Ochrana metod ověřování v Microsoft Entra ID
Poznámka
Spravovaná hodnota Microsoftu pro Authenticator Lite se od 26. června 2023 přesune ze zakázaného na povolené. Tenanti, kteří zůstanou ve výchozím stavu Microsoft managed, budou mít tuto funkci povolenou 26. června.
Microsoft Entra ID přidává a vylepšuje funkce zabezpečení pro lepší ochranu zákazníků před rostoucími útoky. S tím, jak jsou známé nové vektory útoku, může Microsoft Entra ID reagovat tím, že ve výchozím nastavení povolí ochranu, aby zákazníci zůstali před vznikajícími bezpečnostními hrozbami.
Například v reakci na rostoucí únavové útoky na vícefaktorové ověřování Microsoft doporučuje zákazníkům bránit uživatele. Jedním z doporučení, jak zabránit uživatelům v náhodném schválení vícefaktorového ověřování (MFA), je povolit porovnávání čísel. V důsledku toho bude výchozí chování pro porovnávání čísel explicitně Povoleno pro všechny uživatele aplikace Microsoft Authenticator. Další informace o nových funkcích zabezpečení, jako je párování čísel, najdete v našem blogovém příspěvku rozšířené funkce zabezpečení Microsoft Authenticator jsou teď obecně dostupné..
Existují dva způsoby, jak ve výchozím nastavení povolit ochranu funkce zabezpečení:
- Po vydání funkce zabezpečení můžou zákazníci pomocí Centra pro správu Microsoft Entra nebo rozhraní Graph API otestovat a zavést změnu podle vlastního plánu. Aby bylo možné chránit před novými vektory útoku, může Microsoft Entra ID ve výchozím nastavení povolit ochranu funkce zabezpečení pro všechny tenanty v určitém datu a nebude možné zakázat ochranu. Microsoft plánuje výchozí ochranu daleko předem, aby zákazníkům poskytl čas na přípravu na změnu. Zákazníci se nemůžou odhlásit, pokud Microsoft ve výchozím nastavení plánuje ochranu.
- Ochrana může být spravovanáMicrosoftem, což znamená, že Microsoft Entra ID může povolit nebo zakázat ochranu na základě aktuálního prostředí bezpečnostních hrozeb. Zákazníci si můžou zvolit, jestli má Microsoft povolit správu ochrany. Můžou změnit spravované
Microsoftu a explicitně nastavit ochranu Povoleno neboZakázáno kdykoli.
Poznámka
Ve výchozím nastavení bude mít ochranu povolená jenom důležitá funkce zabezpečení.
Výchozí ochrana povolená Microsoft Entra ID
Párování čísel je dobrým příkladem ochrany pro metodu ověřování, která je aktuálně volitelná pro nabízená oznámení v aplikaci Microsoft Authenticator ve všech tenantech. Zákazníci se můžou rozhodnout povolit párování čísel pro nabízená oznámení v microsoft Authenticatoru pro uživatele a skupiny, nebo ho můžou nechat zakázanou. Porovnávání čísel je již výchozím chováním pro oznámení bez hesla v aplikaci Microsoft Authenticator a uživatelé se nemůžou odhlásit.
S nárůstem únavových útoků vícefaktorového ověřování se pro zabezpečení přihlašování stává důležitější párování čísel. V důsledku toho Microsoft změní výchozí chování nabízených oznámení v Microsoft Authenticatoru.
Nastavení spravovaná Microsoftem
Kromě konfigurace nastavení zásad ověřování tak, aby bylo Povoleno nebo Zakázáno, mohou správci IT nakonfigurovat některá nastavení v zásadách metod ověřování tak, aby bylo spravováno společností Microsoft. Nastavení, které je nakonfigurované jako spravováno společností Microsoft, umožňuje Microsoft Entra ID toto nastavení povolit nebo zakázat.
Možnost nechat Microsoft Entra ID spravovat nastavení je pro organizaci pohodlným způsobem, jak umožnit společnosti Microsoft ve výchozím nastavení funkci povolit nebo zakázat. Organizace můžou snadněji zlepšit stav zabezpečení tím, že důvěřují Microsoftu, aby spravovaly, když by měla být funkce ve výchozím nastavení povolená. Konfigurací nastavení jako spravované Microsoftu (pojmenované výchozí v rozhraníCh Graph API) můžou správci IT důvěřovat Microsoftu, aby povolili funkci zabezpečení, kterou explicitně nezakládali.
Správce může například povolit umístění a název aplikace v push oznámeních, aby uživatelům poskytl více kontextu při schvalování žádostí MFA pomocí Microsoft Authenticatoru. Další kontext lze také explicitně zakázat nebo nastavit jako microsoft managed. Aktuálně je konfigurace spravovaná Microsoftem pro umístění a název aplikace Zakázáno, což efektivně zakazuje možnost pro jakékoli prostředí, kde se správce rozhodne nechat Microsoft Entra ID spravovat toto nastavení.
Vzhledem k tomu, že se bezpečnostní hrozby mění v průběhu času, může Společnost Microsoft změnit konfiguraci spravované Microsoftu pro umístění a název aplikace tak, aby Povoleno. Pro zákazníky, kteří chtějí spoléhat na Microsoft, aby zlepšili jejich bezpečnostní postavení, je nastavení funkcí zabezpečení na Microsoftem spravované snadným způsobem, jak zůstat před bezpečnostními hrozbami. Společnost Microsoft může důvěřovat, aby určila nejlepší způsob konfigurace nastavení zabezpečení na základě aktuálního prostředí hrozeb.
Následující tabulka uvádí všechna nastavení, která je možné nastavit na spravovanou microsoftem a jestli je toto nastavení ve výchozím nastavení povolené nebo zakázané.
| Nastavení | Konfigurace |
|---|---|
| kampaň registrace | Povoleno pro uživatele textových zpráv a hlasových hovorů |
| umístění v oznámeních aplikace Microsoft Authenticator | Invalidní |
| název aplikace v oznámeních Microsoft Authenticatoru | Invalidní |
| Systémem preferované vícefaktorové ověřování | Povoleno |
| Authenticator Lite | Povoleno |
| ohlásit podezřelou aktivitu | Invalidní |
Při změně vektorů hrozeb může Microsoft Entra ID oznámit výchozí ochranu pro nastavení Microsoft Managed v poznámkách k verzi a na běžně čtených fórech, jako je Tech Community.
Další informace najdete v našem blogovém příspěvku Je čas se rozloučit s telefonními metodami ověřování, který popisuje přechod od používání textových zpráv a hlasových hovorů. Tato změna vede k výchozímu povolení registrační kampaně, která uživatelům pomůže nastavit Authenticator pro moderní ověřování.
Další kroky
Metody ověřování v Microsoft Entra ID – Microsoft Authenticator