Riskleri düzeltme ve kullanıcıların engelini kaldırma
Araştırmanızı tamamladıktan sonra riskli kullanıcıları düzeltmek veya engellerini kaldırmak için işlem yapmanız gerekir. Kuruluşlar risk tabanlı ilkeler ayarlayarak otomatik düzeltmeyi etkinleştirebilir. Kuruluşlar, kuruluşunuzun rahat olduğu bir süre içinde tüm riskli kullanıcıları araştırmaya ve düzeltmeye çalışmalıdır. Microsoft, risklerle çalışırken zaman önemli olduğundan hızlı davranmanızı önerir.
Risk düzeltme
Tüm etkin risk algılamaları, kullanıcının risk düzeyinin hesaplanmasına katkıda bulunur. Kullanıcı risk düzeyi, kullanıcının hesabının tehlikeye atılmış olma olasılığının göstergesidir (düşük, orta, yüksek). Riskli kullanıcıları ve buna karşılık gelen riskli oturum açma ve algılamaları araştırdıktan sonra riskli kullanıcıları düzelterek artık risk altında kalmamaları ve erişimlerinin engellenmesi gerekir.
Microsoft Entra Kimlik Koruması bazı risk algılamalarını ve ilgili riskli oturum açmaları risk durumuyla kapatılmış olarak işaretlerKapatılan ve risk ayrıntıları Microsoft Entra Kimlik Koruması oturum açma güvenli olarak değerlendirildi. Bu eylem, bu olayların artık riskli olduğu belirlenemediği için gerçekleştirilir.
Yöneticilerin düzeltmek için aşağıdaki seçenekleri vardır:
- Kullanıcıların risklerini kendi kendine düzeltmesine olanak sağlamak için risk tabanlı ilkeler ayarlayın.
- Parolalarını el ile sıfırlayın.
- Kullanıcı risklerini kapatma.
- Kimlik için Microsoft Defender düzeltin.
Risk tabanlı ilke ile kendi kendine düzeltme
Risk tabanlı ilkeler ayarlayarak kullanıcıların oturum açma risklerini ve kullanıcı risklerini kendi kendine düzeltmesine olanak sağlayabilirsiniz. Kullanıcılar çok faktörlü kimlik doğrulaması veya güvenli parola değişikliği gibi gerekli erişim denetimini geçirirse riskleri otomatik olarak düzeltilir. İlgili risk algılamaları, riskli oturum açma işlemleri ve riskli kullanıcılar Risk Altında yerine Düzeltildi risk durumuyla bildirilir.
Risk tabanlı ilkelerin uygulanabilmesi ve risklerin kendi kendine düzeltilmesine olanak sağlamak için kullanıcıların önkoşulları şunlardır:
- Oturum açma riskini kendi kendine düzeltmek için MFA gerçekleştirmek için:
- Kullanıcının Microsoft Entra çok faktörlü kimlik doğrulamasına kayıtlı olması gerekir.
- Bir kullanıcı riskini kendi kendine düzeltmek için güvenli parola değişikliği gerçekleştirmek için:
- Kullanıcının Microsoft Entra çok faktörlü kimlik doğrulamasına kayıtlı olması gerekir.
- Şirket içinden buluta eşitlenen karma kullanıcılar için parola geri yazma etkinleştirilmelidir.
Yukarıdaki önkoşullar karşılanmadan önce kullanıcıya oturum açma sırasında risk tabanlı bir ilke uygulanırsa, kullanıcı engellenir. Bu engelleme eyleminin nedeni, gerekli erişim denetimini gerçekleştirememeleri ve kullanıcının engelini kaldırmak için yönetici müdahalesi yapılmasıdır.
Risk tabanlı ilkeler risk düzeylerine göre yapılandırılır ve yalnızca oturum açma veya kullanıcının risk düzeyi yapılandırılan düzeyle eşleşiyorsa geçerlidir. Bazı algılamalar, ilkenin geçerli olduğu düzeye kadar risk oluşturmayabilir ve yöneticilerin bu riskli kullanıcıları el ile işlemesi gerekir. Yöneticiler, konumlardan erişimi engelleme veya ilkelerindeki kabul edilebilir riski azaltma gibi ek önlemlerin gerekli olduğunu belirleyebilir.
Self servis parola sıfırlama ile kendi kendine düzeltme
Bir kullanıcı self servis parola sıfırlama (SSPR) için kaydolmuşsa, self servis parola sıfırlaması yaparak kendi kullanıcı riskini düzeltebilir.
El ile parola sıfırlama
Kullanıcı risk ilkesi kullanarak parola sıfırlamayı zorunlu kılma bir seçenek değilse veya zaman önemliyse, yöneticiler parola sıfırlaması gerektirerek riskli bir kullanıcıyı düzeltebilir.
Yöneticilerin aralarından seçim yapabilecekleri seçenekler vardır:
Geçici parola oluşturma
Geçici bir parola oluşturarak bir kimliği hemen güvenli duruma getirebilirsiniz. Bu yöntem, geçici parolanın ne olduğunu bilmeleri gerektiğinden etkilenen kullanıcılarla iletişime geçmeyi gerektirir. Parola geçici olduğundan, kullanıcıdan bir sonraki oturum açma sırasında parolayı yeni bir şeyle değiştirmesi istenir.
Microsoft Entra yönetim merkezinde bulut ve karma kullanıcılar için parolalar oluşturabilirler.
Parola karması eşitlemesi ve Kullanıcı riskini sıfırlamak için şirket içi parola değişikliğine izin ver ayarı etkinleştirildiğinde şirket içi dizinden karma kullanıcılar için parola oluşturabilirler.
Uyarı
Kullanıcının bir sonraki oturum açmada parolayı değiştirmesi gerekir seçeneğini belirtmeyin. Bu desteklenmiyor.
Kullanıcının parola sıfırlamasını gerektir
Kullanıcıların parolaları sıfırlamasını gerektirmek, yardım masasına veya bir yöneticiye başvurmadan kendi kendine kurtarmayı etkinleştirir.
- Bulut ve karma kullanıcılar güvenli bir parola değişikliğini tamamlayabilir. Bu yöntem yalnızca MFA'yi zaten gerçekleştirebilen kullanıcılar için geçerlidir. Kayıtlı olmayan kullanıcılar için bu seçenek kullanılamaz.
- Karma kullanıcılar, parola karması eşitlemesi ve Kullanıcı riskini sıfırlamak için şirket içi parola değişikliğine izin ver ayarı etkinleştirildiğinde şirket içi veya karma bir Windows cihazından parola değişikliğini tamamlayabilir.
Kullanıcı risklerini düzeltmek için şirket içi parola sıfırlamaya izin ver
Parola karması eşitlemesini etkinleştiren kuruluşlar, kullanıcı riskini düzeltmek için şirket içi parola değişikliklerine izin verebilir.
Bu yapılandırma kuruluşlara iki yeni özellik sağlar:
- Riskli karma kullanıcılar, yöneticiler müdahalesi olmadan kendi kendine düzeltme yapabilir. Şirket içinde parola değiştirildiğinde, kullanıcı riski artık Microsoft Entra Kimlik Koruması içinde otomatik olarak düzeltilir ve geçerli kullanıcı riski durumu sıfırlanır.
- Kuruluşlar, karma kullanıcılarını güvenle korumak için parola değişiklikleri gerektiren kullanıcı risk ilkelerini proaktif olarak dağıtabilir. Bu seçenek, karmaşık karma ortamlarda bile kullanıcı risklerinin hemen ele alınmasını sağlayarak kuruluşunuzun güvenlik duruşlarını güçlendirir ve güvenlik yönetimini basitleştirir.
Bu ayarı yapılandırmak için
- Microsoft Entra yönetim merkezinde en az bir Güvenlik Operatörü olarak oturum açın.
- Koruma>Kimlik Koruması>Ayarları'na göz atın.
- Kullanıcı riskini sıfırlamak için Şirket içi parola değişikliğine izin ver kutusunu işaretleyin.
- Kaydet'i seçin.
Not
Kullanıcı riskini sıfırlamak için şirket içi parola değişikliğine izin vermek yalnızca kabul etme özelliğidir. Müşterilerin üretim ortamlarında etkinleştirmeden önce bu özelliği değerlendirmesi gerekir. Müşterilerin şirket içi parola değiştirme veya sıfırlama akışlarının güvenliğini sağlamasını öneririz. Örneğin, kullanıcıların Microsoft Identity Manager'ın Self Servis Parola Sıfırlama Portalı gibi bir araç kullanarak şirket içinde parolalarını değiştirmelerine izin vermeden önce çok faktörlü kimlik doğrulaması gerektirme.
Kullanıcı riskini kapatma
Araştırmadan ve kullanıcı hesabının gizliliğinin tehlikeye atılma riski olmadığını onayladıktan sonra riskli kullanıcıyı kapatmayı seçebilirsiniz.
Microsoft Entra yönetim merkezinde kullanıcı riskini en az bir Güvenlik Operatörü olarak kapatmak için Koruma>Kimliği Koruması>Riskli kullanıcılar'a gidin, etkilenen kullanıcıyı seçin ve Kullanıcı riskini kapat'ı seçin.
Kullanıcı riskini kapat'ı seçtiğinizde, kullanıcı artık risk altında değildir ve bu kullanıcının tüm riskli oturum açma işlemleri ve buna karşılık gelen risk algılamaları da kapatılır.
Bu yöntem kullanıcının mevcut parolasını etkilemediğinden, kimliğini güvenli duruma getirmez.
Riskin kapatılma durumuna göre risk durumu ve ayrıntıları
- Riskli kullanıcı:
- Risk durumu: "Risk altında" -> "Kapatıldı"
- Risk ayrıntıları (risk düzeltme ayrıntısı): "-" -> "Yönetici kullanıcı için tüm riski reddetti"
- Bu kullanıcının tüm riskli oturum açma işlemleri ve buna karşılık gelen risk algılamaları:
- Risk durumu: "Risk altında" -> "Kapatıldı"
- Risk ayrıntıları (risk düzeltme ayrıntısı): "-" -> "Yönetici kullanıcı için tüm riski reddetti"
Bir kullanıcının gizliliğinin aşıldığını onaylayın
Araştırmadan sonra hesabın gizliliğinin tehlikeye atıldığı doğrulanır:
- Riskli oturum açma işlemleri veya Riskli kullanıcılar raporlarında olayı veya kullanıcıyı seçin ve "Güvenliğin aşıldığını onaylayın" seçeneğini belirleyin.
- Risk tabanlı bir ilke tetiklenmemişse ve risk kendi kendine düzeltilmemişse, aşağıdaki eylemlerden birini veya birkaçını gerçekleştirin:
- Parola sıfırlama isteğinde bulunun.
- Saldırganın parolayı sıfırlayamadığını veya kullanıcı için çok faktörlü kimlik doğrulaması yapabileceğini düşünüyorsanız kullanıcıyı engelleyin.
- Yenileme belirteçlerini iptal etme.
- Güvenliği aşıldığı düşünülen tüm cihazları devre dışı bırakın.
- Sürekli erişim değerlendirmesi kullanılıyorsa tüm erişim belirteçlerini iptal edin.
Güvenliğin aşılması onaylanırken ne olacağı hakkında daha fazla bilgi için Riskler hakkında risk geri bildirimi verme bölümüne bakın.
Silinen kullanıcılar
Yöneticilerin dizinden silinen kullanıcılar için riski kapatması mümkün değildir. Silinen kullanıcıları kaldırmak için bir Microsoft destek olayı açın.
Kullanıcıların engelini kaldırma
Yönetici risk ilkesine veya araştırmalarına dayanarak bir oturum açma işlemini engellemeyi seçebilir. Blok, oturum açma veya kullanıcı riskine bağlı olarak oluşabilir.
Kullanıcı riskine göre engellemeyi kaldırma
Kullanıcı riski nedeniyle engellenmiş bir hesabın engellemesini kaldırmak için yöneticilerin seçenekleri şunlardır:
- Parolayı sıfırla - Kullanıcının parolasını sıfırlayabilirsiniz. Bir kullanıcının güvenliği aşıldıysa veya risk altındaysa, hesabını ve kuruluşunuzu korumak için kullanıcının parolası sıfırlanmalıdır.
- Kullanıcı riskini kapatma - Erişimi engellemek için yapılandırılan kullanıcı risk düzeyine ulaşıldığında kullanıcı risk ilkesi kullanıcıyı engeller. Araştırmadan sonra kullanıcının gizliliğinin tehlikeye atılma riski olmadığından eminseniz ve erişimine izin vermek güvenliyse, kullanıcı riskini kapatarak kullanıcının risk düzeyini azaltabilirsiniz.
- Kullanıcıyı ilkeden dışlama - Oturum açma ilkenizin geçerli yapılandırmasının belirli kullanıcılar için sorunlara neden olduğunu düşünüyorsanız ve bu ilkeyi uygulamadan bu kullanıcılara erişim izni vermek güvenliyse, bu kullanıcıları bu ilkenin dışında tutabilirsiniz. Daha fazla bilgi için, Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalesindeki Dışlamalar bölümüne bakın.
- İlkeyi devre dışı bırakma - İlke yapılandırmanızın tüm kullanıcılarınızda sorunlara neden olduğunu düşünüyorsanız, ilkeyi devre dışı bırakabilirsiniz. Daha fazla bilgi için Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalesine bakın.
Oturum açma riskine bağlı olarak engellemeyi kaldırma
Oturum açma riski temelinde bir hesabın engellemesini kaldırmak için yöneticilerin seçenekleri şunlardır:
- Tanıdık bir konum veya cihazdan oturum açma - Engellenen şüpheli oturum açma işlemlerinin yaygın nedenlerinden biri tanıdık olmayan konumlardan veya cihazlardan yapılan oturum açma girişimleridir. Kullanıcılarınız tanıdık bir konum veya cihazdan oturum açmayı deneyerek engelleme nedeninin bu olup olmadığını hızla saptayabilir.
- Kullanıcıyı ilkenin dışında tutma - Oturum açma ilkenizin geçerli yapılandırmasının belirli kullanıcılarda sorunlara neden olduğunu düşünüyorsanız, kullanıcıları ilkenin dışında tutabilirsiniz. Daha fazla bilgi için, Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalesindeki Dışlamalar bölümüne bakın.
- İlkeyi devre dışı bırakma - İlke yapılandırmanızın tüm kullanıcılarınızda sorunlara neden olduğunu düşünüyorsanız, ilkeyi devre dışı bırakabilirsiniz. Daha fazla bilgi için Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalesine bakın.
Yüksek güvenilirlik riski nedeniyle otomatik engelleme
Microsoft Entra Kimlik Koruması, riskli olma güveni çok yüksek olan oturum açmaları otomatik olarak engeller. Bu blok genellikle eski kimlik doğrulama protokolleri aracılığıyla gerçekleştirilen oturum açma işlemlerinde ve kötü amaçlı bir girişimin özelliklerini görüntülerken oluşur.
Bir kullanıcı bu mekanizmayla engellendiğinde 50053 kimlik doğrulama hatası alır. Oturum açma günlüklerinin incelenmesi şu engelleme nedenini gösterecektir: "Oturum açma, yüksek risk güveni nedeniyle yerleşik korumalar tarafından engellendi."
Yüksek güvenilirlikli oturum açma riski temelinde bir hesabın engelini kaldırmak için yöneticiler aşağıdaki seçeneklere sahiptir:
- Güvenilen konum ayarlarına oturum açmak için kullanılan IP'leri ekleyin - Oturum açma işlemi şirketiniz için bilinen bir konumdan gerçekleştiriliyorsa, güvenilecek IP'yi ekleyebilirsiniz. Daha fazla bilgi için Koşullu Erişim: Ağ ataması makalesinin Güvenilen Konumlar bölümüne bakın.
- Modern kimlik doğrulama protokolü kullanma - Oturum açma işlemi eski bir protokol aracılığıyla gerçekleştiriliyorsa moderne geçmek girişimin engelini kaldırır.
Belirteç hırsızlığıyla ilgili algılamalar
Algılama mimarimizde yapılan son güncelleştirmeyle, oturum açma sırasında belirteç hırsızlığı veya Microsoft Threat Intelligence Center (MSTIC) Nation State IP algılama tetiklendiğinde MFA talepleri ile oturumları otomatik olarak düzeltmeyeceğiz.
Şüpheli belirteç etkinliğini veya MSTIC Nation State IP algılamasını tanımlayan aşağıdaki Kimlik Koruması algılamaları artık otomatik olarak düzeltilmemiştir:
- Microsoft Entra tehdit bilgileri
- Anormal belirteç
- Ortadaki Saldırgan
- MSTIC Nation State IP
- Belirteç veren anomalisi
Kimlik Koruması artık oturum açma verilerini yayan algılamalar için Risk Algılama Ayrıntıları bölmesinde oturum ayrıntılarını ortaya çıkarır. Bu değişiklik, MFA ile ilgili riskin bulunduğu algılamaları içeren oturumları kapatmamamızı sağlar. Kullanıcı düzeyi risk ayrıntılarıyla oturum ayrıntılarının sağlanması, araştırmaya yardımcı olmak için değerli bilgiler sağlar. Bu bilgiler arasında şunlar yer alır:
- Belirteç Veren türü
- Oturum açma zamanı
- IP Adresi
- Oturum açma konumu
- Oturum açma istemcisi
- Oturum açma isteği kimliği
- Oturum açma bağıntı kimliği
Kullanıcı risk tabanlı Koşullu Erişim ilkeleriniz yapılandırılmışsa ve şüpheli belirteç etkinliğini belirten bu algılamalardan biri bir kullanıcı üzerinde tetikleniyorsa, riski temizlemek için son kullanıcının güvenli parola değişikliği gerçekleştirmesi ve çok faktörlü kimlik doğrulamasıyla hesabını yeniden kimlik doğrulaması yapması gerekir.
PowerShell önizlemesi
Microsoft Graph PowerShell SDK Önizleme modülüyle, kuruluşlar PowerShell kullanarak riski yönetebilir. Önizleme modülleri ve örnek kod, Microsoft Entra GitHub deposunda bulunabilir.
Invoke-AzureADIPDismissRiskyUser.ps1
Depoda bulunan betik, kuruluşların dizinlerindeki tüm riskli kullanıcıları kapatmasına olanak tanır.