Mechanizm Risky users oraz podejrzane logowania w Microsoft 365 (Entra ID)

Risky users / podejrzane logowania w Microsoft 365 (Entra ID) – blokady konta i resety haseł

Co to jest „risky sign-in” i „risky user”?

Microsoft Entra ID (dawniej Azure AD) może automatycznie oceniać ryzyko logowania i ryzyko użytkownika na podstawie sygnałów bezpieczeństwa, np.:

  • nagła zmiana lokalizacji/adresu IP (np. VPN, Tor, zmieniający się węzeł wyjściowy),
  • nietypowe wzorce logowania (nowe urządzenie, nowe środowisko, nietypowa aktywność),
  • seria nieudanych prób logowania,
  • sygnały mogące wskazywać na przejęcie konta.

W zależności od polityk bezpieczeństwa uczelni, takie zdarzenia mogą skutkować dodatkowymi krokami weryfikacji, czasową blokadą lub wymuszeniem zmiany hasła.

Dlaczego widzę komunikat „Your account is temporarily locked…”?

Ten komunikat oznacza czasową blokadę logowania w celu ochrony konta przed nieautoryzowanym użyciem. Najczęściej pojawia się po:

  • wielu nieudanych próbach logowania w krótkim czasie,
  • logowaniach z „podejrzanych” lub szybko zmieniających się adresów IP (np. VPN/Tor),
  • wykryciu wzorca, który system uzna za potencjalnie niebezpieczny.

Ważne: w czasie blokady kolejne próby logowania (szczególnie wielokrotne) mogą wydłużać czas blokady.

Ile może trwać blokada konta?

Czas blokady zależy od mechanizmu ochronnego i aktualnej sytuacji (m.in. liczby prób, ryzyka, polityk). Zwykle:

  • trwa od kilku do kilkudziesięciu minut,
  • może się wydłużyć (np. do około godziny lub dłużej), jeśli w trakcie nadal są podejmowane kolejne nieudane próby.

Nie podajemy jednego „sztywnego” czasu, bo jest on dynamiczny i zależny od polityk bezpieczeństwa.

Czy w przypadku podejrzanego logowania system może wymusić reset hasła?

Tak. W niektórych sytuacjach polityki bezpieczeństwa mogą wymusić:

  • zmianę hasła (np. gdy ryzyko użytkownika jest wysokie),
  • dodatkową weryfikację MFA,
  • inne działania zabezpieczające.

To nie musi oznaczać, że ktoś „na pewno” przejął konto – mechanizm działa prewencyjnie.

Czy można wyłączyć mechanizmy typu „impossible travel / risky users”?

Co do zasady nie wyłączamy tych mechanizmów indywidualnie dla pojedynczych kont, ponieważ stanowią element ochrony całej organizacji.

Co zrobić, gdy konto jest czasowo zablokowane?

  1. Przestań próbować logowania na chwilę – najlepiej odczekaj 15–30 minut bez kolejnych prób.
  2. Spróbuj ponownie raz, z jednego stabilnego połączenia:
    • bez VPN/Tor,
    • bez częstych zmian IP,
    • najlepiej z typowej sieci/urządzenia.
  3. Jeśli używasz TAP (Temporary Access Pass):
    • wygeneruj nowy TAP,
    • upewnij się, że logujesz się do właściwego konta,
    • pamiętaj: TAP nie omija blokad konta ani wymuszeń bezpieczeństwa (np. po zmianie hasła).

Jeśli blokada utrzymuje się mimo przerwy (np. około 60 minut bez prób) lub wraca natychmiast – skontaktuj się z Service Desk.

Jakie informacje warto podać do zgłoszenia (żeby przyspieszyć analizę)?

  • dokładny czas zdarzenia (najlepiej w UTC i lokalnym),
  • zrzut ekranu komunikatu,
  • jeśli na stronie logowania są dostępne „Szczegóły”:
    • Correlation ID / Trace ID,
    • kod błędu (np. AADSTS…),
  • skąd było logowanie: przeglądarka/urządzenie, czy używano VPN/Tor, czy IP się zmieniało.

Dobre praktyki (żeby unikać blokad i „impossible travel”)

  • Unikaj logowania do M365 przez Tor i często zmieniające się VPN-y (szczególnie w trakcie jednej sesji).
  • Jeśli musisz użyć VPN – korzystaj ze stałego węzła/serwera i nie przełączaj go w trakcie logowania.
  • Nie wykonuj wielu prób logowania „pod rząd” – to najprostsza droga do blokady.
  • Jeśli widzisz wymuszenie zmiany hasła – wykonaj ją od razu i zweryfikuj, czy nie ma podejrzanych aktywności na koncie.
Powrót do spisu treści

Utworzono 06.03.2026 11:00

Zmodyfikowany 06.03.2026 11:00