MFA 异常提醒来了，怎样确认风险又不误锁员工账号

我碰到过一次销售同事连续收到 MFA push，SIEM 同时提示异地登录失败。刚看到告警时很容易直接禁用账号，但那天他正在外州出差，用的是酒店网络，不能只按地理位置下结论。我的做法是先从 IdP 登录日志看 device id、ASN、失败次数和 conditional access 规则，再联系本人确认是不是自己触发。 确认风险后，我没有一刀切锁账号，而是先撤销 refresh token，要求重新登录并改密码，同时检查 OAuth app 授权和最近邮箱转发规则。最后把这次事件记录到 case 里，标出哪些证据支持正常出差，哪些证据支持账号有风险。 给同行的建议是，安全响应要快，但证据链也要完整。误锁关键岗位会影响业务，漏掉异常又会出更大问题。MFA 告警最好有分级流程，不要全靠值班人临场判断。