Åtgärda risker och avblockera användare

  • Artikel
  • 4 minuter för att läsa

När du har slutförtundersökningen bör du vidta åtgärder för att åtgärda risken eller avblockera användare. Organisationer har också möjlighet att aktivera automatiserad reparation med hjälp av sina riskprinciper. Organisationer bör försöka stänga alla riskidentifieringar som de presenteras under en tidsperiod som din organisation är bekväm med. Microsoft rekommenderar att du stänger händelser så snart som möjligt eftersom tiden är viktig när du arbetar med risker.

Åtgärder

Alla aktiva riskidentifieringar bidrar till beräkningen av ett värde som kallas risknivå för användare. Risknivån för användare är en indikator (låg, medel, hög) för sannolikheten att ett konto har komprometterats. Som administratör vill du få alla riskidentifieringarna stängda så att de berörda användarna inte längre är utsatta för risk.

Vissa riskidentifieringar kan markeras av Identity Protection som "Stängd (system)" eftersom händelserna inte längre kunde fastställas vara riskfyllda.

Administratörer har följande alternativ för att åtgärda detta:

  • Självreparation med riskprincip
  • Manuell lösenordsåterställning
  • Ignorera användarrisk
  • Stänga enskilda riskidentifieringar manuellt

Självreparation med riskprincip

Om du tillåter att användarna själva åtgärdar, med Azure AD Multi-Factor Authentication (MFA) och lösenordsåterställning via självbetjäning (SSPR) i dina riskprinciper, kan de avblockera sig själva när risker identifieras. Dessa identifieringar anses sedan vara stängda. Användare måste tidigare ha registrerats för Azure AD MFA och SSPR för att kunna använda när risk identifieras.

Vissa identifieringar kanske inte ökar risken till den nivå där en självreparation av användaren krävs, men administratörer bör fortfarande utvärdera dessa identifieringar. Administratörer kan fastställa att ytterligare åtgärder är nödvändiga, t.ex. att blockera åtkomst från platser eller sänka den godtagbara risken i sina principer.

Manuell lösenordsåterställning

Om det inte är ett alternativ att kräva en lösenordsåterställning med en användarriskprincip kan administratörer stänga alla riskidentifieringar för en användare med en manuell lösenordsåterställning.

Administratörer får två alternativ när de återställer ett lösenord för sina användare:

  • Generera ett tillfälligt lösenord – Genom att generera ett tillfälligt lösenord kan du omedelbart återställa en identitet till ett säkert tillstånd. Den här metoden kräver att du kontaktar de berörda användarna eftersom de behöver veta vad det tillfälliga lösenordet är. Eftersom lösenordet är tillfälligt uppmanas användaren att ändra lösenordet till något nytt vid nästa inloggning.

  • Kräv att användaren återställer lösenord – Om användarna måste återställa lösenord kan de återställa sig själva utan att kontakta supportavdelningen eller en administratör. Den här metoden gäller endast för användare som är registrerade för Azure AD MFA och SSPR. Det här alternativet är inte tillgängligt för användare som inte har registrerats.

Ignorera användarrisk

Om en lösenordsåterställning inte är ett alternativ för dig, eftersom användaren till exempel har tagits bort, kan du välja att ignorera riskidentifiering för användare.

När du klickar på Stäng användarrisk stängs alla händelser och den berörda användaren är inte längre i riskzonen. Men eftersom den här metoden inte påverkar det befintliga lösenordet, förs den relaterade identiteten inte tillbaka till ett säkert tillstånd.

Stänga enskilda riskidentifieringar manuellt

Du kan stänga enskilda riskidentifieringar manuellt. Genom att stänga riskidentifieringarna manuellt kan du sänka risknivån för användaren. Riskidentifieringarna stängs vanligtvis manuellt som svar på en relaterad undersökning. När du till exempel pratar med en användare avslöjar det att en aktiv riskidentifiering inte längre krävs.

När du stänger riskidentifiering manuellt kan du välja att vidta någon av följande åtgärder för att ändra status för en riskidentifiering:

  • Bekräfta att användaren har komprometterats
  • Ignorera användarrisk
  • Bekräfta att inloggningen är säker
  • Bekräfta att inloggningen har komprometterats

Avblockera användare

En administratör kan välja att blockera en inloggning baserat på deras riskprincip eller utredningar. Ett block kan inträffa baserat på antingen inloggning eller användarrisk.

Avblockering baserat på användarrisk

Administratörer har följande alternativ för att avblockera ett konto som blockerats på grund av användarrisker:

  1. Återställ lösenord – Du kan återställa användarens lösenord.
  2. Ignorera användarrisk – Riskprincipen blockerar en användare om den konfigurerade risknivån för åtkomstblockering har uppnåtts. Du kan minska en användares risknivå genom att ignorera användarrisken eller manuellt stänga rapporterade riskidentifieringar.
  3. Undanta användaren från principen – Om du tror att den aktuella konfigurationen av inloggningsprincipen orsakar problem för specifika användare kan du undanta användarna från den. Mer information finns i avsnittet Undantag i artikeln How To: Configure and enable risk policies.
  4. Inaktivera princip – Om du tror att principkonfigurationen orsakar problem för alla användare kan du inaktivera principen. Mer information finns i artikeln How To: Configure and enable risk policies.

Avblockering baserat på inloggningsrisk

Administratörer har följande alternativ för att avblockera ett konto baserat på inloggningsrisk:

  1. Logga in från en välbekant plats eller enhet – En vanlig orsak till blockerade misstänkta inloggningar är inloggningsförsök från okända platser eller enheter. Användarna kan snabbt avgöra om det här är orsaken till blockeringen genom att försöka logga in från en bekant plats eller enhet.
  2. Undanta användaren från principen – Om du tror att den aktuella konfigurationen av inloggningsprincipen orsakar problem för specifika användare kan du undanta användarna från den. Mer information finns i avsnittet Undantag i artikeln How To: Configure and enable risk policies.
  3. Inaktivera princip – Om du tror att principkonfigurationen orsakar problem för alla användare kan du inaktivera principen. Mer information finns i artikeln How To: Configure and enable risk policies.

PowerShell-förhandsgranskning

Med hjälp av Microsoft Graph PowerShell SDK Preview-modulen kan organisationer hantera risker med hjälp av PowerShell. Förhandsversionsmodulerna och exempelkoden finns i Azure AD-lagringsplatsen GitHub lagringsplatsen.

Skriptet Invoke-AzureADIPDismissRiskyUser.ps1 som ingår i lagringsplatsen gör att organisationer kan avvisa alla riskfyllda användare i katalogen.

Nästa steg

En översikt över Azure AD Identity Protection finns i Azure AD Identity Protection översikt.