Untersuchen und Beheben von Risiken, die von Microsoft Entra ID Protection erkannt wurden
Untersuchungen helfen Ihnen zu verstehen, wie Sie Ihren Identitätssicherheitsstatus verbessern können. Mit diesen können Sie besser auf Risiken reagieren und diese in Zukunft vermeiden.
In Ihrem Einzelhandelsunternehmen haben Sie Microsoft Entra ID Protection-Richtlinien konfiguriert und Risiken erkannt. Ihr Manager hat Sie aufgefordert, alle erkannten Risiken zu untersuchen und zu beseitigen und dann einen Bericht an den Projektmanager zu senden. Das Team verwendet diesen Bericht, um die identitätsbasierten Risiken für das Unternehmen besser zu verstehen.
In dieser Lerneinheit erfahren Sie, wie Sie Risiken mithilfe von Berichten untersuchen. Sie erfahren, wie Sie verschiedene Arten von Risiken beseitigen und wie Sie mit allen Benutzerkonten umgehen, die möglicherweise blockiert werden.
Untersuchen von Risiken
Identity Protection bietet Berichte, mit denen Sie identitätsbasierte Risiken für die Benutzer Ihrer Organisation untersuchen können. Diese Berichte können in unterschiedliche Typen eingeteilt werden. Jede Art von Bericht bietet dem Administrator Informationen zu bestimmten Risiken. Der Administrator kann dann bestimmte Maßnahmen ergreifen, um diese Risiken zu beseitigen.
| Bericht | Enthaltene Informationen | Aktionen, die der Administrator ausführen kann | Zeitraum |
|---|---|---|---|
| Risikoanmeldungen | Standortdetails, Gerätedetails, als sicher bestätigte Anmeldungen oder verworfene oder beseitigte Risiken. | Bestätigen, dass Anmeldungen sicher bzw. kompromittiert sind | Letzte 30 Tage |
| Risikobenutzer | Liste der gefährdeten Benutzer und Benutzer mit verworfenen oder beseitigten Risiken. Verlauf der Risikoanmeldungen eines Benutzers. | Zurücksetzen von Benutzerkennwörtern, Verwerfen von Benutzerrisiken, Blockieren von Benutzeranmeldungen und Bestätigen, dass Benutzerkonten kompromittiert wurden | Nicht zutreffend |
Sie können diese Berichte verwenden, um Risiken zu untersuchen, die von Identity Protection erkannt werden. Die Berichte helfen Ihnen, zu verstehen, wie Sie Risiken besser vermeiden und Ihre Sicherheitslage für Identitäten verbessern.
Sie können auch auf Berichte zum Risikoerkennungstyp zugreifen, die Informationen zu Risikobenutzererkennungen und Anmeldeerkennungen kombinieren. Verwenden Sie diese Berichte, um herauszufinden, wie verschiedene Risikotypen in Relation stehen, und ergreifen Sie entsprechende Maßnahmen.
Sie können alle Berichte im Azure-Portal anzeigen und von dort herunterladen.
Beseitigen von Risiken
Falls Sie nicht bereits Risikorichtlinien zum automatischen Behandeln von Risiken verwenden, sollten Sie diese Risiken nach Abschluss Ihrer Untersuchung beseitigen. Sie sollten erkannte Risiken immer schnellstmöglich beseitigen.
Es gibt verschiedene Möglichkeiten, Risiken zu beseitigen. Es hängt von den Anforderungen Ihres Unternehmens ab, welche Methoden Sie verwenden.
| Methode des selbstständigen Beseitigens | Beschreibung |
|---|---|
| Selbstständiges Beseitigen | Wenn Sie Risikorichtlinien konfigurieren, können Sie zulassen, dass Benutzer Risiken selbstständig beseitigen. Wenn Identity Protection ein Risiko erkannt hat, setzen die Benutzer entweder ihr Kennwort zurück oder durchlaufen die mehrstufige Authentifizierung, um die Blockierung aufzuheben. Nach der selbstständigen Beseitigung werden diese erkannten Risiken geschlossen. Je niedriger die zulässige Risikostufe in Ihren Risikorichtlinien ist, durch die die Richtlinie ausgelöst wird, desto größer ist die Anzahl der Benutzer*innen, die davon betroffen sind. Im Allgemeinen wird empfohlen, den Schwellenwert für Richtlinien zum Benutzerrisiko auf hoch und Richtlinien zum Anmelderisiko auf mittel und höher festzulegen. |
| Manuelles Zurücksetzen von Kennwörtern | Für manche Organisationen ist die automatische Kennwortzurücksetzung möglicherweise keine Option. In diesem Fall kann der Administrator die Kennwortzurücksetzung manuell erzwingen. Der Administrator kann beispielsweise ein temporäres Kennwort generieren und den Benutzer darüber informieren. Dieser kann dann sein Kennwort ändern. |
| Verwerfen von Benutzerrisikoerkennungen | Manchmal ist die Kennwortzurücksetzung nicht möglich. Dies kann beispielsweise der Fall sein, wenn das betroffene Benutzerkonto gelöscht wurde. In diesem Fall können Sie die Risikoerkennung für diesen Benutzer verwerfen. Wenn Sie die Benutzerrisikoerkennung verwerfen, werden alle zugeordneten Risikoerkennungen für den Benutzer geschlossen. |
| Schließen einzelner Erkennungen | Alle erkannten Risiken tragen zu einer Gesamtrisikobewertung für einen Benutzer bei. Diese Risikobewertung stellt die Wahrscheinlichkeit dar, dass ein Benutzerkonto kompromittiert wird. Administrator*innen können auch einzelne Risikoerkennungen schließen und somit das Gesamtrisiko eines Benutzerkontos verringern. Beispielsweise kann der*die Administrator*in von einem*einer Benutzer*in erfahren, dass eine bestimmte Risikoerkennung nicht mehr benötigt wird, und diese entfernen. Das Gesamtrisiko, dass ein Benutzerkonto kompromittiert wurde, wird gesenkt. |
Aufheben der Blockierung von Benutzern
Wenn Risikorichtlinien ein Benutzerkonto blockieren oder ein*e Administrator*in ein Konto nach einer Untersuchung manuell sperrt. Wie die Blockierung dieser Benutzerkonten aufgehoben wird, hängt vom Typ des Risikos ab, das die Blockierung verursacht hat:
Blockierte Konten aufgrund von Anmelderisiken
Die Blockierung eines Kontos, das aufgrund eines Anmelderisikos blockiert wurde, kann durch Ausschließen des Benutzers von der Richtlinie aufgehoben werden. Die Blockierung des Kontos kann aufgehoben werden, wenn der Administrator den Benutzer auffordert, sich von einem bekannten Standort oder Gerät aus anzumelden. Manchmal werden Anmeldungen von unbekannten Standorten oder Geräten blockiert. Möglicherweise gibt es basierend auf den bekannten Anmeldemustern eines Benutzerkontos eine Benachrichtigung über verdächtiges Verhalten. Die Richtlinie kann auch deaktiviert werden, wenn der Administrator Probleme mit der Richtlinie festgestellt hat.
Blockierte Konten aufgrund von Benutzerrisiken
Ein Konto kann blockiert werden, wenn der Benutzer aufgrund eines möglicherweise riskanten Verhaltens gekennzeichnet wurde. Der Administrator kann das Kennwort für den Benutzer zurücksetzen, um die Blockierung des Kontos aufzuheben. Der Administrator kann die als riskant identifizierte Aktivität verwerfen oder den Benutzer von der Richtlinie ausschließen, um die Blockierung aufzuheben. Wenn die Richtlinie bei vielen Benutzern Probleme verursacht, kann der Administrator die Richtlinie vollständig deaktivieren.