Édition

Forum aux questions (FAQ) sur Microsoft Entra ID Protection

  • FAQ

Faire disparaître les problèmes connus liés aux risques de l’utilisateur

Ignorer les risques utilisateur dans la Protection des ID Microsoft Entra définit l’acteur dans l’historique des risques utilisateur de la protection des ID sur le <nom de l’administrateur avec un lien hypertexte pointant vers le panneau de l’utilisateur>.

Un problème connu entraîne de la latence dans le flux de rejet des risques liés à l’utilisateur. Si vous disposez d’une Stratégie de risque utilisateur, celle-ci cessera de s’appliquer aux utilisateurs ignorés quelques minutes après un clic sur Ignorer le risque lié à l’utilisateur. Cela dit, des retards d'actualisation de l'« état de risque » des utilisateurs ignorés ont été identifiés. Pour contourner ce problème, actualisez la page au niveau du navigateur afin d’afficher le dernier État de risque de l’utilisateur.

Forum aux questions

Pourquoi un utilisateur est-il à risque ?

L’article Guide pratique pour examiner les risques fournit une explication de la raison pour laquelle un utilisateur est à risque et comment examiner plus en détail.

Pourquoi ma connexion est-elle bloquée, mais la protection des ID n’a-t-elle pas généré de détection des risques ?

Les connexions peuvent être bloquées pour plusieurs raisons. Il est important de noter que la protection des ID génère uniquement des détections de risques quand les identifiants appropriés sont utilisés dans la requête d’authentification. Si un utilisateur utilise des identifiants incorrects, il n’est pas signalé par la protection des ID, car il n’existe aucun risque de compromission des identifiants, sauf si une personne malveillante utilise les identifiants appropriés. Voici certaines raisons pour lesquelles la protection des ID ne génère pas de détection pour un utilisateur bloqué :

  • L’adresse IP peut être bloquée en raison d’une activité malveillante à partir de l’adresse IP. Le message de blocage de l’IP ne permet pas de différencier si les informations d’identification étaient correctes ou non. Si l’IP est bloquée et si les identifiants appropriés ne sont pas utilisés, la protection des ID n’effectue aucune détection.
  • Le verrouillage intelligent peut empêcher la connexion du compte après plusieurs tentatives ayant échoué.
  • Une stratégie d’accès conditionnel peut être appliquée et peut utiliser d’autres conditions que le niveau de risque pour bloquer une requête d’authentification.

Comment puis-je obtenir un rapport sur les détections d’un type spécifique ?

Accédez à la vue de détection des risques et filtrez par Type de détection. Vous pouvez ensuite télécharger ce rapport au format .CSV ou .JSON à l’aide du bouton Télécharger au sommet. Pour plus d’informations, consultez l’article Guide pratique : Examiner les risques.

Pourquoi ne puis-je pas définir mes propres niveaux de risque pour chaque détection de risque ?

Les niveaux de risque dans la protection des ID sont basés sur la précision de la détection et développés par notre apprentissage automatique supervisé. Pour personnaliser l’expérience présentée aux utilisateurs, les administrateurs peuvent configurer des stratégies d’accès conditionnel basées sur les risques.

Pourquoi l’emplacement d’une connexion ne correspond pas à l’emplacement à partir duquel l’utilisateur s’est réellement connecté ?

Le mappage de géolocalisation IP est un défi à l’échelle du secteur. Si vous pensez que l’emplacement listé dans le rapport de connexions ne correspond pas à l’emplacement réel, contactez le Support Microsoft.

Comment puis-je fermer des détections de risque spécifiques comme je le faisais dans l’ancienne interface utilisateur ?

Vous pouvez envoyer des commentaires sur les détections des risques en confirmant que la connexion liée est compromise ou sécurisée. Les commentaires fournis sur la connexion sont transmis à toutes les détections effectuées sur cette connexion. Si vous souhaitez fermer les détections qui ne sont pas liées à une connexion, vous pouvez fournir ces commentaires au niveau de l’utilisateur. Pour plus d’informations, consultez l’article Comment donner des commentaires sur les risques dans Microsoft Entra ID Protection.

Jusqu’à quel point puis-je revenir en arrière pour comprendre ce qui se passe avec mon utilisateur ?

  • La vue des utilisateurs à risque montre les risques d’un utilisateur en fonction de l’ensemble des connexions passées.
  • La vue Connexions risquées affiche les signes de risque au cours des 30 derniers jours.
  • La vue Détections de risques affiche les détections de risques effectuées au cours des 90 derniers jours.

Comment puis-je en savoir plus sur une détection spécifique ?

Toutes les détections de risques sont documentées dans l’article Qu’est-ce que le risque. Vous pouvez pointer sur le symbole (i) à côté de la détection pour en savoir plus sur une détection.

Comment les mécanismes de retour d’expérience fonctionnent-ils dans la protection des ID ?

Confirmer la compromission (au moment de la connexion) - Informe la Protection des ID Microsoft Entra que la connexion n’a pas été effectuée par le propriétaire de l’identité, et indique que la connexion a été compromise.

  • Lors de la réception de ces commentaires, nous définissons le risque de l’utilisateur et de connexion à l’état État compromis confirmé et le niveau de risques sur Élevé.

  • Nous fournissons également les informations à nos systèmes de Machine Learning dans le but d’améliorations futures de l’évaluation des risques.

    Notes

    Si le problème de l’utilisateur a déjà été corrigé, ne sélectionnez pas Confirmer la compromission, car cela fait passer l’état de risque de la connexion et de l’utilisateur à Confirmer la compromission et le niveau de risque à Élevé.

Confirmer la sécurité (au moment de la connexion) - Informe la Protection des ID Microsoft Entra que la connexion a été effectuée par le propriétaire de l’identité, et n’indique pas l’existence d’une compromission.

  • Lors de la réception de ces commentaires, nous définissons le risque de connexion (et non de l’utilisateur) à l’état Sécurité confirmée et le niveau de risques sur Aucun.

  • Nous fournissons également les informations à nos systèmes de Machine Learning dans le but d’améliorations futures de l’évaluation des risques.

    Notes

    Le fait de confirmer aujourd’hui qu’une connexion est sécurisée n’empêche pas en soi les futures connexions ayant les mêmes propriétés d’être signalées comme risquées. La meilleure façon d’effectuer l’apprentissage du système pour qu’il apprenne les propriétés d’un utilisateur consiste à utiliser la stratégie d’accès conditionnel avec une connexion risquée et ADG. Quand une connexion risquée fait l’objet d’une demande d’authentification MFA et que l’utilisateur répond correctement à cette demande, la connexion réussit et entraîne le système à reconnaître le comportement de l’utilisateur légitime.

    Si vous pensez que l’utilisateur n’est pas compromis, choisissez Ignorer le risque lié à l’utilisateur au niveau de l’utilisateur, à la place de Sécurité confirmée au niveau de la connexion. Ignorer le risque lié à l’utilisateur au niveau de l’utilisateur ferme le risque de l’utilisateur, ainsi que toutes les connexions à risque et toutes les détections de risque antérieures.

Pourquoi un utilisateur avec un faible indice de risque (ou supérieur) s’affiche-t-il même si aucune connexion à risque ni aucune détection de risque n’apparaît dans la protection des ID ?

Dans la mesure où le risque utilisateur est de nature cumulative et qu’il n’expire pas, un utilisateur peut avoir un risque utilisateur faible ou supérieur, même si aucune connexion risquée récente ou aucune détection de risque n’apparaît dans la protection des ID. Cette situation peut se produire si une activité malveillante sur un utilisateur a eu lieu en dehors de la plage de temps pour laquelle nous stockons les détails des connexions à risque et des détections de risque. Nous n’expireons pas les risques des utilisateurs, car les acteurs malveillants sont connus pour rester dans l’environnement des clients pendant de longues périodes avant d’accélérer leur attaque. Les clients peuvent passer en revue la chronologie de risque de l’utilisateur pour comprendre pourquoi un utilisateur est à risque en accédant au Centre d’administration Microsoft Entra > Protection > Protection de l’identité > Utilisateurs à risque > sélectionner un utilisateur à risque > tiroir de détails > onglet Historique des risques. Si vous pensez que l’utilisateur n’est pas compromis, utilisez l’option Ignorer le risque lié à l’utilisateur à travers l’API Graph.

Pourquoi une connexion a-t-elle un indice de « risque de connexion (agrégat) » élevé lorsque les détections qui lui sont associées ont un risque faible ou moyen ?

L’indice de risque d’agrégat élevé peut être basé sur d’autres fonctionnalités de la connexion, ou sur le fait que plusieurs détections ont été déclenchées pour cette connexion. À l’inverse, une connexion peut avoir un risque de connexion (agrégat) moyen même si les détections associées à la connexion sont de risque élevé.

Quelle est la différence entre les détections « Activité depuis une adresse IP anonyme » et « Adresse IP anonyme » ?

La source de la détection « Adresse IP anonyme » est la Protection des ID Microsoft Entra, tandis que la détection « Activité à partir d’une adresse IP anonyme » est intégrée à partir de Microsoft Defender for Cloud Apps. Bien que leurs noms soient similaires et que ces signaux puissent se chevaucher, leurs détections de back-end sont distinctes.