Memulihkan risiko dan membuka blokir pengguna

Setelah menyelesaikan penyelidikan, Anda dapat mengambil tindakan untuk memulihkan risiko atau membuka blokir pengguna. Organisasi dapat mengaktifkan remediasi otomatis menggunakan kebijakan risiko mereka. Organisasi harus mencoba menutup semua deteksi risiko yang disajikan dalam jangka waktu yang sesuai dengan organisasi Anda. Microsoft merekomendasikan penutupan kejadian dengan sesegera mungkin karena ketepatan waktu penting saat menangani risiko.

Remediasi

Semua deteksi kejadian risiko aktif berkontribusi pada kalkulasi nilai yang disebut tingkat risiko pengguna. Tingkat risiko pengguna adalah indikator (rendah, sedang, tinggi) untuk kemungkinan akun telah disusupi. Sebagai admin, Anda ingin menutup semua deteksi kejadian risiko, sehingga pengguna yang terpengaruh tidak lagi berisiko.

Beberapa deteksi kejadian risiko dapat ditandai oleh Perlindungan Identitas sebagai "Tertutup (sistem)" karena kejadian tersebut tidak lagi dianggap berisiko.

Admin memiliki opsi berikut untuk memulihkan:

  • Remediasi mandiri dengan kebijakan risiko
  • Reset kata sandi manual
  • Mengabaikan risiko pengguna
  • Menutup deteksi kejadian risiko individu secara manual

Kerangka kerja remediasi

  1. Jika akun terbukti disusupi:
    1. Pilih kejadian atau pengguna dalam laporan Proses masuk riskan atau Pengguna berisiko dan pilih "Konfirmasi disusupi".
    2. Jika kebijakan risiko atau kebijakan Akses Bersyarat tidak dipicu di bagian deteksi risiko, dan risikonya tidak diremediasi secara mandiri, maka:
      1. Minta pengaturan ulang kata sandi.
      2. Blokir pengguna jika Anda mencurigai penyerang dapat mengatur ulang kata sandi atau melakukan autentikasi multifaktor untuk pengguna.
      3. Cabut token refresh.
      4. Nonaktifkan perangkat apa pun yang dianggap disusupi.
      5. Jika menggunakan evaluasi akses berkelanjutan, cabut semua token akses.

Untuk informasi lebih lanjut tentang apa yang terjadi ketika mengkonfirmasi penyusupan, lihat bagian Bagaimana cara memberikan umpan balik risiko dan apa yang terjadi di latar belakang?.

Remediasi mandiri dengan kebijakan risiko

Jika Anda mengizinkan pengguna untuk memulihkan secara mandiri, dengan Autentikasi Mutlifaktor (MFA) Microsoft Azure Active Directory dan pengaturan ulang kata sandi mandiri (SSPR) dalam kebijakan risiko Anda, mereka dapat membuka blokir diri sendiri saat kejadian risiko terdeteksi. Deteksi ini kemudian dianggap tertutup. Pengguna harus sudah terdaftar sebelumnya ke Azure Active Directory Multifactor Authentication dan SSPR untuk digunakan saat risiko terdeteksi.

Beberapa deteksi mungkin tidak meningkatkan risiko ke tingkat yang akan dibutuhkan pengguna untuk melakukan remediasi mandiri, tetapi admin harus tetap mengevaluasi deteksi ini. Administrator dapat menentukan bahwa langkah-langkah tambahan diperlukan seperti memblokir akses dari lokasi atau menurunkan risiko yang dapat diterima dalam kebijakan mereka.

Reset kata sandi manual

Jika mengharuskan pengaturan ulang kata sandi menggunakan kebijakan risiko pengguna tidak dapat dilakukan, administrator dapat menutup semua deteksi risiko untuk pengguna dengan pengaturan ulang kata sandi manual.

Admin diberi dua opsi saat mengatur ulang kata sandi untuk penggunanya:

  • Membuat kata sandi sementara - Dengan membuat kata sandi sementara, Anda dapat segera mengembalikan identitas ke kondisi aman. Metode ini memerlukan menghubungi pengguna yang terpengaruh karena mereka perlu mengetahui apa kata sandi sementara tersebut. Karena kata sandi bersifat sementara, pengguna diminta untuk mengubah kata sandi menjadi sesuatu yang baru saat proses masuk berikutnya.

  • Mewajibkan pengguna mengatur ulang kata sandi - Mewajibkan pengguna mengatur ulang kata sandi memungkinkan pemulihan mandiri tanpa menghubungi staf dukungan atau admin. Metode ini hanya berlaku untuk pengguna yang terdaftar untuk Azure Active Directory Multifactor Authentication dan pengaturan ulang kata sandi mandiri. Untuk pengguna yang belum terdaftar, opsi ini tidak tersedia.

Menghilangkah risiko pengguna

Jika pengaturan ulang kata sandi tidak dapat Anda lakukan, Anda dapat memilih untuk mengabaikan deteksi risiko pengguna.

Saat Anda memilih Abaikan risiko pengguna, semua peristiwa ditutup dan pengguna yang terpengaruh tidak lagi berisiko. Namun, karena metode ini tidak berdampak pada kata sandi yang ada, metode ini tidak mengembalikan identitas terkait ke kondisi aman.

Untuk Menghilangkan risiko pengguna, telusuri dan pilih Pengguna Azure AD Risky, pilih pengguna yang terpengaruh, dan pilih Hilangkan risiko pengguna.

Menutup deteksi kejadian risiko individu secara manual

Anda dapat menutup deteksi kejadian risiko individu secara manual. Dengan menutup deteksi kejadian risiko secara manual, Anda dapat menurunkan tingkat risiko pengguna. Biasanya, deteksi kejadian risiko ditutup secara manual sebagai tanggapan atas penyelidikan terkait. Misalnya, ketika berbicara dengan pengguna mengungkapkan bahwa deteksi risiko aktif tidak diperlukan lagi.

Saat menutup deteksi risiko secara manual, Anda dapat memilih untuk melakukan salah satu tindakan berikut untuk mengubah status deteksi kejadian risiko:

  • Mengonfirmasi pengguna disusupi
  • Mengabaikan risiko pengguna
  • Mengonfirmasi proses masuk aman
  • Mengonfirmasi proses masuk disusupi

Pengguna yang dihapus

Administrator tidak mungkin mengabaikan risiko bagi pengguna yang telah dihapus dari direktori. Untuk menghapus pengguna yang dihapus, buka kasus dukungan Microsoft.

Membuka blokir pengguna

Admin dapat memilih untuk memblokir proses masuk berdasarkan kebijakan risiko atau investigasi mereka. Pemblokiran dapat terjadi berdasarkan risiko proses masuk atau pengguna.

Membuka blokir berdasarkan risiko pengguna

Untuk membuka blokir akun yang diblokir karena risiko pengguna, administrator memiliki opsi berikut:

  1. Mengatur ulang kata sandi - Anda dapat mengatur ulang kata sandi pengguna.
  2. Mengabaikan risiko pengguna - Kebijakan risiko pengguna memblokir pengguna jika tingkat risiko pengguna yang dikonfigurasi untuk memblokir akses telah tercapai. Anda dapat mengurangi tingkat risiko pengguna dengan mengabaikan risiko pengguna atau menutup deteksi kejadian risiko yang dilaporkan secara manual.
  3. Mengecualikan pengguna dari kebijakan - Jika menurut Anda konfigurasi kebijakan proses masuk Anda saat ini menyebabkan masalah bagi pengguna tertentu, Anda dapat mengecualikan pengguna dari kebijakan tersebut. Untuk informasi selengkapnya, lihat bagian Pengecualian dalam artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.
  4. Menonaktifkan kebijakan - Jika menurut Anda konfigurasi kebijakan Anda menyebabkan masalah bagi semua pengguna, Anda dapat menonaktifkan kebijakan tersebut. Untuk informasi selengkapnya, lihat artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.

Membuka blokir berdasarkan risiko proses masuk

Untuk membuka blokir akun berdasarkan risiko proses masuk, admin memiliki opsi berikut:

  1. Masuk dari lokasi atau perangkat yang dikenal - Alasan umum pemblokiran upaya masuk yang mencurigakan adalah upaya masuk dari lokasi atau perangkat yang tidak dikenal. Pengguna Anda dapat dengan cepat menentukan apakah alasan ini adalah alasan pemblokiran dengan mencoba masuk dari lokasi atau perangkat yang sudah dikenal.
  2. Mengecualikan pengguna dari kebijakan - Jika menurut Anda konfigurasi kebijakan proses masuk Anda saat ini menyebabkan masalah bagi pengguna tertentu, Anda dapat mengecualikan pengguna dari kebijakan tersebut. Untuk informasi selengkapnya, lihat bagian Pengecualian dalam artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.
  3. Menonaktifkan kebijakan - Jika menurut Anda konfigurasi kebijakan Anda menyebabkan masalah bagi semua pengguna, Anda dapat menonaktifkan kebijakan tersebut. Untuk informasi selengkapnya, lihat artikel Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.

Pratinjau PowerShell

Dengan menggunakan modul Pratinjau Microsoft Graph PowerShell SDK, organisasi dapat mengelola risiko menggunakan PowerShell. Modul pratinjau dan kode contoh dapat ditemukan di repositori Microsoft Azure Active Directory GitHub.

Skrip Invoke-AzureADIPDismissRiskyUser.ps1 yang disertakan dalam repositori memungkinkan organisasi untuk mengabaikan semua pengguna berisiko di direktori mereka.

Langkah berikutnya

Untuk mendapatkan gambaran umum tentang Azure Active Directory Identity Protection, lihat Gambaran Umum Azure Active Directory Identity Protection.