معالجة المخاطر، وإلغاء حظر المستخدمين

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

بعد الانتهاء من التحقيق الخاص بك، ستحتاج إلى اتخاذ إجراء لتصحيح الخطر أو إلغاء حظر المستخدمين. يمكن للمؤسسات أن تُمكّن المعالجة الآلية باستخدام نُهج المخاطر الخاصة بها. يجب على المؤسسات محاولة إغلاق جميع عمليات الكشف عن المخاطر التي يجري تقديمها في فترة زمنية مريحة لمؤسستك. توصي Microsoft بإغلاق الأحداث بسرعة، لأن الوقت مهم عند التعامل مع المخاطر.

المعالجة

تساهم كافة عمليات الكشف عن المخاطر النشطة في حساب قيمة تسمى مستوى مخاطر المستخدم. مستوى مخاطر المستخدم هو مؤشر بدرجات (منخفض، متوسط، مرتفع)؛ لاحتمالية أن يكون قد تعرض أحد الحسابات للاختراق. كمسؤول، أنت بحاجة لإغلاق كافة اكتشافات المخاطر، بحيث لا يعد المستخدمون المتأثرون عُرضة للخطر.

قد يتم تمييز بعض عمليات اكتشاف المخاطر من خلال حماية الهوية على أنها "مغلقة (نظام)" لأن الأحداث لم تعد محفوفة بالمخاطر.

يكون للمسؤولين الخيارات التالية للمعالجة:

• المعالجة الذاتية باستخدام نهج المخاطر
• إعادة تعيين كلمة المرور يدويًا
• استبعاد مخاطر المستخدم
• إغلاق الكشف عن المخاطر الفردية يدويًا

إطار عمل المعالجة

1. إذا تم تأكيد اختراق الحساب:
   1. حدد الحدث أو المستخدم في عمليات تسجيل الدخول غير الآمنة أو تقارير المستخدمين المعرضين للخطر واختر "تأكيد الاختراق".
   2. في حالة عدم تشغيل نهج مخاطر أو نهج وصول مشروط في جزء من الكشف عن المخاطر، ولم يتم معالجة المخاطر ذاتياً، فعندئذ:
      1. اطلب إعادة تعيين كلمة المرور.
      2. احظر المستخدم إذا كنت تشك في أن المهاجم يمكنه إعادة تعيين كلمة المرور أو القيام بمصادقة متعددة العوامل للمستخدم.
      3. إبطال تحديث الرموز المميزة.
      4. بادر بتعطيل أي أجهزة تعتبر معرضة للاختراق.
      5. إذا كنت تستخدم تقييم الوصول المستمر، قم بإلغاء جميع رموز الوصول المميزة.

لمزيد من المعلومات حول ما يحدث عند تأكيد الاختراق، راجع القسم كيف يجب أن أعطي ملاحظات حول المخاطر وماذا يحدث في الخفاء؟.

المعالجة الذاتية باستخدام نهج المخاطر

إذا سمحت للمستخدمين بالمعالجة الذاتية باستخدام المصادقة متعددة العوامل في Azure AD، وإعادة تعيين كلمة مرور الخدمة الذاتية (SSPR) في نُهج المخاطر الخاصة بك، يمكنهم إلغاء حظر أنفسهم عند اكتشاف المخاطر. ثم تعتبر هذه الاكتشافات منتهية. يجب أن يكون المستخدمون قد سجلوا مسبقًا في Azure AD MFA وSSPR للاستخدام عند اكتشاف المخاطر.

قد لا تؤدي بعض عمليات الاكتشاف إلى زيادة المخاطر إلى المستوى الذي يلزم فيه الإصلاح الذاتي للمستخدم ولكن لا يزال يتعين على المسؤولين تقييم هذه الاكتشافات. قد يقرر المسؤولون أن الإجراءات الإضافية ضرورية مثل حظر الوصول من المواقع أو تقليل المخاطر المقبولة في النُهج الخاصة بهم.

إعادة تعيين كلمة المرور يدويًا

إذا لم يكن طلب إعادة تعيين كلمة المرور باستخدام نهج مخاطر المستخدم خياراً، فيمكن للمسؤولين إغلاق جميع اكتشافات المخاطر لمستخدم مع إعادة تعيين كلمة المرور يدوياً.

يتم إعطاء المسؤولين خيارين عند إعادة تعيين كلمة مرور لمستخدميهم:

• إنشاء كلمة مرور مؤقتة - عن طريق إنشاء كلمة مرور مؤقتة، يمكنك إعادة هوية إلى حالة آمنة على الفور. تتطلب هذه الطريقة الاتصال بالمستخدمين المتأثرين لأنهم بحاجة إلى معرفة كلمة المرور المؤقتة. ولأن كلمة المرور مؤقتة، تتم مطالبة المستخدم بتغيير كلمة المرور إلى شيء جديد في أثناء تسجيل الدخول التالي.

• مطالبة المستخدم بإعادة تعيين كلمة المرور - مطالبة المستخدمين بإعادة تعيين كلمات المرور تمكن الاسترداد الذاتي دون الاتصال بمكتب الدعم أو أحد المسؤولين. تنطبق هذه الطريقة فقط على المستخدمين المسجلين في Azure AD MFA وSSPR. بالنسبة للمستخدمين الذين لم يتم تسجيلهم، هذا الخيار غير متاح.

استبعاد مخاطر المستخدم

إذا لم تكن إعادة تعيين كلمة المرور خيارا بالنسبة لك، يمكنك اختيار تجاهل عمليات الكشف عن مخاطر المستخدم.

عند تحديد استبعاد مخاطر المستخدم، يتم إغلاق كافة الأحداث ولا يعد المستخدم المتأثر في خطر. ومع ذلك، ولأن هذا الأسلوب ليس له تأثير على كلمة المرور الموجودة، فإنه لا يعيد الهوية المرتبطة إلى حالة آمنة.

إغلاق الكشف عن المخاطر الفردية يدويًا

يمكنك إغلاق عمليات الكشف عن المخاطر الفردية يدويًا. من خلال إغلاق عمليات الكشف عن المخاطر يدويًا، يمكنك خفض مستوى مخاطر المستخدم. عادةً، يتم إغلاق عمليات الكشف عن المخاطر يدويًا استجابةً للتحقيق ذي الصلة. على سبيل المثال، عند التحدث إلى مستخدم يكشف أن الكشف النشط عن المخاطر لم يعد مطلوباً.

عند إغلاق عمليات الكشف عن المخاطر يدويًا، يمكنك اختيار اتخاذ أي من الإجراءات التالية لتغيير حالة الكشف عن المخاطر:

• تأكيد تعرض حساب المستخدم للاختراق
• استبعاد مخاطر المستخدم
• تأكيد تسجيل الدخول الآمن
• تأكيد تسوية تسجيل الدخول

المستخدمون المحذوفون

لا يمكن للمسؤولين تجاهل المخاطر للمستخدمين الذين تم حذفهم من الدليل. لإزالة المستخدمين المحذوفين، افتح حالة دعم Microsoft.

إلغاء حظر المستخدمين

قد يختار المسؤول حظر تسجيل الدخول استنادًا إلى نهج المخاطر، أو التحقيقات الخاصة به. قد يحدث حظر استنادًا إلى تسجيل الدخول، أو مخاطر المستخدم.

إلغاء الحظر على أساس مخاطر المستخدم

لإلغاء حظر حساب محظور بسبب مخاطر المستخدم، لدى المسؤولين الخيارات التالية:

1. إعادة تعيين كلمة المرور - يمكنك إعادة تعيين كلمة مرور المستخدم.
2. استبعاد مخاطر المستخدم - يحظر نهج مخاطر المستخدم أحد المستخدمين إذا تم بلوغ مستوى مخاطر المستخدم المكوّن لحظر الوصول. يمكنك تقليل مستوى المخاطر للمستخدم عن طريق استبعاد مخاطر المستخدم، أو إغلاق اكتشاف المخاطر التي تم الإبلاغ عنها يدويًا.
3. استبعاد المستخدم من النهج - إذا كنت تعتقد أن التكوين الحالي لنهج تسجيل الدخول يسبب مشكلات لمستخدمين محددين، يمكنك استبعاد المستخدمين منه. للحصول على مزيدٍ من المعلومات، راجع قسم الاستثناءات في مقالة كيفية: تكوين نُهج المخاطر وتمكينها.
4. تعطيل النهج - إذا كنت تعتقد أن تكوين النهج يسبب مشكلات لكافة المستخدمين، يمكنك تعطيله. للحصول على مزيدٍ من المعلومات، راجع مقالة كيفية: تكوين سياسات المخاطر وتمكينها.

إلغاء الحظر على أساس مخاطر تسجيل الدخول

لإلغاء حظر حساب يستند إلى مخاطر تسجيل الدخول، يكون لدى المسؤولين الخيارات التالية:

1. تسجيل الدخول من موقع أو جهاز مألوف - أحد الأسباب الشائعة لمحاولات تسجيل الدخول المريبة المحظورة هو محاولات تسجيل الدخول من مواقع أو أجهزة غير مألوفة. يمكن للمستخدمين تحديد ما إذا كان هذا السبب هو سبب الحظر بسرعة من خلال محاولة تسجيل الدخول من موقع أو جهاز مألوف أم لا.
2. استبعاد المستخدم من النهج - إذا كنت تعتقد أن التكوين الحالي لنهج تسجيل الدخول يسبب مشكلات لمستخدمين محددين، يمكنك استبعاد المستخدمين منه. للحصول على مزيدٍ من المعلومات، راجع قسم الاستثناءات في مقالة كيفية: تكوين نُهج المخاطر وتمكينها.
3. تعطيل النهج - إذا كنت تعتقد أن تكوين النهج يسبب مشكلات لكافة المستخدمين، يمكنك تعطيله. للحصول على مزيدٍ من المعلومات، راجع مقالة كيفية: تكوين سياسات المخاطر وتمكينها.

معاينة PowerShell

باستخدام الوحدة النمطية معاينة Microsoft Graph PowerShell SDK، يمكن للمؤسسات إدارة المخاطر باستخدام PowerShell. يمكن العثور على وحدات المعاينة النمطية ونموذج التعليمات البرمجية في Azure AD GitHub repo.

يتيح البرنامج النصي Invoke-AzureADIPDismissRiskyUser.ps1 المضمن في المستودع للمؤسسات رفض جميع المستخدمين الخطرين في دليلهم.

الخطوات التالية

للحصول على نظرة عامة على حماية هوية Azure AD، راجع نظرة عامة على حماية هوية Azure AD.