Изучение рисков с помощью защиты идентификации в Azure AD B2C

Это важно

Внешние удостоверения Azure AD P2 прекращены в клиентах Azure AD B2C. Защита идентификаторов в составе P2 остается доступной для корпоративных клиентов. Для получения подробной информации о выставлении счетов и альтернативных вариантах см. ЧЗВ о прекращении действия P2.

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Защита идентификации обеспечивает постоянное обнаружение рисков для клиента Azure AD B2C. Она позволяет организациям обнаруживать, исследовать и устранять риски, связанные с идентификационными данными. Защита идентификации поставляется с отчетами о рисках, которые можно использовать для изучения рисков идентификации в клиентах Azure AD B2C. Их этой статьи вы узнаете, как исследовать и устранять риски.

Обзор

Защита идентификации Azure AD B2C предоставляет два отчета. В отчете о пользователях, совершающих рискованные действия, администраторы могут найти пользователей, которые подвергаются риску, и сведения об обнаружении. Отчет об обнаружении рисков содержит сведения о каждом обнаружении рисков, включая тип, другие риски, инициируемые одновременно, расположение попытки входа и многое другое.

Каждый отчет содержит список всех обнаружений за период, показанный в верхней части отчета. С помощью фильтров в верхней части отчета можно фильтровать данные в отчете. Администраторы могут загрузить данные или использовать MS API Graph и пакет SDK для Microsoft Graph PowerShell для непрерывного экспорта данных.

Ограничения службы и рекомендации

При использовании защиты идентификации рассмотрите следующее:

  • Защита идентификации включена по умолчанию.
  • Защита личных данных доступна как для локальных, так и для социальных учетных записей, таких как Google или Facebook. Для социальных идентификаторов необходимо активировать условный доступ. Обнаружение ограничено, так как учетные данные социальной сети управляются внешним поставщиком удостоверений.
  • В клиентах Azure AD B2C доступно только подмножество обнаружений рисков защиты Microsoft Entra ID. Следующие обнаружения рисков поддерживаются Azure AD B2C:
Тип обнаружения риска Описание
Необычное перемещение Вход из нетипичного местоположения (на основе недавних входов пользователя).
Анонимный IP-адрес Вход с анонимного IP-адреса (например, браузер Tor, анонимайзеры VPN).
IP-адрес, связанный с вредоносным ПО Вход с вредоносного IP-адреса.
Необычные свойства входа Вход с свойствами, которые мы недавно не видели для данного пользователя.
Администратор подтвердил, что пользователь скомпрометирован Администратор указал, что пользователь был скомпрометирован.
Распыление пароля Вход с использованием атаки распылением паролей.
Аналитика угроз Microsoft Entra Источниками внутренней и внешней аналитики угроз Майкрософт обнаружено известный шаблон атак.

Ценовая категория

Azure AD B2C Premium P2 требуется для некоторых функций защиты идентификации. При необходимости измените ценовую категорию Azure AD B2C на Premium P2. В следующей таблице приведены сведения о функциях защиты идентификации и требуемой ценовой категории.

Функция П1 P2
Отчет о рискованных пользователях
Сведения о рискованных пользователях
Исправление отчетов о исправлении рискованных пользователей
Отчет об обнаружении рисков
Сведения об отчетах об обнаружении рисков
Скачивание отчета
Доступ к API MS Graph

Предпосылки

Изучение поведения пользователей, совершающих рискованные действия

Информация, доступная в отчете о пользователях, выполняющих рискованные действия, поможет администратору найти следующие сведения:

  • Состояние риска указывает, какие пользователи совершают рискованные действия, были ли риски исправлены или отклонены.
  • Детальные сведения об обнаружении
  • История всех рискованных входов в систему
  • История рисков

Администраторы затем могут принять меры в отношении этих событий. Администраторы могут выбрать:

  • Сбросить пароль пользователя
  • Подтвердить взлом пользователя
  • Устранить риск для пользователя
  • Блокировать пользователю возможность входа в систему
  • Дальнейшее исследование с помощью Azure ATP

Администратор может закрыть риск пользователя на портале Azure или программным способом с помощью API Microsoft Graph , чтобы закрыть риск пользователя. Для снижения риска пользователя требуются права администратора. Исправление риска может выполняться рискованным пользователем или администратором от имени пользователя, например с помощью сброса пароля.

  1. Войдите на портал Azure.

  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.

  3. В разделе "Службы Azure" выберите Azure AD B2C. Или используйте поле поиска, чтобы найти и выбрать Azure AD B2C.

  4. В разделе "Безопасность" выберите "Рискованные пользователи".

    Рискованные пользователи

    Выбор отдельных записей расширяет панель подробностей под обнаружениями. Детальный вид позволяет администраторам исследовать и выполнять действия при каждом обнаружении.

    Действия рискованных пользователей

Отчет об обнаружении рисков

Отчет об обнаружении потенциальных рисков содержит фильтруемые данные за последние 90 дней (3 месяца).

Информация, доступная в отчете об обнаружении рисков, поможет администратору найти следующие сведения:

  • сведения о каждом обнаружении рисков, включая тип.
  • другие риски, возникшие в то же время.
  • местоположение попытки входа.

Затем администраторы могут вернуться к отчету о рисках или о входах пользователей для выполнения действий на основе собранных данных.

  1. В портале Azure найдите и выберите Azure AD B2C.

  2. В разделе "Безопасность" выберите "Обнаружение рисков".

    Обнаружение рисков

Дальнейшие шаги