在 Microsoft 365 Lighthouse 中查看和管理有风险的用户
Microsoft 每天收集和分析数万亿个用户登录信号。 这些信号用于帮助构建良好的用户登录行为模式,并确定潜在的有风险的登录尝试。 Microsoft Entra ID 保护使用这些信号来查看用户登录尝试,并在存在可疑活动时采取措施。
Microsoft 365 Lighthouse通过提供所有托管租户中风险用户的单个视图来帮助管理Microsoft Entra ID 保护检测到的风险。 可以通过重置用户密码或阻止他们登录到 Microsoft 365 帐户来快速保护有风险的用户。 还可以查看见解,以便更好地了解用户的风险并确定后续步骤。
Microsoft Entra ID 保护识别多种类型的风险,包括:
- 泄露的凭据
- 匿名 IP 使用
- 非典型旅行
- 从受感染的设备登录
- 从具有可疑活动的 IP 地址登录
- 从不熟悉的位置登录
注意
本页提供有关因许可不足而受到限制或不可用的数据的见解。
开始之前
必须先满足以下条件,用户才能出现在风险用户列表中:
客户租户必须为每个用户提供Microsoft Entra ID P1 或 P2 许可证。 有关哪些许可证支持Microsoft Entra ID 保护的详细信息,请参阅什么是标识保护?
客户租户必须在Microsoft 365 Lighthouse内处于活动状态。 若要确定租户是否处于活动状态,请参阅 Microsoft 365 Lighthouse 中的Windows 365 (云电脑) 概述页。
查看检测到的风险并采取措施
在Microsoft Entra ID 保护中,风险检测包括与Microsoft Entra ID 中的用户帐户相关的任何已识别的可疑操作。
在 Lighthouse 的左侧导航窗格中,选择 “用户>风险用户”。
在“ 风险用户 ”页上,查看列表中风险状态为“ 有风险”的用户。
选择“ 查看风险检测 ”以获取有关每个用户检测到的风险的详细信息。 有关风险类型和检测的详细信息,请参阅 什么是风险?。
对于每个用户,评估风险检测,并根据情况选择以下操作之一:
重置密码 - 更改或重置用户密码。
阻止登录 - 阻止任何人以此用户身份登录。
确认用户已泄露 - 将风险状态设置为“已确认已泄露”。
消除用户风险 - 将风险状态设置为已消除。
同时对多个用户帐户执行操作
若要同时对多个受影响的用户执行操作,请执行以下操作:
在 Lighthouse 的左侧导航窗格中,选择 “用户>风险用户”。
在“ 风险用户 ”页上,选择要执行操作的用户集。
选择要执行以下操作之一:
重置密码
阻止登录
确认用户已泄露
消除用户风险
注意
如果要管理的组织具有Microsoft Entra ID P2 许可证,建议启用基于用户风险的条件访问策略。 有关详细信息,请参阅 条件访问:基于用户风险的条件访问。
相关内容
教程:使用用户登录的风险检测触发 Azure AD 多重身份验证或密码更改 (文章)
什么是风险? (文章)
修正风险并解除阻止用户 (文章)
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈