Tanya jawab umum tentang Perlindungan Identitas di Azure Active Directory

Mengabaikan masalah umum risiko pengguna

Mengabaikan risiko pengguna dalam Perlindungan Identitas klasik menetapkan pelaku dalam riwayat risiko pengguna di Perlindungan Identitas ke Azure AD.

Mengabaikan risiko pengguna dalam Perlindungan Identitas menetapkan pelaku dalam riwayat risiko pengguna di Perlindungan Identitas ke <Admin’s name with a hyperlink pointing to user’s blade>.

Ada masalah umum saat ini yang menyebabkan latensi dalam aliran mengabaian risiko pengguna. Jika Anda memiliki "Kebijakan risiko pengguna", kebijakan ini akan berhenti berlaku untuk pengguna yang diabaikan dalam beberapa menit setelah mengklik "Abaikan risiko pengguna". Namun, diketahui ada keterlambatan dengan UX yang merefresh "Status risiko" pengguna yang diabaikan. Sebagai solusinya, refresh halaman di tingkat browser untuk melihat pengguna terbaru "Status risiko".

Tanya jawab umum

Mengapa pengguna berisiko?

Jika Anda adalah pelanggan Azure AD Identity Protection, buka tampilan pengguna berisiko lalu klik pengguna berisiko. Di laci di bagian bawah, tab 'Riwayat risiko' akan menampilkan semua peristiwa yang menyebabkan perubahan risiko pengguna. Untuk melihat semua proses masuk riskan bagi pengguna, klik 'Proses masuk riskan pengguna'. Untuk melihat semua deteksi risiko bagi pengguna, klik 'Deteksi risiko pengguna'.

Mengapa rincian masuk saya diblokir tetapi Perlindungan Identitas tidak menghasilkan deteksi risiko?

Rincian masuk dapat diblokir karena beberapa alasan. Penting untuk dicatat bahwa Perlindungan Identitas hanya menghasilkan deteksi risiko saat info masuk yang benar digunakan dalam permintaan autentikasi. Jika pengguna menggunakan info masuk yang salah, info masuk tidak akan ditandai oleh Perlindungan Identitas karena tidak ada risiko penyusupan info masuk kecuali pelaku yang buruk menggunakan info masuk yang benar. Beberapa alasan pengguna dapat diblokir dari penandatanganan yang tidak akan menghasilkan deteksi Perlindungan Identitas meliputi:

  • IP dapat diblokir karena aktivitas berbahaya dari alamat IP. Pesan yang diblokir IP tidak membedakan apakah info masuk tersebut benar atau tidak. Jika IP diblokir dan info masuk yang benar tidak digunakan, deteksi Perlindungan Identitas tidak akan dihasilkan
  • Smart Lockout dapat memblokir akun agar tidak masuk setelah beberapa upaya gagal
  • Kebijakan Akses Bersyarat dapat diberlakukan yang menggunakan kondisi selain tingkat risiko untuk memblokir permintaan autentikasi

Bagaimana cara mendapatkan laporan deteksi jenis tertentu?

Buka tampilan deteksi risiko dan filter berdasarkan 'Jenis deteksi'. Kemudian, Anda dapat mengunduh laporan ini dalam format .CSV atau .JSON menggunakan tombol Unduh di bagian atas. Untuk mengetahui informasi selengkapnya, lihat artikel Panduan: Menyelidiki risiko.

Mengapa saya tidak dapat mengatur tingkat risiko saya sendiri untuk setiap deteksi risiko?

Tingkat risiko dalam Perlindungan Identitas didasarkan pada presisi deteksi dan didukung oleh pembelajaran mesin kami yang diawasi. Untuk menyesuaikan pengalaman apa yang disajikan pengguna, administrator dapat menyertakan/mengecualikan pengguna/grup tertentu dari Risiko Pengguna dan Kebijakan Risiko Rincian Masuk.

Mengapa lokasi masuk tidak cocok dengan dari mana pengguna benar-benar masuk?

Pemetaan geolokasi IP adalah tantangan di seluruh industri. Jika Anda merasa bahwa lokasi yang tercantum dalam laporan masuk tidak cocok dengan lokasi aktual, hubungi dukungan Microsoft.

Bagaimana cara menutup deteksi risiko tertentu seperti yang saya lakukan di UI lama?

Anda dapat memberikan umpan balik tentang deteksi risiko dengan mengonfirmasi rincian masuk yang ditautkan sebagai disusupi atau aman. Umpan balik yang diberikan pada rincian masuk mengalir ke semua deteksi yang dibuat pada rincian masuk tersebut. Jika Anda ingin menutup deteksi yang tidak ditautkan ke rincian masuk, Anda dapat memberikan umpan balik tersebut pada tingkat pengguna. Untuk mengetahui informasi selengkapnya, lihat artikel Panduan: Memberikan umpan balik risiko di Azure AD Identity Protection.

Seberapa jauh saya dapat kembali ke masa lalu untuk memahami apa yang terjadi dengan pengguna saya?

  • Tampilan pengguna berisiko menunjukkan peringkat risiko pengguna berdasarkan semua rincian masuk sebelumnya.
  • Tampilan proses masuk riskan menunjukkan tanda-tanda berisiko dalam 30 hari terakhir.
  • Tampilan deteksi risiko menunjukkan deteksi risiko yang dilakukan dalam 90 hari terakhir.

Bagaimana cara mempelajari lebih lanjut tentang deteksi tertentu?

Semua deteksi risiko didokumentasikan dalam artikel Apa itu risiko. Anda dapat mengarahkan kursor ke simbol (i) di samping deteksi di portal Microsoft Azure untuk mempelajari lebih lanjut tentang deteksi.

Bagaimana cara kerja mekanisme umpan balik dalam Perlindungan Identitas?

Konfirmasi disusupi (saat masuk) – Menginformasikan Azure AD Identity Protection bahwa rincian masuk tidak dilakukan oleh pemilik identitas dan menunjukkan penyusupan.

  • Setelah menerima umpan balik ini, kami memindahkan status rincian masuk dan risiko pengguna ke Dikonfirmasi disusupi dan tingkat risiko ke Tinggi.

  • Selain itu, kami memberikan informasi kepada sistem pembelajaran mesin kami untuk perbaikan penilaian risiko di masa mendatang.

    Catatan

    Jika pengguna sudah dipulihkan, jangan klik Konfirmasi disusupi karena akan memindahkan status rincian masuk dan risiko pengguna ke Dikonfirmasi disusupi dan tingkat risiko ke Tinggi.

Konfirmasi aman (saat masuk) – Menginformasikan Azure AD Identity Protection bahwa rincian masuk dilakukan oleh pemilik identitas dan tidak menunjukkan penyusupan.

  • Setelah menerima umpan balik ini, kami memindahkan status risiko rincain masuk (bukan pengguna) ke Dikonfirmasi aman dan tingkat risiko ke -.

  • Selain itu, kami memberikan informasi kepada sistem pembelajaran mesin kami untuk perbaikan penilaian risiko di masa mendatang.

    Catatan

    Hari ini, memilih konfirmasi aman pada rincian masuk tidak dengan sendirinya mencegah rincian masuk di masa mendatang dengan properti yang sama agar tidak ditandai sebagai berisiko. Cara terbaik untuk melatih sistem guna mempelajari properti pengguna adalah dengan menggunakan kebijakan proses masuk riskan dengan MFA. Ketika proses masuk riskan diminta untuk MFA dan pengguna berhasil merespons permintaan, rincian masuk dapat berhasil dan membantu melatih sistem pada perilaku pengguna yang sah.

    Jika Anda yakin pengguna tidak disusupi, gunakan Abaikan risiko pengguna pada tingkat pengguna alih-alih menggunakan Dikonfirmasi aman pada tingkat masuk. Abaikan risiko pengguna pada tingkat pengguna menutup risiko pengguna dan semua proses masuk riskan dan deteksi risiko di masa lalu.

Mengapa saya melihat pengguna dengan skor risiko rendah (atau di atas), meskipun tidak ada proses masuk riskan atau deteksi risiko yang ditampilkan dalam Perlindungan Identitas?

Mengingat risiko pengguna bersifat kumulatif dan tidak kedaluwarsa, pengguna mungkin memiliki risiko pengguna rendah atau tinggi meskipun tidak ada proses masuk riskan terbaru atau deteksi risiko yang ditunjukkan dalam Perlindungan Identitas. Situasi ini bisa terjadi jika satu-satunya aktivitas berbahaya pada pengguna terjadi di luar jangka waktu kami menyimpan detail proses masuk riskan dan deteksi risiko. Kami tidak menghilangkan risiko pengguna karena pelaku buruk diketahui tetap berada di lingkungan pelanggan selama 140 hari di belakang identitas yang disusupi sebelum meningkatkan serangan mereka. Pelanggan dapat meninjau linimasa risiko pengguna untuk memahami mengapa pengguna berisiko dengan membuka: Azure Portal > Azure Active Directory > Risky users’ report > Click on an at-risk user > Details’ drawer > Risk history tab

Mengapa rincian masuk memiliki skor "risiko masuk (agregat)" Tinggi saat deteksi yang terkait dengannya berisiko rendah atau sedang?

Skor risiko agregat tinggi dapat didasarkan pada fitur lain dari rincian masuk, atau fakta bahwa lebih dari satu deteksi diaktifkan untuk rincian masuk tersebut. Dan sebaliknya, rincian masuk mungkin memiliki risiko masuk (agregat) Sedang meskipun deteksi yang terkait dengan rincian masuk berisiko tinggi.

Apa perbedaan antara deteksi "Aktivitas dari alamat IP anonim" dan "Alamat IP Anonim"?

Sumber deteksi "alamat IP Anonim" adalah Azure AD Identity Protection, sedangkan deteksi "Aktivitas dari alamat IP anonim" diintegrasikan dari Aplikasi Pertahanan Microsoft untuk Cloud). Meskipun mereka memiliki nama yang sangat mirip dan Anda mungkin melihat tumpang tindih dalam sinyal ini, mereka memiliki deteksi ujung belakang yang berbeda.