Badanie ryzyka przy użyciu usługi Identity Protection w Tożsamość zewnętrzna Microsoft Entra
Dotyczy:
Dzierżawcy siły roboczej — dzierżawcy zewnętrzni 
(dowiedz się więcej)
Usługa Microsoft Entra Identity Protection zapewnia ciągłe wykrywanie ryzyka dla dzierżawy zewnętrznej. Umożliwia ona organizacjom odnajdywanie, badanie i korygowanie zagrożeń opartych na tożsamościach. Usługa Identity Protection zawiera raporty o podwyższonym ryzyku, które mogą służyć do badania zagrożeń związanych z tożsamością w dzierżawach zewnętrznych. Z tego artykułu dowiesz się, jak badać i ograniczać ryzyko.
Raportowanie usługi Identity Protection
Usługa Identity Protection udostępnia dwa raporty. Raport Ryzykownych użytkowników to miejsce, w którym administratorzy mogą znaleźć użytkowników zagrożonych i szczegółowe informacje o wykrywaniu. Raport dotyczący wykrywania ryzyka zawiera informacje o każdym wykryciu ryzyka. Ten raport zawiera typ ryzyka, inne czynniki ryzyka wyzwalane w tym samym czasie, lokalizację próby logowania i nie tylko.
Każdy raport jest uruchamiany z listą wszystkich wykryć dla okresu wyświetlanego w górnej części raportu. Raporty można filtrować przy użyciu filtrów w górnej części raportu. Administracja istratorzy mogą pobrać dane lub użyć Interfejs API programu MS Graph i zestaw SDK programu PowerShell programu Microsoft Graph do ciągłego eksportowania danych.
Ograniczenia i zagadnienia dotyczące usługi
Podczas korzystania z usługi Identity Protection należy wziąć pod uwagę następujące kwestie:
- Usługa Identity Protection nie jest dostępna w dzierżawach wersji próbnej.
- Usługa Identity Protection jest domyślnie włączona.
- Usługa Identity Protection jest dostępna zarówno dla tożsamości lokalnych, jak i społecznościowych, takich jak Google lub Facebook. Wykrywanie jest ograniczone, ponieważ zewnętrzny dostawca tożsamości zarządza poświadczeniami konta społecznościowego.
- Obecnie w dzierżawach zewnętrznych firmy Microsoft dostępny jest podzbiór wykrywania ryzyka Ochrona tożsamości Microsoft Entra. Tożsamość zewnętrzna Microsoft Entra obsługuje następujące wykrycia ryzyka:
| Typ wykrywania ryzyka | opis |
|---|---|
| Nietypowa podróż | Zaloguj się z nietypowej lokalizacji na podstawie ostatnich logów użytkownika. |
| Anonimowy adres IP | Zaloguj się z anonimowego adresu IP (na przykład: przeglądarka Tor, sieci VPN anonimizatora). |
| Adres IP połączony ze złośliwym oprogramowaniem | Zaloguj się ze połączonego adresu IP złośliwego oprogramowania. |
| Nieznane właściwości logowania | Zaloguj się przy użyciu właściwości, których ostatnio nie widzieliśmy dla danego użytkownika. |
| Administracja potwierdzono naruszenie zabezpieczeń użytkownika | Administrator wskazał, że naruszono bezpieczeństwo użytkownika. |
| Spray haseł | Zaloguj się za pośrednictwem ataku sprayu haseł. |
| Microsoft Entra threat intelligence | Wewnętrzne i zewnętrzne źródła analizy zagrożeń firmy Microsoft zidentyfikowały znany wzorzec ataku. |
Badanie ryzykownych użytkowników
Dzięki informacjom dostarczonym przez raport Ryzykowni użytkownicy administratorzy mogą znaleźć:
- Stan ryzyka, pokazujący, którzy użytkownicy są narażeni, miał ryzyko Skorygowane lub ryzyko odrzucone
- Szczegółowe informacje o wykrywaniu
- Historia wszystkich ryzykownych logowania
- Historia ryzyka
Administracja istratory mogą następnie podejmować działania na tych zdarzeniach. Administracja istratorzy mogą wybrać:
- Resetowanie hasła użytkownika
- Potwierdzanie naruszenia zabezpieczeń użytkownika
- Odrzucenie ryzyka związanego z użytkownikiem
- Blokuj logowanie użytkownika
- Dalsze badanie przy użyciu usługi Azure ATP
Administrator może odrzucić ryzyko użytkownika w centrum administracyjnym firmy Microsoft Entra lub programowo za pomocą interfejsu API programu Microsoft Graph odrzucić ryzyko użytkownika. Administracja istrator uprawnienia są wymagane do odrzucenia ryzyka użytkownika. Ryzykowny użytkownik lub administrator pracujący w imieniu użytkownika może skorygować ryzyko, na przykład za pomocą resetowania hasła.
Nawigowanie po raportach ryzykownych użytkowników
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Upewnij się, że używasz katalogu zawierającego zewnętrzną dzierżawę firmy Microsoft Entra: wybierz ikonę
Ustawienia na pasku narzędzi i znajdź dzierżawę zewnętrzną z menu Katalogi i subskrypcje. Jeśli nie jest to bieżący katalog, wybierz pozycję Przełącz.Przejdź do usługi Identity>Protection>Security Center.
Wybierz pozycję Identity Protection.
W obszarze Raport wybierz pozycję Ryzykowni użytkownicy.
Wybranie poszczególnych wpisów spowoduje rozwinięcie okna szczegółów poniżej wykryć. Widok szczegółów umożliwia administratorom badanie i wykonywanie akcji na każdym wykryciu.
Raport dotyczący wykrywania ryzyka
Raport Wykrywanie ryzyka zawiera dane z możliwością filtrowania do ostatnich 90 dni (trzy miesiące).
Dzięki informacjom dostarczonym przez raport wykrywania ryzyka administratorzy mogą znaleźć:
- Informacje o każdym wykryciu ryzyka, w tym o typie.
- Inne zagrożenia zostały wyzwolone w tym samym czasie.
- Lokalizacja próby logowania.
Administracja istratorzy mogą następnie wrócić do raportu o ryzyku lub logowaniu użytkownika w celu podjęcia działań na podstawie zebranych informacji.
Nawigowanie po raporcie dotyczącym wykrywania ryzyka
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Przejdź do usługi Identity>Protection>Security Center.
Wybierz pozycję Identity Protection.
W obszarze Raport wybierz pozycję Wykrycia ryzyka.