Náprava rizik a odblokování uživatelů

Po dokončení šetření musíte podniknout kroky k nápravě rizika nebo odblokování uživatelů. Organizace můžou povolit automatizovanou nápravu pomocí svých zásad rizik. Organizace by se měly snažit zavřít všechny detekce rizik, které jsou prezentovány v časovém období, s kterým je vaše organizace spokojená. Microsoft doporučuje rychle zavřít události, protože čas je důležitý při práci s rizikem.

Náprava

Všechny aktivní detekce rizik přispívají k výpočtu hodnoty označované jako úroveň rizika uživatele. Úroveň rizika uživatele je indikátorem (nízká, střední, vysoká) pravděpodobnosti, že došlo k ohrožení účtu. Jako správce chcete zavřít všechny detekce rizik, aby ovlivnění uživatelé už nebyli ohroženi.

Některé detekce rizik mohou být označeny službou Identity Protection jako Uzavřeno (systém), protože události již nebyly určeny jako rizikové.

Správci mají k nápravě následující možnosti:

  • Samoobslužná náprava pomocí zásad rizik
  • Ruční resetování hesla
  • Zavřít riziko uživatele
  • Ruční zavření detekce jednotlivých rizik

Architektura nápravy

  1. Pokud se účet potvrdí, dojde k ohrožení zabezpečení:
    1. Vyberte událost nebo uživatele v sestavách rizikových přihlášení nebo rizikových uživatelů a zvolte Potvrdit ohrožení zabezpečení.
    2. Pokud se zásady rizik nebo zásady podmíněného přístupu neaktivovaly v rámci detekce rizik a riziko nebylo samopravováno, pak:
      1. Požádejte o resetování hesla.
      2. Zablokujte uživatele, pokud máte podezření, že útočník může resetovat heslo nebo provést vícefaktorové ověřování pro uživatele.
      3. Odvolat obnovovací tokeny
      4. Zakažte všechna zařízení , která jsou považována za ohrožená.
      5. Pokud používáte průběžné vyhodnocování přístupu, odvoláte všechny přístupové tokeny.

Další informace o tom, co se stane při potvrzení ohrožení zabezpečení, najdete v části Jak mám poskytnout zpětnou vazbu k riziku a co se stane pod kapotou?.

Samoobslužná náprava pomocí zásad rizik

Pokud uživatelům povolíte samoobslužnou nápravu pomocí služby Azure AD Multi-Factor Authentication (MFA) a samoobslužného resetování hesla (SSPR) ve vašich zásadách rizik, můžou se při zjištění rizika odblokovat. Tyto detekce se pak považují za uzavřené. Uživatelé musí mít dříve zaregistrované vícefaktorové ověřování Azure AD a SSPR, pokud se zjistí riziko.

Některé detekce nemusí znamenat riziko na úroveň, na které by bylo vyžadováno samoobslužné nápravy uživatele, ale správci by tyto detekce měli dál vyhodnocovat. Správci můžou určit, že další opatření jsou nezbytná, jako je blokování přístupu z umístění nebo snížení přijatelného rizika v jejich zásadách.

Ruční resetování hesla

Pokud nevyžaduje resetování hesla pomocí zásad rizika uživatele, správci můžou zavřít všechny detekce rizik pro uživatele pomocí ručního resetování hesla.

Správci mají při resetování hesla pro své uživatele dvě možnosti:

  • Vygenerování dočasného hesla – generováním dočasného hesla můžete okamžitě přenést identitu zpět do bezpečného stavu. Tato metoda vyžaduje kontaktování ovlivněných uživatelů, protože potřebují vědět, co je dočasné heslo. Vzhledem k tomu, že heslo je dočasné, zobrazí se uživateli výzva ke změně hesla na něco nového během dalšího přihlášení.

  • Vyžadovat, aby uživatel resetoval heslo – Vyžadování uživatelů k resetování hesel umožňuje samoobslužné obnovení bez kontaktování technické podpory nebo správce. Tato metoda se vztahuje pouze na uživatele, kteří jsou zaregistrovaní pro Azure AD MFA a SSPR. Pro uživatele, kteří nejsou zaregistrovaní, tato možnost není dostupná.

Zavřít riziko uživatele

Pokud pro vás resetování hesla není možné, můžete se rozhodnout pro zamítnutí detekce rizik uživatelů.

Když vyberete Zavřít riziko uživatele, všechny události jsou zavřené a ovlivněný uživatel už není ohrožen. Vzhledem k tomu, že tato metoda nemá vliv na stávající heslo, nepřináší související identitu zpět do bezpečného stavu.

Ruční zavření detekce jednotlivých rizik

Detekce jednotlivých rizik můžete zavřít ručně. Ručním zavřením detekce rizik můžete snížit úroveň rizika uživatele. Detekce rizik se obvykle zavírají ručně v reakci na související šetření. Když například mluvíte s uživatelem, zjistíte, že už se nevyžaduje aktivní detekce rizik.

Při ručním zavírání detekce rizik můžete provést některou z následujících akcí, abyste změnili stav detekce rizik:

  • Potvrzení ohrožení zabezpečení uživatele
  • Zavřít riziko uživatele
  • Potvrzení bezpečného přihlášení
  • Potvrzení ohrožení zabezpečení přihlášení

Odstranění uživatelé

Správcům není možné zavřít riziko pro uživatele, kteří byli z adresáře odstraněni. Pokud chcete odstranit odstraněné uživatele, otevřete případ podpory Microsoftu.

Odblokování uživatelů

Správce se může rozhodnout blokovat přihlášení na základě svých zásad rizik nebo vyšetřování. Blok může nastat na základě rizika přihlášení nebo uživatele.

Odblokování na základě rizika uživatele

Pokud chcete odblokovat účet blokovaný kvůli riziku uživatelů, mají správci následující možnosti:

  1. Resetování hesla – Heslo uživatele můžete resetovat.
  2. Zavřít riziko uživatele – Zásady rizik uživatelů blokují uživatele, pokud byla dosažena nakonfigurovaná úroveň rizika uživatele pro blokování přístupu. Úroveň rizika uživatele můžete snížit zavřením rizika uživatele nebo ručním zavřením ohlášených detekcí rizik.
  3. Vylučte uživatele ze zásad – Pokud si myslíte, že aktuální konfigurace zásad přihlašování způsobuje problémy pro konkrétní uživatele, můžete z ní uživatele vyloučit. Další informace najdete v části Vyloučení v článku Postupy: Konfigurace a povolení zásad rizik.
  4. Zakázat zásadu – Pokud si myslíte, že konfigurace zásad způsobuje problémy pro všechny uživatele, můžete tuto zásadu zakázat. Další informace najdete v článku Postupy: Konfigurace a povolení zásad rizik.

Odblokování na základě rizika přihlašování

Pokud chcete odblokovat účet na základě rizika přihlašování, mají správci následující možnosti:

  1. Přihlášení ze známého umístění nebo zařízení – běžným důvodem blokování podezřelých přihlášení jsou pokusy o přihlášení z neznámých umístění nebo zařízení. Vaši uživatelé můžou rychle zjistit, jestli je důvodem blokování, a to tak, že se pokusí přihlásit ze známého umístění nebo zařízení.
  2. Vylučte uživatele ze zásad – Pokud si myslíte, že aktuální konfigurace zásad přihlašování způsobuje problémy pro konkrétní uživatele, můžete z ní uživatele vyloučit. Další informace najdete v části Vyloučení v článku Postupy: Konfigurace a povolení zásad rizik.
  3. Zakázat zásadu – Pokud si myslíte, že konfigurace zásad způsobuje problémy pro všechny uživatele, můžete tuto zásadu zakázat. Další informace najdete v článku Postupy: Konfigurace a povolení zásad rizik.

PowerShell Preview

Pomocí modulu Microsoft Graph PowerShell SDK Preview můžou organizace spravovat rizika pomocí PowerShellu. Moduly Preview a ukázkový kód najdete v úložišti azure AD GitHub.

Skript Invoke-AzureADIPDismissRiskyUser.ps1 obsažený v úložišti umožňuje organizacím zavřít všechny rizikové uživatele ve svém adresáři.

Další kroky

Přehled služby Azure AD Identity Protection najdete v přehledu služby Azure AD Identity Protection.