Corrigir riscos e desbloquear usuários

Depois de concluir uma investigação, você precisará tomar medidas para corrigir o risco ou desbloquear os usuários. As organizações podem habilitar a correção automatizada usando suas políticas de risco. As organizações devem tentar fechar todas as detecções de risco apresentadas em um período de tempo com o qual sua organização se sinta confortável. A Microsoft recomenda o fechamento dos eventos rapidamente, pois o tempo é essencial quando se lida com riscos.

Remediação

Todos os eventos de risco ativos contribuem para o cálculo de um nível de risco do usuário chamado valor. O nível de risco do usuário é um indicador (baixo, médio, alto) para a probabilidade de que uma conta tenha sido comprometida. Como administrador, você deseja fechar todos os eventos de risco de modo que os usuários afetados não estejam mais em risco.

Algumas detecções de riscos podem ser marcadas pelo Identity Protection como "Fechadas (sistema)", pois os eventos não foram mais determinados como arriscados.

Os administradores têm as seguintes opções para corrigir:

  • Correção automática com a política de risco
  • Redefinição de senha manual
  • Ignorar o risco de usuário
  • Fechar detecções de risco individuais manualmente

Estrutura de correção

  1. Se a conta for confirmada comprometida:
    1. Selecione o evento ou usuário nos relatórios de entradas arriscadas ou usuários arriscados e escolha "confirmar comprometido".
    2. Se uma política de risco ou uma política de Acesso Condicional não foi disparada em parte da detecção de risco e o risco não executou uma correção automática, então:
      1. Solicitar redefinição de senha.
      2. Bloquear o usuário se você suspeitar de que o invasor pode redefinir a senha ou fazer a autenticação multifator para o usuário.
      3. Revogar os tokens de atualização.
      4. Desabilite todos os dispositivos considerados comprometidos.
      5. Se estiver usando avaliação de acesso contínuo, revogue todos os tokens de acesso.

Para obter mais informações sobre o que acontece ao confirmar o comprometimento, consulte a seção Como devo fornecer comentários sobre riscos e o que acontece nos bastidores?.

Correção automática com a política de risco

Se você permitir que os usuários sejam remediados automaticamente, com a Autenticação multifator do Azure AD (MFA) e a SSPR (redefinição de senha por autoatendimento) em suas políticas de risco, eles poderão ser desbloqueados quando forem detectados riscos. Essas detecções são consideradas fechadas. Os usuários devem ter se registrado anteriormente para Azure AD MFA e SSPR para uso quando o risco for detectado.

Algumas detecções podem não aumentar o risco para o nível em que uma autocorreção do usuário seria necessária, mas os administradores ainda devem avaliar essas detecções. Os administradores podem determinar que medidas extras são necessárias, como bloquear o acesso de locais ou reduzir o risco aceitável em suas políticas.

Redefinição de senha manual

Se exigir uma redefinição de senha usando uma política de risco do usuário não for uma opção, os administradores poderão fechar todas as detecções de risco para um usuário com uma redefinição de senha manual.

Os administradores recebem duas opções ao redefinir uma senha para seus usuários:

  • Gerar uma senha temporária – ao gerar uma senha temporária, você pode imediatamente deixar uma identidade em um estado seguro novamente. Esse método requer interação com os usuários afetados, pois eles precisarão saber qual é a senha temporária. Como a senha é temporária, o usuário é solicitado a alterar a senha para algo novo durante a próxima entrada.

  • Exigir que o usuário redefina a senha – exigir que os usuários redefinam senhas permite a autorrecuperação sem entrar em contato com o suporte técnico nem com o administrador. Esse método só se aplica a usuários que estão registrados para o Azure AD MFA e SSPR. Para usuários que não foram registrados, esta opção não estará disponível.

Ignorar o risco de usuário

Se para você uma redefinição de senha não for uma opção, você poderá escolher ignorar as detecções de risco do usuário.

Quando você selecionar Ignorar risco do usuário, todos os eventos serão fechados e o usuário afetado não estará mais em risco. No entanto, como esse método não tem um impacto sobre a senha existente, ele não deixa a identidade relacionada em um estado seguro novamente.

Fechar detecções de risco individuais manualmente

Você pode fechar detecções de risco individuais manualmente. Ao fechar detecções de risco manualmente, você pode diminuir o nível de risco do usuário. Normalmente, as detecções de risco são fechadas manualmente em resposta a uma investigação relacionada. Por exemplo, ao falar com um usuário revela que uma detecção de risco ativa não é mais necessária.

Ao fechar as detecções de risco manualmente, você pode optar por executar qualquer uma das seguintes ações para alterar o status de uma detecção de risco:

  • Confirmar usuário comprometido
  • Ignorar o risco de usuário
  • Confirmar entrada segura
  • Confirmar entrada comprometida

Usuários excluídos

Não é possível aos administradores ignorar o risco dos usuários que foram excluídos do diretório. Para remover os usuários excluídos, abra um caso de suporte da Microsoft.

Desbloqueando usuários

Um administrador pode optar por bloquear uma entrada com base em suas políticas de risco ou investigações. Um bloqueio pode ocorrer com base na entrada ou no risco do usuário.

Desbloqueio com base no risco do usuário

Para desbloquear uma conta bloqueada devido ao risco do usuário, os administradores têm as seguintes opções:

  1. Redefinir senha - você pode redefinir a senha do usuário.
  2. Ignorar risco do usuário – a política de risco do usuário bloqueia um usuário se o nível de risco do usuário configurado para bloquear o acesso tiver sido atingido. Você pode reduzir o nível de risco de um usuário ignorando o risco do usuário ou fechando manualmente as detecções de risco relatadas.
  3. Excluir o usuário da política – se você acredita que a configuração atual da sua política de entrada está causando problemas para usuários específicos, você pode excluir os usuários dele. Para obter mais informações, confira a seção Exclusões no artigo Como configurar e habilitar políticas de risco.
  4. Desabilitar política - se você achar que sua configuração de política está causando problemas para todos os usuários, poderá desabilitar a política. Para obter mais informações, confira o artigo Como configurar e habilitar políticas de risco.

Desbloqueio com base no risco de entrada

Para desbloquear uma conta baseada em risco de entrada, os administradores têm as seguintes opções:

  1. Entrada de um local ou dispositivo familiar – uma razão comum para entradas suspeitas bloqueadas são as tentativas de entrada de locais ou de dispositivos desconhecidos. Os usuários podem determinar rapidamente se esse é o motivo do bloqueio, tentando entrar de um dispositivo ou local familiar.
  2. Excluir o usuário da política – se você acredita que a configuração atual da sua política de entrada está causando problemas para usuários específicos, você pode excluir os usuários dele. Para obter mais informações, confira a seção Exclusões no artigo Como configurar e habilitar políticas de risco.
  3. Desabilitar política - se você achar que sua configuração de política está causando problemas para todos os usuários, poderá desabilitar a política. Para obter mais informações, confira o artigo Como configurar e habilitar políticas de risco.

PowerShell (versão prévia)

Ao usar o módulo de versão prévia do SDK do Microsoft Graph PowerShell, as organizações podem gerenciar riscos usando o PowerShell. Os módulos de visualização e o código de exemplo podem ser encontrados no repositório GitHub do Azure AD.

O script Invoke-AzureADIPDismissRiskyUser.ps1 incluído no repositório permite que as organizações ignorem todos os usuários suspeitos em seu diretório.

Próximas etapas

Para obter uma visão geral do Azure AD Identity Protection, veja a Visão geral do Azure AD Identity Protection.