Устранение рисков и разблокирование пользователей

После завершения исследования рисков необходимо принять меры, чтобы устранить рискованных пользователей или разблокировать их. Вы можете включить автоматическое исправление, настроив политики на основе рисков или вручную обновив состояние риска пользователя. Корпорация Майкрософт рекомендует быстро действовать, так как время имеет значение при работе с рисками.

В этой статье рассматриваются несколько вариантов устранения рисков. Вы можете включить самостоятельное исправление для пользователей или вручную устранить риски от имени пользователя. В этой статье также рассматриваются сценарии блокировки пользователей из-за риска пользователей, поэтому вы знаете, как разблокировать их.

Типы исправлений рисков

Все активные обнаружения рисков способствуют вычислению уровня риска пользователя. Уровень риска пользователя — это индикатор (низкий, средний, высокий) вероятности компрометации учетной записи пользователя. После изучения рискованных пользователей и соответствующих рискованных входов и выявлений следует устранить риск для пользователей, чтобы они больше не были подвержены риску или заблокированы от доступа.

Когда защита идентификаторов Microsoft Entra идентифицирует обнаружение риска и соответствующий рискованный вход как больше не представляющие угрозы безопасности, состояние риска автоматически обновляется на Отклонено, а сведения о риске обновляются на Безопасность входа подтверждена защитой Microsoft Entra ID. Это автоматическое исправление снижает шум в мониторинге рисков, чтобы сосредоточиться на вещах, требующих вашего внимания.

Ит-администратор может настроить возможность для пользователей самостоятельно исправлять свои проблемы или вручную исправлять от лица пользователя.

Варианты самостоятельного исправления включают:

• Настройте политики на основе рисков, чтобы позволить пользователям самостоятельно устранять свои риски.
• Разрешить пользователям самостоятельно управлять рисками учетной записи с помощью самостоятельного сброса пароля (SSPR).
• Инициируйте сброс пароля для пользователя, чтобы устранить риск для пользователя.

Варианты исправления вручную включают:

• Отклоните риск пользователя.
• Убедитесь, что пользователь скомпрометирован и принимает меры для защиты учетной записи.
• Разблокируйте пользователя на основе риска пользователя или риска входа.

Вы также можете устранить неполадки в Microsoft Defender для удостоверений.

Самостоятельное устранение неполадок пользователем

Как айти-администратор вы имеете несколько вариантов настроить самостоятельное восстановление для пользователей.

Политика на основе рисков

Вы можете разрешить пользователям самостоятельно устранять риски входа и риски пользователей, настраивая политики на основе рисков. Если пользователи проходят необходимый контроль доступа, например, используют многофакторную аутентификацию или меняют пароль на более безопасный, их риски автоматически устраняются. Соответствующие обнаружения рисков, рискованные входы и рискованные пользователи сообщаются с состоянием риска исправлено вместо в зоне риска.

Чтобы применить политики на основе рисков, чтобы разрешить самостоятельное исправление, пользователи должны сначала иметь возможность:

• Выполните многофакторную проверку подлинности, чтобы самостоятельно устранить риск входа:
  • Пользователь должен быть зарегистрирован для многофакторной проверки подлинности Microsoft Entra.
• Выполните безопасное изменение пароля, чтобы самостоятельно устранить риск пользователя:
  • Пользователь должен быть зарегистрирован для многофакторной проверки подлинности Microsoft Entra.
  • Для гибридных пользователей, которые синхронизируются из локальной среды в облако, обратная запись паролей должна быть включена для синхронизации паролей из облака в локальную среду.

Если политика на основе рисков применяется во время входа, когда условия не выполнены, пользователь блокируется. Этот блок возникает, так как пользователь не может выполнить необходимый шаг, поэтому для разблокировки пользователя требуется вмешательство администратора.

Политики на основе рисков настраиваются на основе уровней риска и применяются только в том случае, если уровень риска входа или пользователя соответствует заданному уровню. Некоторые обнаружения могут не вызывать риск на уровне применения политики, поэтому администраторы должны обрабатывать этих рискованных пользователей вручную. Администраторы могут определить, что необходимы дополнительные меры, такие как блокировка доступа из расположений или снижение допустимого риска в их политиках.

Самостоятельная смена пароля

Если пользователь зарегистрирован для самостоятельного сброса пароля (SSPR), он может исправить собственный риск пользователя, выполнив самостоятельный сброс пароля.

Сброс пароля вручную

Если сброс пароля с использованием политики риска пользователя невозможен, или времени в обрез, администраторы могут устранить риск пользователя, требуя сброса пароля.

Администраторы могут создавать временный пароль или требовать от пользователя сброса пароля.

Создание временного пароля

Создав временный пароль, вы можете немедленно вернуть удостоверение в безопасное состояние. Этот способ требует обращения к затронутым пользователям, так как им нужно знать временный пароль. Так как пароль является временным, при следующем входе пользователю предлагается сменить пароль на новый.

• Вы можете создавать пароли для облачных и гибридных пользователей в Центре администрирования Microsoft Entra.
• Вы можете создать пароли для гибридных пользователей из локального каталога, если установлены следующие параметры:
  • Следуйте инструкциям по реализации синхронизации хэша паролей.
  • Включите параметр Разрешить изменение локального пароля для сброса риска пользователей в Microsoft Entra ID Protection.
  • Включите самостоятельный сброс пароля.
  • В Active Directory выберите только параметр Пользователь должен изменить пароль при следующем входе, если все в предыдущих пунктах включено.

Требовать сброса пароля пользователем

Требовать от пользователей сброса паролей позволяет самостоятельно восстановиться без обращения в службу технической поддержки или администратора.

• Облачные и гибридные пользователи могут завершить безопасное изменение пароля. Этот метод применяется только к пользователям, которые могут выполнять MFA уже. Для пользователей, которые не зарегистрированы, этот параметр недоступен.
• Гибридные пользователи могут завершить изменение пароля с локального или гибридно присоединенного устройства Windows, когда синхронизация хэша паролей и настройка 'Разрешить изменение локального пароля для сброса риска пользователя' включены.

Разрешить локальный сброс пароля для устранения рисков пользователей

Если в вашей организации есть гибридная среда, вы можете разрешить изменения паролей на локальных серверах для сброса рисков пользователей с помощью синхронизации хэша паролей. Необходимо включить синхронизацию хэша паролей , прежде чем пользователи смогут самостоятельно исправить их в этих сценариях.

• Рискованные гибридные пользователи могут самостоятельно исправиться без вмешательства администратора. При изменении пароля в локальной среде риск пользователя автоматически устраняется в службе защиты идентификаторов Microsoft Entra, сбросив текущее состояние риска пользователя.
• Организации могут заранее развертывать политики риска пользователей, требующие изменения пароля для надежной защиты гибридных пользователей. Этот вариант повышает уровень безопасности организации и упрощает управление безопасностью, обеспечивая оперативное устранение рисков пользователей даже в сложных гибридных средах.

Чтобы настроить этот параметр, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум как оператор по безопасности.
2. Перейдите к защите идентификаторов>панели инструментов>параметрам.
3. Установите флажок Разрешить изменение локального пароля для сброса риска пользователя и нажмите кнопку "Сохранить".

Исправление вручную администратора

В некоторых ситуациях может потребоваться вручную исправить или подтвердить риск пользователя.

Устранить риск для пользователя

Если после расследования вы подтвердите, что учетная запись пользователя не подвержена риску компрометации, вы можете закрыть рискованных пользователей.

1. Войдите в Центр администрирования Microsoft Entra как по крайней мере оператор безопасности.
2. Перейдите в раздел Защита идентификационных данных>, затем выберите Рискованные пользователи, и выберите затронутого пользователя.
3. Выберите Отклонить риск пользователя/пользователей. При выборе "Закрыть риск пользователя" пользователь больше не находится под угрозой, и все рискованные входы и соответствующие обнаружения рисков удаляются.

Так как этот метод не влияет на существующий пароль пользователя, он не возвращает удостоверение в безопасное состояние.

Состояние риска и подробности на основе устранения риска

• Рискованные пользователи:
  • Состояние риска: "Риск" —> "Отклонено"
  • Сведения о рисках (сведения об исправлении рисков): "-" —> "Администратор отклонил все риски для пользователя"
• Все рискованные входы этого пользователя и соответствующие обнаружения рисков:
  • Состояние риска: "Риск" —> "Отклонено"
  • Сведения о рисках (сведения об исправлении рисков): "-" —> "Администратор отклонил все риски для пользователя"

Подтверждение компрометации пользователя

Если после расследования подтверждено, что учетная запись скомпрометирована:

1. Выберите событие или пользователя в отчетах о рискованных входах или в отчетах о рискованных пользователях и выберите Подтвердить скомпрометирован.
2. Если политика на основе рисков не была активирована, и риск не был самостоятельно устранен с помощью одного из методов, описанных в этой статье, выполните одно или несколько следующих действий:
   1. Запрос сброса пароля.
   2. Заблокировать пользователя, если вы подозреваете, что злоумышленник может сбросить пароль или выполнить многофакторную проверку подлинности для пользователя.
   3. Отмена маркеров обновления.
   4. Отключите все устройства , которые считаются скомпрометированы.
   5. При использовании оценки непрерывного доступа отмените все маркеры доступа.

Дополнительные сведения о том, что происходит при подтверждении компрометации, см. в разделе "Как дать обратную связь по рискам".

Удаленные пользователи

Если пользователь был удален из каталога с риском, этот пользователь по-прежнему отображается в отчете о рисках, даже если учетная запись была удалена. Администраторы не могут исключить риск с пользователей, которые были удалены из каталога. Чтобы убрать удаленных пользователей, откройте обращение в службу поддержки Майкрософт.

Разблокировка пользователей

Администратор может заблокировать вход на основе политики риска или расследований. Блокировка может происходить на основе риска при входе или риска пользователя.

Разблокировка на основании риска пользователя

Чтобы разблокировать учетную запись, заблокированную из-за риска пользователя, у вас есть следующие параметры:

1. Сброс пароля . Если пользователь скомпрометирован или находится под угрозой компрометации, необходимо сбросить пароль пользователя, чтобы защитить свою учетную запись и вашу организацию.
2. Отключение риска пользователя. Политика риска пользователя блокирует пользователя при достижении настроенного уровня риска пользователя для блокировки доступа. После расследования, если вы уверены, что пользователь не подвергается риску компрометации, и безопасно разрешить доступ, вы можете снизить уровень риска пользователя, отклонив его.
3. Исключите пользователя из политики . Если вы считаете, что текущая конфигурация политики входа вызывает проблемы для конкретных пользователей, и это безопасно предоставить доступ к этим пользователям, не применяя к ним эту политику, то их можно исключить из этой политики. Дополнительные сведения см. в разделе "Практическое руководство. Настройка и включение политик риска".
4. Отключить политику . Если вы считаете, что конфигурация политики вызывает проблемы для всех пользователей, вы можете отключить эту политику. Дополнительные сведения см. в разделе "Практическое руководство. Настройка и включение политик риска".

Разблокировка на основании риска при входе

Чтобы разблокировать учетную запись на основе риска входа, у вас есть следующие параметры:

1. Вход из знакомого расположения или устройства . Распространенные причины блокировки подозрительных входов — попытки входа из незнакомых расположений или устройств. Пользователи могут быстро определить, является ли это причиной блокировки, выполнив попытку входа из знакомого расположения или устройства.
2. Исключите пользователя из политики . Если вы считаете, что текущая конфигурация политики входа вызывает проблемы для конкретных пользователей, вы можете исключить пользователей из нее. Дополнительные сведения см. в разделе "Исключения" статьи "Практическое руководство. Настройка и включение политик риска".
3. Отключить политику . Если вы считаете, что конфигурация политики вызывает проблемы для всех пользователей, вы можете отключить эту политику. Дополнительные сведения см. в разделе "Практическое руководство. Настройка и включение политик риска".

Автоматическая блокировка из-за риска высокой достоверности

Защита идентификаций Microsoft Entra автоматически блокирует входы в систему, которые имеют очень высокую вероятность риска. Этот блок чаще всего возникает при входе, выполняемом с помощью устаревших протоколов проверки подлинности или отображения свойств вредоносной попытки.

Если пользователь заблокирован для любого сценария, он получает ошибку проверки подлинности 50053. Журналы входа отображают следующую причину блокировки: "Вход был заблокирован встроенными защитами из-за высокой достоверности риска".

Чтобы разблокировать учетную запись на основе риска входа с высоким уровнем достоверности, у вас есть следующие параметры:

1. Добавьте IP-адреса, используемые для входа в параметры надежного расположения . Если вход выполняется из известного расположения для вашей компании, можно добавить IP-адрес в доверенный список. Дополнительные сведения см. в разделе "Условный доступ: назначение сети".
2. Используйте современный протокол проверки подлинности . Если вход выполняется с помощью устаревшего протокола, переключение на современный метод разблокирует попытку.

Обнаружения кражи токенов

При недавнем обновлении нашей архитектуры обнаружения, мы больше не автоматизируем устранение сеансов с утверждениями MFA, когда при входе срабатывают предупреждения о краже токенов или обнаружение IP-адресов государств на уровне Центра разведки угроз Microsoft (MSTIC).

Следующие обнаружения системы защиты идентификаторов, определяющие подозрительную активность токена, или обнаружение IP-адресов, связанных с деятельностью государства, отслеживаемой MSTIC, больше не будут автоматически устраняться.

• Аналитика угроз Microsoft Entra
• Аномальный токен
• Злоумышленник в середине
• IP-адрес государства MSTIC
• Аномалия издателя токенов

Защита идентификаторов теперь отображает сведения о сеансе в панели сведений об обнаружении рисков для обнаружений, содержащих данные входа. Это изменение гарантирует, что мы не закрываем сеансы, содержащие обнаружения, связанные с риском MFA. Предоставление сведений о сеансе с подробными сведениями о рисках на уровне пользователя предоставляет ценные сведения, помогающие в расследовании. Эта информация включает:

• Тип издателя токена
• Время входа
• IP-адрес
• Местоположение для входа в систему
• Клиент для авторизации
• Идентификатор запроса входа
• Идентификатор корреляции входа

Если у вас настроены политики условного доступа на основе рисков, и одно из этих обнаружений, которые указывают на подозрительную активность токенов, срабатывает для пользователя, конечный пользователь должен выполнить безопасное изменение пароля и повторно подтвердить подлинность, используя многофакторную аутентификацию, чтобы устранить риск.

Предварительная версия PowerShell

Используя модуль предварительной версии пакета SDK для Microsoft Graph PowerShell, организации могут управлять рисками с помощью PowerShell. Модули предварительного просмотра и пример кода можно найти в репозитории Microsoft Entra GitHub.

Скрипт, Invoke-AzureADIPDismissRiskyUser.ps1 включенный в репозиторий, позволяет организациям уволить всех рискованных пользователей в каталоге.

Связанный контент

• Имитация высокого риска пользователя