Correggere i rischi e sbloccare gli utenti

Dopo aver completato l'indagine sui rischi, è necessario intervenire per correggere gli utenti rischiosi o sbloccarli. È possibile abilitare la correzione automatica configurando criteri basati sul rischio o aggiornando manualmente lo stato di rischio dell'utente. Microsoft consiglia di agire rapidamente perché il tempo è importante quando si lavora con i rischi.

Questo articolo illustra diverse opzioni per la correzione dei rischi. È possibile abilitare la correzione automatica per gli utenti o correggere manualmente i rischi per conto dell'utente. Questo articolo illustra anche gli scenari in cui gli utenti sono stati bloccati a causa del rischio utente, in modo da sapere come sbloccarli.

Tipi di correzione dei rischi

Tutti i rilevamenti di rischio attivi contribuiscono al calcolo del livello di rischio dell'utente. Il livello di rischio utente è un indicatore (basso, medio, alto) della probabilità che l'account dell'utente venga compromesso. Dopo aver esaminato gli utenti rischiosi e i rilevamenti e gli accessi a rischio corrispondenti, è necessario correggere gli utenti rischiosi in modo che non siano più a rischio o bloccati dall'accesso.

Quando Microsoft Entra ID Protection identifica un rilevamento dei rischi e l'accesso rischioso corrispondente come non più una minaccia per la sicurezza, lo stato di rischio viene aggiornato automaticamente come Ignorato e i dettagli del rischio come Microsoft Entra ID Protection ha valutato la sicurezza dell'accesso. Questa correzione automatica riduce il rumore nel monitoraggio dei rischi, in modo da poter concentrarsi sulle cose che richiedono attenzione.

Gli amministratori IT possono configurare la possibilità per gli utenti di correggere automaticamente o correggere manualmente per conto dell'utente.

Le opzioni di correzione automatica includono:

• Configurare criteri basati sul rischio per consentire agli utenti di correggere autonomamente i rischi.
• Consentire agli utenti di correggere automaticamente i rischi utente usando la reimpostazione della password self-service.
• Avviare una reimpostazione della password per consentire all'utente di correggere il rischio utente.

Le opzioni di correzione manuale includono:

• Ignorare il rischio dell'utente.
• Verificare che l'utente sia compromesso e intervenire per proteggere l'account.
• Sbloccare l'utente in base al rischio utente o al rischio di accesso.

È anche possibile correggere in Microsoft Defender per identità.

Auto-rimediazione dell'utente

Gli amministratori IT hanno diverse opzioni per configurare la correzione automatica per gli utenti.

Criteri basati sui rischi

È possibile consentire agli utenti di correggere autonomamente i rischi di accesso e i rischi degli utenti configurando criteri basati sui rischi. Se gli utenti passano il controllo di accesso necessario, ad esempio l'autenticazione a più fattori o la modifica della password sicura, i rischi vengono corretti automaticamente. I rilevamenti di rischio, gli accessi a rischio e gli utenti rischiosi corrispondenti vengono segnalati con lo stato di rischio Risolto invece di A rischio.

Affinché i criteri basati sul rischio vengano applicati per consentire la correzione automatica, gli utenti devono prima essere in grado di:

• Eseguire l'autenticazione a più fattori per correggere automaticamente un rischio di accesso:
  • L'utente deve essere registrato per l'autenticazione a più fattori di Microsoft Entra.
• Eseguire la modifica della password sicura per correggere automaticamente un rischio utente:
  • L'utente deve essere registrato per l'autenticazione a più fattori di Microsoft Entra.
  • Per gli utenti ibridi sincronizzati dall'ambiente locale al cloud, il writeback delle password deve essere abilitato per la modifica della password per la sincronizzazione dal cloud all'ambiente locale.

Se un criterio basato sul rischio viene applicato durante l'accesso in cui i criteri non vengono soddisfatti, l'utente viene bloccato. Questo blocco si verifica perché l'utente non può eseguire il passaggio richiesto, quindi è necessario l'intervento dell'amministratore per sbloccare l'utente.

I criteri basati sui rischi vengono configurati in base ai livelli di rischio e si applicano solo se il livello di rischio dell'accesso o dell'utente corrisponde al livello configurato. Alcuni rilevamenti potrebbero non aumentare il rischio al livello in cui si applicano i criteri, quindi gli amministratori devono gestire manualmente tali utenti rischiosi. Gli amministratori possono determinare che sono necessarie misure aggiuntive, ad esempio bloccare l'accesso da posizioni o ridurre il rischio accettabile nei propri criteri.

Reimpostazione autonoma della password

Se un utente è registrato per la reimpostazione della password self-service, può correggere il proprio rischio utente eseguendo una reimpostazione della password self-service.

Reimpostazione manuale della password

Se la richiesta di una reimpostazione della password tramite un criterio di rischio utente non è un'opzione o il tempo è essenziale, gli amministratori possono correggere un utente rischioso richiedendo una reimpostazione della password.

Gli amministratori possono generare una password temporanea o richiedere all'utente di reimpostare la password.

Generare una password temporanea

Generando una password temporanea, è possibile ripristinare immediatamente un'identità in uno stato sicuro. Questo metodo richiede di contattare gli utenti interessati perché devono sapere qual è la password temporanea. Poiché la password è temporanea, all'accesso successivo all'utente verrà chiesto di modificare la password.

• È possibile generare password per gli utenti cloud e ibridi nell'interfaccia di amministrazione di Microsoft Entra.
• È possibile generare password per gli utenti ibridi dalla directory locale se sono presenti le impostazioni seguenti:
  • Seguire le indicazioni per implementare la sincronizzazione dell'hash delle password.
  • Abilitare l'impostazione Consenti modifica password locale per reimpostare il rischio utente in Microsoft Entra ID Protection.Enable the Allow on-premises password change to reset user risk setting in Microsoft Entra ID Protection.
  • Abilitare la reimpostazione della password self-service.
  • In Active Directory selezionare l'opzione User must change password at next logon solo se tutto nei punti precedenti è abilitato.

Richiedere all'utente di reimpostare la password

Richiedere agli utenti di reimpostare le password consente il ripristino automatico senza contattare l'help desk o un amministratore.

• Gli utenti cloud e ibridi possono completare una modifica della password sicura. Questo metodo si applica solo agli utenti che possono eseguire già MFA. Per gli utenti non registrati, questa opzione non è disponibile.
• Gli utenti ibridi possono completare una modifica della password da un dispositivo Windows locale o ibrido aggiunto, quando la sincronizzazione dell'hash delle password e l'impostazione Consenti modifica password locale per reimpostare il rischio utente è abilitata.

Consentire la reimpostazione della password locale per correggere i rischi utente

Se l'organizzazione ha un ambiente ibrido, è possibile consentire le modifiche alle password locali per reimpostare i rischi utente con la sincronizzazione dell'hash delle password. È necessario abilitare la sincronizzazione dell'hash delle password prima che gli utenti possano correggere automaticamente in questi scenari.

• Gli utenti ibridi rischiosi possono correggere automaticamente senza l'intervento dell'amministratore. Quando una password viene modificata in locale, il rischio utente viene automaticamente risolto all'interno di Microsoft Entra ID Protection, reimpostando lo stato di rischio utente corrente.
• Le organizzazioni possono distribuire in modo proattivo criteri di rischio utente che richiedono modifiche alle password per proteggere in modo sicuro gli utenti ibridi. Questa opzione rafforza il comportamento di sicurezza dell'organizzazione e semplifica la gestione della sicurezza assicurando che i rischi utente vengano risolti tempestivamente, anche in ambienti ibridi complessi.

Per configurare questa impostazione:

1. Effettua l'accesso al Centro amministrativo di Microsoft Entra come almeno un Operatore di sicurezza.
2. Passare a ID ProtectionDashboardSettings (Impostazionidashboard> protezione > ID).
3. Selezionare la casella Consenti la modifica della password locale per reimpostare il rischio utente e selezionare Salva.

Correzione manuale dell'amministratore

In alcune situazioni, potrebbe essere necessario correggere manualmente o confermare il rischio di un utente.

Ignorare il rischio utente

Se dopo l'indagine si conferma che l'account utente non è a rischio di essere compromesso, è possibile ignorare l'utente rischioso.

1. Effettua l'accesso al Centro amministrativo di Microsoft Entra come almeno un Operatore di sicurezza.
2. Passare a ID Protection>Utenti a rischio e selezionare l'utente interessato.
3. Selezionare Ignora rischi per gli utenti. Quando si seleziona Ignorare il rischio utente, l'utente non è più a rischio e tutti gli accessi a rischio e i rilevamenti dei rischi corrispondenti vengono ignorati.

Poiché questo metodo non influisce sulla password esistente dell'utente, non riporta la propria identità in uno stato sicuro.

Stato del rischio e dettaglio in base all'eliminazione del rischio

• Utente rischioso:
  • Stato di rischio: "A rischio" -> "Ignorato"
  • Dettagli del rischio (dettaglio della correzione del rischio): "-" -> "L'amministratore ha ignorato tutti i rischi per l'utente"
• Tutti gli accessi a rischio di questo utente e i rilevamenti di rischi corrispondenti:
  • Stato di rischio: "A rischio" -> "Ignorato"
  • Dettagli del rischio (dettaglio della correzione del rischio): "-" -> "L'amministratore ha ignorato tutti i rischi per l'utente"

Confermare la compromissione di un utente

Se dopo l'indagine, un account viene confermato compromesso:

1. Selezionare l'evento o l'utente nei report Accessi a rischio o Utenti rischiosi e scegliere Conferma compromesso.
2. Se non è stato attivato un criterio basato sul rischio e il rischio non è stato corretto automaticamente usando uno dei metodi descritti in questo articolo, eseguire una o più delle azioni seguenti:
   1. Richiedere la reimpostazione della password.
   2. Bloccare l'utente se si sospetta che l'utente malintenzionato possa reimpostare la password o eseguire l'autenticazione a più fattori per l'utente.
   3. Revocare i token di aggiornamento.
   4. Disabilitare tutti i dispositivi considerati compromessi.
   5. Se si usa la valutazione degli accessi continui, revocare tutti i token di accesso.

Per altre informazioni su cosa accade quando si conferma la compromissione, vedere Come fornire feedback sui rischi.

Gli utenti eliminati

Se un utente è stato eliminato dalla directory che presentava un rischio, tale utente viene comunque visualizzato nel report dei rischi anche se l'account è stato eliminato. Gli amministratori non possono ignorare il rischio per gli utenti eliminati dalla directory. Per rimuovere gli utenti eliminati, aprire un caso di supporto Tecnico Microsoft.

Sblocco degli utenti

Gli amministratori possono bloccare un accesso in base ai criteri di rischio o alle indagini. Un blocco può verificarsi in base al rischio di accesso o al rischio utente.

Sblocco in base al rischio utente

Per sbloccare un account bloccato a causa del rischio utente, sono disponibili le opzioni seguenti:

1. Reimposta password : se un utente è compromesso o è a rischio di compromissione, la password dell'utente deve essere reimpostata per proteggere l'account e l'organizzazione.
2. Ignora il rischio utente: i criteri di rischio utente bloccano un utente quando viene raggiunto il livello di rischio utente configurato per bloccare l'accesso. Se dopo l'indagine si è certi che l'utente non sia a rischio di essere compromesso ed è sicuro consentire l'accesso, è possibile ridurre il livello di rischio di un utente ignorando il rischio utente.
3. Escludere l'utente dal criterio: se si ritiene che la configurazione corrente della tua politica di accesso causi problemi per utenti specifici, ed è sicuro concedere l'accesso a questi utenti senza applicare questo criterio, è possibile escluderli da questo criterio. Per altre informazioni, vedere Procedura: Configurare e abilitare i criteri di rischio.
4. Disabilitazione del criterio : se si ritiene che la configurazione del criterio provochi problemi per tutti gli utenti, è possibile disabilitare il criterio. Per altre informazioni, vedere Procedura: Configurare e abilitare i criteri di rischio.

Sblocco in base al rischio di accesso

Per sbloccare un account in base al rischio di accesso, sono disponibili le opzioni seguenti:

1. Accesso da una località o un dispositivo familiare: un motivo comune del blocco di accessi sospetti è costituito da tentativi di accesso da località o dispositivi non familiari. Gli utenti possono determinare rapidamente se questo è il motivo del blocco provando ad accedere da una località o da un dispositivo familiare.
2. Esclusione dell'utente dai criteri: se si ritiene che la configurazione corrente dei criteri di accesso causi problemi per specifici utenti, è possibile escludere tali utenti dai criteri. Per altre informazioni, vedere la sezione Esclusioni nell'articolo Procedura: Configurare e abilitare i criteri di rischio.
3. Disabilitazione del criterio : se si ritiene che la configurazione del criterio provochi problemi per tutti gli utenti, è possibile disabilitare il criterio. Per altre informazioni, vedere Procedura: Configurare e abilitare i criteri di rischio.

Blocco automatico a causa di un rischio di attendibilità elevata

Microsoft Entra ID Protection blocca automaticamente gli accessi che hanno una probabilità molto elevata di essere rischiosi. Questo blocco si verifica più comunemente negli accessi eseguiti usando protocolli di autenticazione legacy o visualizzando proprietà di un tentativo dannoso.

Quando un utente viene bloccato per entrambi gli scenari, riceve un errore di autenticazione 50053. I log di accesso visualizzano il motivo del blocco seguente: "L'accesso è stato bloccato dalle protezioni predefinite a causa dell'elevata attendibilità del rischio".

Per sbloccare un account in base al rischio di accesso con attendibilità elevata, sono disponibili le opzioni seguenti:

1. Aggiungere gli indirizzi IP usati per accedere alle impostazioni di posizione attendibile: se l'accesso viene effettuato da una posizione nota per l'azienda, è possibile aggiungere l'indirizzo IP all'elenco attendibile. Per altre informazioni, vedere Accesso condizionale: assegnazione di rete.
2. Usare un protocollo di autenticazione moderno: se l'accesso viene eseguito usando un protocollo legacy, il passaggio a un metodo moderno sblocca il tentativo.

Rilevamenti correlati al furto di token

Con un recente aggiornamento della nostra architettura di rilevamento, non correggiamo più automaticamente le sessioni con attestazioni MFA quando un furto di token è correlato o quando viene attivato un rilevamento di IP di Stato-nazione da parte del Microsoft Threat Intelligence Center (MSTIC) durante l'accesso.

I seguenti rilevamenti della protezione ID che identificano un'attività sospetta di token o il rilevamento IP dello Stato nazionale MSTIC non vengono più corretti automaticamente.

• Intelligence sulle minacce di Microsoft Entra
• Token anomalo
• Utente malintenzionato al centro
• MSTIC Indirizzo IP dello Stato nazionale
• Anomalia dell'emittente del token

Protezione ID visualizza ora i dettagli della sessione nel riquadro Dettagli rilevamento rischi per i rilevamenti che generano dati di accesso. Questa modifica garantisce che non si chiudano sessioni contenenti rilevamenti in cui si verifica un rischio correlato all'autenticazione a più fattori. Fornire i dettagli della sessione con i dettagli del rischio a livello di utente fornisce informazioni utili per facilitare l'analisi. Queste informazioni includono:

• Tipo di emittente del token
• Ora di accesso
• Indirizzo IP
• Posizione di accesso
• Client di autenticazione
• ID della richiesta di accesso
• ID di correlazione del login

Se sono configurati criteri di accesso condizionale basati sul rischio utente e uno di questi rilevamenti che indica l'attività sospetta del token viene attivata su un utente, l'utente finale deve eseguire la modifica della password sicura e autenticare nuovamente l'account con l'autenticazione a più fattori per cancellare il rischio.

Anteprima di PowerShell

Usando il modulo in anteprima Microsoft Graph PowerShell SDK, le organizzazioni possono gestire i rischi usando PowerShell. I moduli di anteprima e il codice di esempio sono disponibili nel repository GitHub di Microsoft Entra.

Lo Invoke-AzureADIPDismissRiskyUser.ps1 script incluso nel repository consente alle organizzazioni di ignorare tutti gli utenti rischiosi nella directory.

Contenuto correlato

• Simulare un rischio utente elevato