Corrigir usuários sinalizados como de risco no portal do Azure Active DirectoryRemediate users flagged for risk in the Azure Active Directory portal

Com os relatórios de segurança no Active Directory Domain Services (Azure AD), você pode avaliar a probabilidade de contas de usuário comprometidas em seu ambiente.With the security reports in the Azure Active Directory (Azure AD), you can gauge the probability of compromised user accounts in your environment. Um usuários sinalizado como de risco é um indicador de que uma conta de usuário pode ter sido comprometida.A user flagged for risk is an indicator for a user account that might have been compromised.

A Microsoft está empenhada em ajudar a manter seus ambientes protegidos.Microsoft is committed to helping keep your environments secure. Como parte desse compromisso, a Microsoft monitora continuamente atividades incomuns ou consistentes com padrões de ataques conhecidos.As part of this commitment, Microsoft continuously monitors for activities that are unusual or consistent with known attack patterns.

Se atividades incomuns que possam indicar acesso não autorizado a algumas das contas de seus usuários forem detectadas, você receberá notificações para que você possa realizar uma ação.If unusual activities that may indicate unauthorized access to some of your users’ accounts are detected, you receive notifications enabling you to take action. Isso não significa que os sistemas da Microsoft tem sido comprometidos.This does not mean that Microsoft’s own systems have been compromised.

Acesse os usuários sinalizados para o relatório de riscoAccess the users flagged for risk report

Você pode revisar usuários sinalizados para risco por meio do usuário no relatório de risco no portal do Azure.You can review users flagged for risk through the users at risk report in the Azure portal. Se você não tiver o Microsoft Azure Active Directory, poderá se inscrever gratuitamente em https://aka.ms/AccessAAD.If you don't have Azure AD, you can sign up for free at https://aka.ms/AccessAAD.

Usuários sinalizados como risco, você pode executar as seguintes ações para cada usuário:From the users flagged for risk report, you can take the following actions for each user:

  • Gerar senha temporáriaGenerate temporary password
  • Exigir que o usuário redefina a senha de forma segura na próxima vez que ele se conectarRequire the user to securely reset their password the next time they sign in
  • Ignorar o risco de usuário sem realizar nenhuma ação de correção.Dismiss the user risk without taking any remediation action.

Para obter mais informações, consulte Usuários sinalizados para o relatório de segurança de risco.For more information, see Users flagged for risk security report.

Assinatura do Azure AD para clientes do Office 365Azure AD subscription for Office 365 customers

Você também pode usar suas credenciais do Office 365 para acessar o Azure Admin Center.You can also use your Office 365 credentials to access the Azure Admin Center. Após ativar seu acesso ao Azure AD, você será redirecionado para o portal do Azure AD.After you have activated your access to Azure AD, you are redirected to the Azure AD portal. No nível de assinatura básica, a quantidade de detalhes fornecida nos relatórios é limitada.At the basic subscription level, the amount of detail provided in the reports are limited. Outras análises e dados estão disponíveis para assinantes Premium do Azure.Additional data and analytics are available for Azure Premium subscribers.

Para acessar os usuários sinalizados para relatórios de risco no centro de administração Microsoft 365:To access the Users flagged for risk reports in the Microsoft 365 admin center:

  1. No menu de navegação à esquerda, selecione Centros de administração.From the navigation menu on the left side, select Admin centers.
  2. Selecione Microsoft Azure Active Directory.Select Azure AD.
  3. Entre no centro de administração do Azure Active Directory.Log into the Azure Active Directory admin center.
  4. Se um banner for exibido na parte superior da página que diz Confira o novo portal, selecione o link.If a banner is displayed at the top of the page that says Check out the new portal, select the link.
  5. No menu de navegação à esquerda, selecione Active Directory Domain Services.In the navigation menu on the left side, select Azure Active Directory.
  6. No painel de navegação, selecione usuários sinalizados para risco da seção segurança.In the navigation pane, select Users flagged for risk from the Security section.

Ações de correçãoRemediation actions

Execute as seguintes ações para ajudar a corrigir as contas afetadas e proteger seu ambiente:Take the following actions to help rectify the impacted accounts and secure your environment:

  1. Valide as informações corretas para autenticação de vários fatores e redefinição de senha de autoatendimento.Validate correct information for multi-factor authentication and self-service password reset.

  2. Ative a autenticação multi fator para todos os usuários.Enable multi-factor authentication for all users.

  3. Use esta script de correção para cada conta afetada, para executar automaticamente as etapas a seguir:Use this remediation script for every impacted account, to automatically perform the following steps:

    a.a. Redefina a senha para proteger a conta e elimine as sessões ativas.Reset password to secure the account and kill active sessions.

    b.b. Remover representantes de caixa de correio.Remove mailbox delegates.

    c.c. Desabilitar regras de encaminhamento de mensagens para domínios externos.Disable mail forwarding rules to external domains.

    d.d. Remover a propriedade de encaminhamento de email global na caixa de correio.Remove global mail forwarding property on mailbox.

    e.e. Habilitar a MFA na conta do usuário.Enable MFA on the user's account.

    f.f. Definir a complexidade da senha na conta como alta.Set password complexity on the account to be high.

    g.g. Habilitar auditoria na caixa de correio.Enable mailbox auditing.

    h.h. Produza um log de auditoria para o administrador revisar.Produce an audit log for the administrator to review.

  4. Investigue o seu locatário do Office 365 e outras infraestruturas de TI, incluindo uma revisão de todas as configurações de locatário, contas de usuário e configurações por usuário para ver as modificações possíveis.Investigate your Office 365 tenant and other IT infrastructure, including a review of all tenant settings, user accounts, and the per-user configuration settings for possible modification. Verifique se há indicadores de métodos de persistência e indicadores de que um invasor possa se aproveitado de alguma forma para obter credenciais de VPN ou acesso a outros recursos organizacionais.Check for indicators of methods of persistence, as well as indicators an intruder may have leveraged an initial foothold to get VPN credentials, or access to other organizational resources.

  5. Como parte da sua investigação, considere se você deve notificar as autoridades do governo, incluindo a aplicação da lei.As part of your investigation, consider whether you should notify government authorities, including law enforcement.

Além disso, você deve:Additionally, you should:

Próximas etapasNext steps