Häufig gestellte Fragen
Warum ist ein Benutzer risikobehaftet?
Der Artikel Gewusst wie: Untersuchen des Risikos enthält eine Erläuterung, warum ein Benutzer gefährdet ist und wie weitere Untersuchungen durchgeführt werden können.
Warum wurde meine Anmeldung blockiert, ohne dass ID Protection eine Risikoerkennung generiert?
Anmeldungen können aus verschiedenen Gründen blockiert werden. Hierbei ist Folgendes wichtig: ID Protection generiert nur dann eine Risikoerkennung, wenn bei der Authentifizierungsanforderung korrekte Anmeldeinformationen verwendet werden. Wenn ein Benutzer falsche Anmeldeinformationen angibt, wird dies von ID Protection nicht gekennzeichnet, da kein Risiko einer Kompromittierung von Anmeldeinformationen besteht. Ein solches entsteht nur, wenn ein böswilliger Akteur die richtigen Informationen verwendet. Folgende Gründe können für die Sperrung eines Benutzers verantwortlich sein, ohne dass eine ID-Protection-Erkennung erfolgt:
- Eine IP-Adresse kann blockiert werden, wenn schädliche Aktivitäten von dieser Adresse erkannt werden. In der Meldung zur Blockierung der IP-Adresse wird nicht unterschieden, ob die Anmeldeinformationen richtig waren oder nicht. Wenn eine IP-Adresse blockiert ist und keine richtigen Anmeldeinformationen verwendet werden, wird keine ID Protection-Erkennung generiert.
- Smart Lockout kann nach mehreren Fehlversuchen die Anmeldung eines Kontos blockieren.
- Es kann eine Richtlinie für bedingten Zugriff in Kraft sein, die andere Bedingungen als Risikostufen verwendet, um eine Authentifizierungsanforderung zu blockieren.
Wie kann ich einen Bericht mit Erkennungen eines bestimmten Typs abrufen?
Wechseln Sie zur Ansicht „Risikoerkennungen“, und filtern Sie nach Erkennungstyp. Anschließend können Sie mithilfe der Schaltfläche Download im oberen Bereich diesen Bericht im CSV- oder JSON-Format herunterladen. Weitere Informationen finden Sie im Artikel Risiken.
Warum kann ich keine eigenen Risikostufen für die einzelnen Risikoerkennungen festlegen?
Die Risikostufen in ID Protection basieren auf der Genauigkeit der Erkennung und werden durch unser überwachtes Machine Learning-System unterstützt. Um anzupassen, welche Benutzeroberfläche Benutzern angezeigt wird, können Administratoren risikobasierte Richtlinien für bedingten Zugriff konfigurieren.
Warum stimmt der Standort für eine Anmeldung nicht mit dem tatsächlichen Standort überein, von dem aus sich der Benutzer angemeldet hat?
Die IP-Zuordnung bei der Geolocation stellt branchenweit eine Herausforderung dar. Wenn der im Anmeldebericht aufgeführte Speicherort nicht mit dem tatsächlichen Speicherort übereinstimmt, wenden Sie sich an den Microsoft-Support.
Wie kann ich bestimmte Risikoerkennungen schließen, wie das auf der alten Benutzeroberfläche möglich war?
Sie können Feedback zu Risikoerkennungen geben, indem Sie die verknüpfte Anmeldung als kompromittiert oder sicher bestätigen. Das Feedback, das Sie für die Anmeldung geben, wird auf alle Erkennungen für diese Anmeldung übertragen. Wenn Sie Erkennungen schließen möchten, die nicht mit einer Anmeldung verknüpft sind, können Sie dieses Feedback auf Benutzerebene bereitstellen. Weitere Informationen finden Sie in diesem Artikel: Senden von Feedback zu Risikoereignissen in Microsoft Entra ID Protection.
Wie weit kann ich zeitlich zurückgehen, um zu verstehen, was mit meinem Benutzer passiert?
- Die Ansicht Risikobenutzer zeigt den Risikostatus eines Benutzers auf Grundlage aller bisherigen Anmeldungen an.
- In der Ansicht Riskante Anmeldungen werden die risikobehafteten Anmeldungen in den letzten 30 Tagen angezeigt.
- Die Ansicht Risikoerkennungen enthält die Risikoerkennungen in den letzten 90 Tagen.
Wie kann ich mehr über eine bestimmte Erkennung erfahren?
Alle Risikoerkennungen sind im Artikel Was bedeutet Risiko? dokumentiert. Sie können mit dem Mauszeiger auf das Symbol (i) neben der Erkennung zeigen, um mehr über eine Erkennung zu erfahren.
Wie funktionieren die Feedbackmechanismen in ID Protection?
Gefährdung bestätigen (bei Anmeldung): Informiert Microsoft Entra ID Protection darüber, dass die Anmeldung nicht vom Identitätsbesitzer durchgeführt wurde und weist auf eine Gefährdung hin.
Nach Erhalt dieses Feedbacks wird der Anmelde- und Benutzerrisikostatus auf Als gefährdet bestätigt und die Risikostufe auf Hoch festgelegt.
Darüber hinaus geben wir die Informationen an unsere Machine Learning-Systeme weiter, um die künftige Risikobewertung zu verbessern.
Hinweis
Wenn für den Benutzer bereits eine Bereinigung durchgeführt wurde, wählen Sie nicht Gefährdung bestätigen aus, weil dadurch der Anmelde- und Benutzerrisikostatus auf Als gefährdet bestätigt und die Risikostufe auf Hoch festgelegt wird.
Sicherheit bestätigen (bei Anmeldung): Informiert Microsoft Entra ID Protection darüber, dass die Anmeldung vom Identitätsbesitzer durchgeführt wurde und weist nicht auf eine Gefährdung hin.
Nach Erhalt dieses Feedbacks werden der Anmelde-(nicht der Benutzer-)Risikostatus auf Als sicher bestätigt und die Risikostufe auf Keine festgelegt.
Darüber hinaus geben wir die Informationen an unsere Machine Learning-Systeme weiter, um die künftige Risikobewertung zu verbessern.
Hinweis
Derzeit reicht die Auswahl von „Sicherheit bestätigen“ bei einer Anmeldung nicht aus, um zu verhindern, dass zukünftige Anmeldungen mit denselben Eigenschaften als riskant gekennzeichnet werden. Die beste Möglichkeit, das System zu trainieren, die Eigenschaften eines Benutzers zu erlernen, ist die Verwendung einer Richtlinie für den bedingten Zugang mit Anmeldungsrisiko und MFA. Wenn eine riskante Anmeldung für MFA angefordert wird und der Benutzer erfolgreich auf die Anforderung antwortet, kann die Anmeldung erfolgreich durchgeführt werden und dazu beitragen, dass das System mit dem Verhalten des legitimen Benutzers trainiert wird.
Wenn Sie davon ausgehen, dass der Benutzer nicht gefährdet ist, verwenden Sie anstelle von Sicherheit bestätigen auf Anmeldeebene die Option Benutzerrisiko ignorieren auf Benutzerebene. Durch Benutzerrisiko verwerfen auf Benutzerebene werden das Benutzerrisiko und alle vergangenen riskanten Anmeldungen und Risikoerkennungen geschlossen.
Warum sehe ich einen Benutzer mit einer niedrigen (oder höheren) Risikobewertung, auch wenn in ID Protection keine riskanten Anmeldungen oder Risikoerkennungen angezeigt werden?
Da das Benutzerrisiko naturgemäß kumulativ zunimmt und nicht abläuft, könnte für einen Benutzer selbst dann ein niedriges oder höheres Benutzerrisiko vorliegen, wenn keine aktuellen riskanten Anmeldungen oder Risikoerkennungen in Identity Protection angezeigt werden. Diese Situation kann eintreten, wenn die einzige schädliche Aktivität für einen Benutzer außerhalb des Zeitraums stattgefunden hat, für den Details zu riskanten Anmeldungen und Risikoerkennungen gespeichert werden. Das Benutzerrisiko läuft nicht ab, da schlechte Akteure bekannt sind, dass sie lange Zeit in der Umgebung der Kunden bleiben, bevor sie ihre Angriffe verstärken. Hier können Kund*innen die Risikozeitachse für eine*n Benutzer*in überprüfen, um die Gründe für ein Benutzerrisiko zu verstehen: Microsoft Entra Admin Center > Schutz > Identitätsschutz > Risikobenutzer.> Wählen Sie einen Risikobenutzer > und dann den Drawer „Details“ > Registerkarte „Risikoverlauf“ aus. Wenn Sie glauben, dass der Benutzer nicht kompromittiert ist, verwenden Sie Benutzerrisiko über Graph API aufheben.
Warum liegt die Bewertung „Hoch“ für „Anmelderisiko (aggregiert)“ vor, wenn die zugehörigen Erkennungen ein niedriges oder mittleres Risiko aufweisen?
Die hohe aggregierte Risikobewertung könnte auf anderen Faktoren der Anmeldung oder darauf basieren, dass für diese Anmeldung mehrere Erkennungen ausgelöst wurden. Umgekehrt könnte die aggregierte Risikobewertung „Mittel“ vorliegen, obwohl die mit der Anmeldung verknüpften Erkennungen ein hohes Risiko aufweisen.
Worin besteht der Unterschied zwischen den Erkennungen „Aktivität über anonyme IP-Adresse“ und „Anonyme IP-Adresse“?
Die Quelle der Erkennung „Anonyme IP-Adresse“ ist Microsoft Entra ID Protection, während die Erkennung „Aktivität über anonyme IP-Adresse“ aus Microsoft Defender for Cloud Apps integriert ist. Auch wenn sich die Namen ähneln und Sie möglicherweise Überschneidungen in diesen Signalen feststellen, beruhen sie auf unterschiedlichen Back-End-Erkennungen.