Risico's herstellen en gebruikers deblokkeren

  • Artikel
  • 5 minuten om te lezen

Nadat u uw onderzoek hebt afgerond,wilt u actie ondernemen om het risico te verhelpen of gebruikers te deblokkeren. Organisaties hebben ook de mogelijkheid om geautomatiseerd herstel in te stellen met behulp van hun risicobeleid. Organisaties moeten proberen alle risicodetecties te sluiten die ze te zien krijgen in een periode waar uw organisatie vertrouwd mee is. Microsoft raadt aan gebeurtenissen zo snel mogelijk te sluiten, omdat tijd belangrijk is bij het werken met risico's.

Herstel

Alle actieve risicodetecties dragen bij aan de berekening van een waarde die gebruikersrisiconiveau wordt genoemd. Het risiconiveau van de gebruiker is een indicator (laag, gemiddeld, hoog) voor de waarschijnlijkheid dat een account is aangetast. Als beheerder wilt u dat alle risicodetecties worden gesloten, zodat de betrokken gebruikers geen risico meer lopen.

Sommige risicodetecties kunnen door Identity Protection worden gemarkeerd als 'Gesloten (systeem)' omdat de gebeurtenissen niet langer als riskant zijn beoordeeld.

Beheerders hebben de volgende opties om te herstellen:

  • Zelf herstellen met risicobeleid
  • Handmatig wachtwoord opnieuw instellen
  • Gebruikersrisico's afwijzen
  • Afzonderlijke risicodetecties handmatig sluiten

Zelf herstellen met risicobeleid

Als u toestaat dat gebruikers zichzelf kunnen herstellen, met Azure AD Multi-Factor Authentication (MFA) en selfservice voor wachtwoord opnieuw instellen (SSPR) in uw risicobeleid, kunnen ze zichzelf deblokkeren wanneer er risico's worden gedetecteerd. Deze detecties worden vervolgens beschouwd als gesloten. Gebruikers moeten zich eerder hebben geregistreerd voor Azure AD MFA en SSPR om te kunnen gebruiken wanneer er een risico wordt gedetecteerd.

Sommige detecties vormen mogelijk geen risico tot het niveau waarin een gebruiker zelf herstel nodig zou hebben, maar beheerders moeten deze detecties wel evalueren. Beheerders kunnen bepalen dat er aanvullende maatregelen nodig zijn, zoals het blokkeren van toegang vanaf locaties of het verlagen van het acceptabele risico in hun beleid.

Handmatig wachtwoord opnieuw instellen

Als het vereisen van wachtwoord opnieuw instellen met behulp van een beleid voor gebruikersrisico's geen optie is, kunnen beheerders alle risicodetecties voor een gebruiker sluiten met een handmatige wachtwoord opnieuw instellen.

Beheerders krijgen twee opties bij het opnieuw instellen van een wachtwoord voor hun gebruikers:

  • Een tijdelijk wachtwoord genereren: door een tijdelijk wachtwoord te genereren, kunt u onmiddellijk een identiteit in een veilige staat terug brengen. Voor deze methode moet contact worden opgenomen met de betrokken gebruikers, omdat ze moeten weten wat het tijdelijke wachtwoord is. Omdat het wachtwoord tijdelijk is, wordt de gebruiker gevraagd het wachtwoord tijdens de volgende aanmelding te wijzigen in een nieuw wachtwoord.

  • Vereisen dat de gebruiker het wachtwoord opnieuw in moet stellen: door te vereisen dat gebruikers wachtwoorden opnieuw moeten instellen, wordt zelfherstel mogelijk zonder contact op te nemen met de helpdesk of een beheerder. Deze methode is alleen van toepassing op gebruikers die zijn geregistreerd voor Azure AD MFA en SSPR. Voor gebruikers die niet zijn geregistreerd, is deze optie niet beschikbaar.

Gebruikersrisico's afwijzen

Als het opnieuw instellen van een wachtwoord geen optie voor u is, omdat de gebruiker bijvoorbeeld is verwijderd, kunt u ervoor kiezen om detecties van gebruikersrisico's te verwijderen.

Wanneer u op Gebruikersrisico sluiten klikt, worden alle gebeurtenissen gesloten en loopt de betrokken gebruiker geen risico meer. Omdat deze methode echter geen invloed heeft op het bestaande wachtwoord, wordt de gerelateerde identiteit niet terug in een veilige staat.

Afzonderlijke risicodetecties handmatig sluiten

U kunt afzonderlijke risicodetecties handmatig sluiten. Door risicodetecties handmatig te sluiten, kunt u het risiconiveau van de gebruiker verlagen. Risicodetecties worden doorgaans handmatig gesloten als reactie op een gerelateerd onderzoek. Wanneer u bijvoorbeeld met een gebruiker praat, blijkt dat een actieve risicodetectie niet meer nodig is.

Wanneer u risicodetecties handmatig sluit, kunt u een van de volgende acties uitvoeren om de status van een risicodetectie te wijzigen:

  • Bevestigen dat de gebruiker is gecompromitteerd
  • Gebruikersrisico's afwijzen
  • Aanmeldingsveilig bevestigen
  • Bevestigen dat er is gekpromitteerd aan het aanmelden

Gebruikers deblokkeren

Een beheerder kan ervoor kiezen om een aanmelding te blokkeren op basis van hun risicobeleid of onderzoek. Er kan een blok optreden op basis van aanmelding of gebruikersrisico.

Blokkering opheffen op basis van gebruikersrisico

Beheerders hebben de volgende opties om de blokkering van een account dat is geblokkeerd vanwege gebruikersrisico's op te opheffen:

  1. Wachtwoord opnieuw instellen: u kunt het wachtwoord van de gebruiker opnieuw instellen.
  2. Gebruikersrisico's afwijzen: het beleid voor gebruikersrisico's blokkeert een gebruiker als het geconfigureerde gebruikersrisiconiveau voor het blokkeren van toegang is bereikt. U kunt het risiconiveau van een gebruiker verlagen door gebruikersrisico's te sluiten of gerapporteerde risicodetecties handmatig te sluiten.
  3. De gebruiker uitsluiten van beleid: als u denkt dat de huidige configuratie van uw aanmeldingsbeleid problemen veroorzaakt voor specifieke gebruikers, kunt u de gebruikers uitsluiten. Zie de sectie Uitsluitingen in het artikel How To: Configure and enable risk policies (Uitsluitingen) in het artikel How To: Configure and enable risk policies (Risicobeleid configureren en inschakelen).
  4. Beleid uitschakelen: als u denkt dat uw beleidsconfiguratie problemen veroorzaakt voor al uw gebruikers, kunt u het beleid uitschakelen. Zie het artikel How To: Configure and enable risk policies (Risicobeleid configureren en inschakelen) voor meer informatie.

Blokkering opheffen op basis van aanmeldingsrisico

Beheerders hebben de volgende opties om een account te deblokkeren op basis van aanmeldingsrisico' s:

  1. Aanmelden vanaf een vertrouwde locatie of een vertrouwd apparaat: een veelvoorkomende reden voor geblokkeerde verdachte aanmeldingen zijn aanmeldingspogingen vanaf onbekende locaties of apparaten. Uw gebruikers kunnen snel bepalen of deze reden de blokkerende reden is door zich aan te melden vanaf een vertrouwde locatie of apparaat.
  2. De gebruiker uitsluiten van beleid: als u denkt dat de huidige configuratie van uw aanmeldingsbeleid problemen veroorzaakt voor specifieke gebruikers, kunt u de gebruikers uitsluiten. Zie de sectie Uitsluitingen in het artikel How To: Configure and enable risk policies (Uitsluitingen) in het artikel How To: Configure and enable risk policies (Risicobeleid configureren en inschakelen).
  3. Beleid uitschakelen: als u denkt dat uw beleidsconfiguratie problemen veroorzaakt voor al uw gebruikers, kunt u het beleid uitschakelen. Zie het artikel How To: Configure and enable risk policies (Risicobeleid configureren en inschakelen) voor meer informatie.

PowerShell Preview

Met behulp van de module Microsoft Graph PowerShell SDK Preview kunnen organisaties risico's beheren met behulp van PowerShell. De preview-modules en voorbeeldcode vindt u in de Azure AD GitHub-repo.

Met Invoke-AzureADIPDismissRiskyUser.ps1 het script dat is opgenomen in de repo kunnen organisaties alle riskante gebruikers in hun directory wegschrijven.

Volgende stappen

Zie het overzicht van Azure AD Identity Protection voor een Azure AD Identity Protection overzicht.