Anvisningar: Ge riskfeedback i Microsoft Entra ID Protection
Med Microsoft Entra ID Protection kan du ge feedback om riskbedömningen. I följande dokument visas scenarier där du vill ge feedback om Microsoft Entra ID Protection riskbedömning och hur vi införlivar den.
Vad är en identifiering?
Identifiering av ID Protection är en indikator på misstänkt aktivitet ur ett identitetsriskperspektiv. Dessa misstänkta aktiviteter kallas riskidentifieringar. Dessa identitetsbaserade identifieringar kan baseras på heuristik, maskininlärning eller komma från partnerprodukter. Dessa identifieringar används för att fastställa inloggningsrisk och användarrisk,
- Användarrisken representerar sannolikheten för att en identitet komprometteras.
- Inloggningsrisken representerar sannolikheten för att en inloggning komprometteras (till exempel har identitetsägaren inte godkänt inloggningen).
Varför ska jag ge riskfeedback till Microsoft Entra-ID:ts riskbedömningar?
Det finns flera orsaker till varför du bör ge Microsoft Entra riskfeedback:
- Du har upptäckt att Microsoft Entra-ID:ts riskbedömning för användare eller inloggning är felaktig. En inloggning som visas i rapporten "Riskfyllda inloggningar" var till exempel godartad och alla identifieringar på inloggningen var falska positiva identifieringar.
- Du har verifierat att Microsoft Entra-ID:ts riskbedömning för användare eller inloggning var korrekt. En inloggning som visas i rapporten "Riskfyllda inloggningar" var till exempel skadlig och du vill att Microsoft Entra-ID ska veta att alla identifieringar på inloggningen var sanna positiva.
- Du har åtgärdat risken för den användaren utanför Microsoft Entra ID Protection och vill att användarens risknivå ska uppdateras.
Hur använder Microsoft Entra ID min riskfeedback?
Microsoft Entra-ID använder din feedback för att uppdatera risken för den underliggande användaren och/eller inloggningen och noggrannheten för dessa händelser. Den här feedbacken hjälper till att skydda slutanvändaren. När du till exempel har bekräftat att en inloggning har komprometterats ökar Microsoft Entra-ID:t omedelbart användarens risk och inloggningens aggregerade risk (inte realtidsrisk) till Hög. Om den här användaren ingår i din användarriskprincip för att tvinga användare med hög risk att återställa sina lösenord på ett säkert sätt, kommer användaren automatiskt att åtgärda sig själv nästa gång de loggar in.
Hur ska jag ge riskfeedback och vad som händer under huven?
Här följer scenarier och mekanismer för att ge riskfeedback till Microsoft Entra-ID.
| Scenario | Hur ger jag feedback? | Vad händer under huven? | Kommentar |
|---|---|---|---|
| Inloggningen har inte komprometterats (falskt positivt) Rapporten "Riskfyllda inloggningar" visar en inloggning i riskzonen [Risktillstånd = Risk] men den inloggningen komprometterades inte. |
Välj inloggningen och sedan Bekräfta inloggningssäkert. | Vi flyttar inloggningens aggregerade risk till ingen [Risktillstånd = Bekräftat kassaskåp; Risknivå (aggregering) = -] och ändra dess effekt på användarrisken. | För närvarande är alternativet Bekräfta inloggningssäkert endast tillgängligt i rapporten Riskfyllda inloggningar. |
| Inloggning komprometterad (sann positiv) Rapporten "Riskfyllda inloggningar" visar en riskinloggning [Risktillstånd = Risk] med låg risk [risknivå (aggregering) = låg] och att inloggningen verkligen komprometterades. |
Välj inloggningen och sedan Bekräfta att inloggningen har komprometterats. | Vi flyttar inloggningens aggregerade risk och användarrisken till Hög [Risktillstånd = Bekräftad komprometterad; Risknivå = Hög]. | För närvarande är alternativet Bekräfta inloggning komprometterad endast tillgängligt i rapporten Riskfyllda inloggningar. |
| Användaren komprometterad (sann positiv) Rapporten "Riskfyllda användare" visar en riskanvändare [Risktillstånd = Risk] med låg risk [Risknivå = Låg] och att användaren verkligen komprometterades. |
Välj användaren och sedan "Bekräfta att användaren har komprometterats". | Vi flyttar användarrisken till hög [risktillstånd = Bekräftad komprometterad; Risknivå = Hög] och lägg till en ny identifiering "Administratören bekräftade att användaren har komprometterats". | För närvarande är alternativet "Bekräfta att användaren har komprometterats" endast tillgängligt i rapporten Riskfyllda användare. Identifieringen "Administratören bekräftade att användaren har komprometterats" visas på fliken "Riskidentifieringar som inte är länkade till en inloggning" i rapporten "Riskfyllda användare". |
| Användare som åtgärdats utanför Microsoft Entra ID Protection (True positive + Remediated) Rapporten Riskfyllda användare visar en riskanvändare och jag har sedan åtgärdat användaren utanför Microsoft Entra ID Protection. |
1. Välj användaren och sedan "Bekräfta att användaren har komprometterats". (Den här processen bekräftar för Microsoft Entra ID att användaren verkligen har komprometterats.) 2. Vänta tills användarens risknivå går till Hög. (Den här gången ger Microsoft Entra-ID den tid som krävs för att ta ovanstående feedback till riskmotorn.) 3. Välj användaren och sedan "Stäng användarrisken". (Den här processen bekräftar för Microsoft Entra ID att användaren inte längre är komprometterad.) |
Microsoft Entra-ID flyttar användarrisken till ingen [Risktillstånd = Avvisad; Risknivå = -] och stänger risken för att alla befintliga inloggningar har aktiv risk. | Om du klickar på "Stäng användarrisk" stängs alla risker för användaren och tidigare inloggningar. Det går inte att ångra den här åtgärden. |
| Användaren har inte komprometterats (falskt positivt) Rapporten "Riskfyllda användare" visas hos riskanvändaren, men användaren är inte komprometterad. |
Välj användaren och sedan "Stäng användarrisken". (Den här processen bekräftar för Microsoft Entra ID att användaren inte har komprometterats.) | Microsoft Entra-ID flyttar användarrisken till ingen [Risktillstånd = Avvisad; Risknivå = -]. | Om du klickar på "Stäng användarrisk" stängs alla risker för användaren och tidigare inloggningar. Det går inte att ångra den här åtgärden. |
| Jag vill stänga användarrisken men jag är inte säker på om användaren är komprometterad/säker. | Välj användaren och sedan "Stäng användarrisken". (Den här processen bekräftar för Microsoft Entra ID att användaren inte längre är komprometterad.) | Vi flyttar användarrisken till ingen [Risktillstånd = Avvisad; Risknivå = -]. | Om du klickar på "Stäng användarrisk" stängs alla risker för användaren och tidigare inloggningar. Det går inte att ångra den här åtgärden. Vi rekommenderar att du åtgärdar användaren genom att klicka på Återställ lösenord eller be användaren att återställa/ändra sina autentiseringsuppgifter på ett säkert sätt. |
Feedback om användarriskidentifieringar i ID Protection bearbetas offline och kan ta lite tid att uppdatera. Kolumnen tillstånd för riskbearbetning ger det aktuella tillståndet för feedbackbearbetning.