Uživatelé Microsoft Entra ID Protection a B2B

  • Článek

Microsoft Entra ID Protection detekuje ohrožené přihlašovací údaje pro uživatele Microsoft Entra. Pokud se vaše přihlašovací údaje zjistí jako ohrožené, znamená to, že vaše heslo může mít někdo jiný a používat ho nelegitimně. Aby se zabránilo dalšímu riziku pro váš účet, je důležité bezpečně resetovat heslo, aby špatný objekt actor nemohl zneužít vaše ohrožené heslo. Ochrana ID označuje účty, které mohou být ohroženy jako "ohrožené".

Přihlašovacími údaji organizace se můžete přihlásit k jiné organizaci jako host. Tento proces se označuje jako spolupráce typu business-to-business nebo B2B. Organizace můžou nakonfigurovat zásady, které uživatelům znemožní přihlášení, pokud se jejich přihlašovací údaje považují za ohrožené. Pokud je váš účet ohrožený a zablokujete přihlášení k jiné organizaci jako hosta, můžete účet opravit sami pomocí následujícího postupu. Pokud vaše organizace nepovolila samoobslužné resetování hesla, musí váš správce ručně napravit váš účet.

Jak si odblokovat účet

Pokud se pokoušíte přihlásit k jiné organizaci jako host a jsou blokovány z důvodu rizika, zobrazí se následující zpráva o blokování: Váš účet je zablokovaný. Zjistili jsme podezřelou aktivitu na vašem účtu."

A screenshot showing the error guest account blocked, contact your organization's administrator.

Pokud to vaše organizace povolí, můžete pomocí samoobslužného resetování hesla účet odblokovat a získat přihlašovací údaje zpět do bezpečného stavu.

  1. Přejděte na portál pro resetování hesla a spusťte resetování hesla. Pokud pro váš účet není povolené samoobslužné resetování hesla a nemůžete pokračovat, obraťte se na správce IT s následujícími informacemi.
  2. Pokud je pro váš účet povolené samoobslužné resetování hesla, zobrazí se výzva k ověření identity pomocí metod zabezpečení před změnou hesla. Pomoc najdete v článku o resetování pracovního nebo školního hesla .
  3. Jakmile úspěšně a bezpečně resetujete heslo, opraví se riziko uživatele. Teď se můžete zkusit znovu přihlásit jako uživatel typu host.

Pokud jste po resetování hesla stále blokovaní jako host z důvodu rizika, obraťte se na správce IT vaší organizace.

Jak napravit riziko uživatele jako správce

Ochrana ID automaticky detekuje rizikové uživatele pro tenanty Microsoft Entra. Pokud jste ještě nekontrolovali sestavy ochrany ID, může existovat velký počet uživatelů s rizikem. Vzhledem k tomu, že tenanti prostředků můžou na uživatele typu host používat zásady rizik uživatelů, můžou být vaši uživatelé zablokovaní z důvodu rizika, i když předtím nevěděli o svém rizikovém stavu. Pokud uživatel nahlásí, že je uživatel typu host zablokovaný v jiném tenantovi kvůli riziku, je důležité uživatele napravit, aby chránil svůj účet a povolil spolupráci.

Resetovat heslo uživatele

V sestavě Rizikových uživatelů v nabídce Zabezpečení Microsoft Entra vyhledejte ovlivněného uživatele pomocí filtru Uživatel. V sestavě vyberte ovlivněného uživatele a na horním panelu nástrojů vyberte „Resetovat heslo“. Uživateli se přiřadí dočasné heslo, které je potřeba při dalším přihlášení změnit. Tento proces opraví riziko uživatele a vrátí jejich přihlašovací údaje zpět do bezpečného stavu.

Ruční zavření rizika uživatele

Pokud pro vás resetování hesla není možné, můžete riziko uživatele zavřít ručně. Zavření rizika uživatele nemá žádný vliv na stávající heslo daného uživatele, ale tento proces změní stav rizika uživatele ze Ohrožený na Zamítnuto. Je důležité, abyste změnili heslo uživatele pomocí jakýchkoli prostředků, které máte k dispozici, aby se identita vrátila do bezpečného stavu.

Pokud chcete zavřít riziko uživatelů, přejděte do sestavy Rizikových uživatelů v nabídce Zabezpečení Microsoft Entra. Vyhledejte ovlivněného uživatele pomocí filtru Uživatel a vyberte ho. Na horním panelu nástrojů vyberte možnost Zavřít riziko uživatele. Dokončení této akce může trvat několik minut a aktualizovat stav rizika uživatele v sestavě.

Další informace o službě Microsoft Entra ID Protection najdete v tématu Co je Identity Protection.

Jak funguje ochrana ID pro uživatele B2B?

Uživatelské riziko pro uživatele spolupráce B2B se vyhodnotí ve svém domovském adresáři. Riziko přihlášení v reálném čase pro tyto uživatele se vyhodnocuje v adresáři prostředků při pokusu o přístup k prostředku. Díky spolupráci Microsoft Entra B2B můžou organizace vynucovat zásady založené na rizicích pro uživatele B2B pomocí služby ID Protection. Tyto zásady se konfigurují dvěma způsoby:

  • Správa istrátory můžou nakonfigurovat své zásady podmíněného přístupu, používat riziko přihlášení jako podmínku a zahrnovat uživatele typu host.
  • Správa istrátory můžou nakonfigurovat integrované zásady založené na riziku ochrany ID, které platí pro všechny aplikace a zahrnují uživatele typu host.

Omezení ochrany ID pro uživatele spolupráce B2B

V implementaci ochrany ID pro uživatele spolupráce B2B v adresáři prostředků platí omezení, protože jejich identita existuje v domovském adresáři. Hlavní omezení jsou následující:

  • Pokud uživatel typu host aktivuje zásadu rizika uživatele ochrany ID, aby vynutil resetování hesla, bude zablokovaný. Tento blok je způsoben nemožností resetovat hesla v adresáři prostředků.
  • Uživatelé typu host se nezobrazují v sestavě rizikových uživatelů. Toto omezení je způsobeno vyhodnocením rizika, ke kterému dochází v domovském adresáři uživatele B2B.
  • Správa istrátory nemohou zavřít nebo napravit rizikového uživatele spolupráce B2B v adresáři prostředků. Toto omezení je způsobeno tím, že správci v adresáři prostředků nemají přístup k domovskému adresáři uživatele B2B.

Proč nemůžu opravit rizikové uživatele spolupráce B2B v mém adresáři?

Vyhodnocení rizik a náprava pro uživatele B2B probíhá ve svém domovském adresáři. Z tohoto důvodu se uživatelé typu host nezobrazují v sestavě rizikových uživatelů v adresáři prostředků a správci v adresáři prostředků v adresáři prostředků nemůžou vynutit bezpečné resetování hesla pro tyto uživatele.

Co mám dělat, když byl uživatel pro spolupráci B2B zablokovaný kvůli zásadám založeným na riziku v organizaci?

Pokud je rizikový uživatel B2B ve vašem adresáři zablokovaný zásadami založenými na riziku, musí uživatel toto riziko napravit ve svém domovském adresáři. Uživatelé mohou napravit riziko provedením bezpečného resetování hesla ve svém domovském adresáři , jak je uvedeno dříve. Pokud nemají ve svém domovském adresáři povolené samoobslužné resetování hesla, musí kontaktovat pracovníky IT ve své organizaci, aby správce ručně zavřel riziko nebo resetoval heslo.

Návody zabránit tomu, aby uživatelé spolupráce B2B ovlivnili zásady založené na rizicích?

Vyloučení uživatelů B2B ze zásad podmíněného přístupu na základě rizik vaší organizace brání uživatelům B2B v ovlivnění vyhodnocením rizik. Pokud chcete tyto uživatele B2B vyloučit, vytvořte skupinu v ID Microsoft Entra, která obsahuje všechny uživatele typu host vaší organizace. Pak tuto skupinu přidejte jako vyloučení pro vaše předdefinované zásady rizik uživatelů a zásad rizik přihlašování a všechny zásady podmíněného přístupu, které jako podmínku používají riziko přihlašování.

Další kroky

Projděte si následující články o spolupráci Microsoft Entra B2B: