在 Microsoft Entra 外部 ID 中使用 Identity Protection 調查風險
Microsoft Entra Identity Protection 為您的外部租使用者提供持續的風險偵測。 它可讓組織探索、調查及補救身分識別型風險。 Identity Protection 隨附風險報告,可用來調查外部租使用者中的身分識別風險。 在本文中,您將瞭解如何調查和降低風險。
Identity Protection 報告
Identity Protection 提供兩個報告。 具 風險的使用者 報告是系統管理員可以找到哪些用戶有風險,以及偵測的詳細數據。 風險 偵測 報告會提供每個風險偵測的相關信息。 此報告包含風險類型、同時觸發的其他風險、登入嘗試的位置等等。
每種報告啟動時,都會隨附報告頂端所示期間所有偵測的清單。 橫跨報告頂端的篩選器可供篩選報告。 管理員 istrators 可以選擇下載資料或使用MS Graph API 和 Microsoft Graph PowerShell SDK 可持續導出數據。
服務限制和考慮
使用 Identity Protection 時,請考慮下列幾點:
- 試用版租用戶無法使用 Identity Protection。
- Identity Protection 預設為開啟。
- Identity Protection 適用於本機和社交身分識別,例如 Google 或 Facebook。 偵測受到限制,因為外部識別提供者會管理社交帳戶認證。
- 目前在 Microsoft Entra 外部租使用者中,有一部分 Microsoft Entra ID Protection 風險偵測 可供使用。 Microsoft Entra 外部 ID 支援下列風險偵測:
風險偵測類型 | 描述 |
---|---|
非慣用登入位置 | 根據使用者最近的登入,從非典型位置登入。 |
匿名 IP 位址 | 從匿名IP位址登入(例如:Tor 瀏覽器、匿名 VPN)。 |
已連結惡意程式碼的 IP 位址 | 從惡意代碼連結的IP位址登入。 |
不熟悉的登入屬性 | 使用我們最近未為指定使用者看到的屬性登入。 |
管理員 已確認使用者遭入侵 | 系統管理員已指出使用者遭到入侵。 |
密碼噴灑 | 透過密碼噴灑攻擊登入。 |
Microsoft Entra 威脅情報 | Microsoft 的內部和外部威脅情報來源已確定了一種已知的攻擊模式。 |
調查有風險的使用者
透過風險使用者報告提供的資訊,系統管理員可以找到:
- 風險狀態,顯示哪些用戶有風險、有風險補救,或有風險已解除
- 關於偵測的詳細資料
- 所有風險性登入的歷程記錄
- 風險歷程記錄
接著,系統管理員可以選擇對這些事件採取動作。 系統管理員可以選擇:
- 重設使用者密碼
- 確認使用者遭入侵
- 解除使用者風險
- 阻止使用者登入
- 使用 Azure ATP 進一步調查
系統管理員可以選擇在 Microsoft Entra 系統管理中心關閉使用者的風險,或透過 Microsoft Graph API 關閉用戶風險以程式設計方式關閉用戶風險。 需要 管理員 istrator 許可權才能關閉用戶的風險。 有風險的使用者或代表使用者工作的系統管理員可以補救風險,例如透過密碼重設。
流覽有風險的用戶報告
請確定您使用的是包含 Microsoft Entra 外部租使用者的目錄:選取工具列中的 設定 圖示,並從 [目錄 + 訂用帳戶] 選單尋找您的外部租使用者。 如果不是目前目錄,請選取 [ 切換]。
流覽至 Identity Protection>資訊安全中心。>
選取 [ Identity Protection]。
在 [報告] 底下,選取 [具風險的使用者]。
選取個別項目時,偵測下方即會展開詳細資料視窗。 詳細資料檢視可讓系統管理員調查及執行每項偵測的動作。
風險偵測報告
風險 偵測 報告包含過去 90 天 (三個月) 的可篩選數據。
系統管理員可以利用風險偵測報告所提供的資訊來尋找:
- 每項風險偵測的相關資訊,包括類型。
- 同時觸發的其他風險。
- 登入嘗試位置。
接著,系統管理員可以選擇返回使用者的風險或登入報告,依據收集到的資訊採取行動。
瀏覽風險偵測報告
流覽至 Identity Protection>資訊安全中心。>
選取 [ Identity Protection]。
在 [報告] 底下,選取 [風險偵測]。