Schutz von Authentifizierungsmethoden in Microsoft Entra ID
Anmerkung
Der von Microsoft verwaltete Wert für Authenticator Lite wird am 26. Juni 2023 von deaktiviert auf aktiviert umgestellt. Alle Mandanten mit dem Standardstatus Von Microsoft verwaltet werden am 26. Juni für das Feature aktiviert.
Microsoft Entra ID fügt Sicherheitsfeatures hinzu und verbessert diese, um Kunden vor zunehmenden Angriffen zu schützen. Wenn neue Angriffsvektoren bekannt werden, kann Microsoft Entra ID standardmäßig Schutz aktivieren, damit Kunden einen Vorsprung vor neuen Sicherheitsbedrohungen behalten können.
Als Reaktion auf die Erhöhung der MFA-Ermüdungsangriffe empfiehlt Microsoft Kunden beispielsweise Möglichkeiten, die Benutzer zu schützen. Um zu verhindern, dass Benutzer versehentliche MFA-Genehmigungen (Multi-Faktor-Authentifizierung) erhalten, wird z. B. empfohlen, das Verwenden des Nummernabgleichs in MFA-Benachrichtigungen (Vorschauversion) – Authentifizierungsmethodenrichtlinie zu aktivieren. Infolge wird das Standardverhalten für den Nummernabgleich explizit für alle Microsoft Authenticator-Benutzer aktiviert. Weitere Informationen zu neuen Sicherheitsfunktionen, wie dem Nummernabgleich, finden Sie in unserem Blogbeitrag . Die erweiterten Sicherheitsfunktionen des Microsoft Authenticator sind jetzt allgemein verfügbar!.
Es gibt zwei Möglichkeiten, wie der Schutz eines Sicherheitsmerkmals standardmäßig aktiviert wird.
- Nachdem ein Sicherheitsfeature veröffentlicht wurde, können Kunden das Microsoft Entra Admin Center oder die Graph-API verwenden, um die Änderung nach eigenem Zeitplan zu testen und zu veröffentlichen. Um sich gegen neue Angriffsvektoren zu schützen, kann Microsoft Entra ID standardmäßig den Schutz eines Sicherheitsfeatures für alle Mandanten an einem bestimmten Datum aktivieren, und es gibt keine Option zum Deaktivieren des Schutzes. Microsoft plant den Standardschutz weit im Voraus, um Kunden Zeit für die Vorbereitung auf die Änderung zu geben. Kunden können sich nicht abmelden, wenn Microsoft den Schutz standardmäßig plant.
- Der Schutz kann von Microsoft verwaltetwerden, was bedeutet, dass Microsoft Entra ID den Schutz basierend auf der aktuellen Bedrohungslage der Sicherheitsrisiken aktivieren oder deaktivieren kann. Kunden können auswählen, ob Microsoft die Verwaltung des Schutzes zulässt. Sie können von Microsoft verwaltet dazu wechseln, den Schutz jederzeit auf Aktiviert oder Deaktiviert zu setzen.
Anmerkung
Nur bei kritischen Sicherheitsfeatures ist der Schutz standardmäßig aktiviert.
Standardmäßiger Schutz, aktiviert durch Microsoft Entra ID
Der Nummernabgleich ist ein gutes Beispiel für den Schutz einer Authentifizierungsmethode, die derzeit für Pushbenachrichtigungen in Microsoft Authenticator in allen Mandanten optional ist. Kunden können den Nummernabgleich für Pushbenachrichtigungen in Microsoft Authenticator für Benutzer und Gruppen aktivieren, oder sie könnten ihn deaktiviert lassen. Der Nummernabgleich ist bereits das Standardverhalten für kennwortlose Benachrichtigungen in Microsoft Authenticator, und Benutzer können sich nicht abmelden.
Mit der Zunahme von MFA-Ermüdungsangriffen wird der Nummernabgleich für die Anmeldesicherheit immer wichtiger. Daher ändert Microsoft das Standardverhalten für Pushbenachrichtigungen in Microsoft Authenticator.
Von Microsoft verwaltete Einstellungen
Zusätzlich zur Konfiguration der Authentifizierungsmethodenrichtlinien-Einstellungen als Aktiviert oder Deaktiviert können IT-Administratoren einige Einstellungen in der Authentifizierungsmethodenrichtlinie als Von Microsoft verwaltet konfigurieren. Eine als von Microsoft verwaltet konfigurierte Einstellung ermöglicht es Microsoft Entra ID, die Einstellung zu aktivieren oder zu deaktivieren.
Die Option, Microsoft Entra ID die Verwaltung der Einstellung zu überlassen, ist eine bequeme Möglichkeit für eine Organisation, Microsoft das standardmäßige Aktivieren oder Deaktivieren eines Features zu ermöglichen. Organisationen können ihre Sicherheitslage einfacher verbessern, indem sie Microsoft das Vertrauen schenken, zu entscheiden, wann ein Feature standardmäßig aktiviert werden sollte. Durch die Konfiguration einer Einstellung als Von Microsoft verwaltet (in den Graph-APIs Standard genannt) können IT-Administratoren darauf vertrauen, dass Microsoft ein Sicherheitsfeature aktiviert, das sie nicht ausdrücklich deaktiviert haben.
Ein Administrator kann z. B. Speicherort und Anwendungsnamen in Pushbenachrichtigungen aktivieren, um Benutzern mehr Kontext zur Verfügung zu stellen, wenn sie MFA-Anforderungen mit Microsoft Authenticator genehmigen. Der zusätzliche Kontext kann auch explizit deaktiviert oder als Von Microsoft verwaltet festgelegt werden. Heute ist die von Microsoft verwaltete Konfiguration für Standort und Anwendungsname Deaktiviert, wodurch die Option für jede Umgebung, in der ein Administrator die Einstellung verwaltet, effektiv deaktiviert.
Da sich die Sicherheitsrisikenlandschaft im Laufe der Zeit ändert, kann Microsoft die von Microsoft verwaltete Konfiguration für Standort und Anwendungsname in Aktivierteändern. Für Kunden, die sich auf Microsoft verlassen möchten, um ihren Sicherheitsstatus zu verbessern, ist das Festlegen von Sicherheitsfeatures auf Von Microsoft verwaltet eine einfache Möglichkeit, sich vor Sicherheitsbedrohungen zu schützen. Sie können Microsoft vertrauen, um die beste Methode zum Konfigurieren von Sicherheitseinstellungen basierend auf der aktuellen Bedrohungslandschaft zu ermitteln.
In der folgenden Tabelle sind die einzelnen Einstellungen aufgeführt, die auf "Von Microsoft verwaltet" festgelegt werden können und ob diese Einstellung standardmäßig aktiviert oder deaktiviert ist.
| Einstellung | Konfiguration |
|---|---|
| Registrierungskampagne | Aktiviert für Textnachrichten- und Sprachanrufbenutzer |
| Speicherort in Microsoft Authenticator-Benachrichtigungen | Deaktiviert |
| Anwendungsname in Microsoft Authenticator-Benachrichtigungen | Deaktiviert |
| Vom System bevorzugte MFA | Aktiviert |
| Authenticator Lite | Aktiviert |
| Verdächtige Aktivitäten melden | Deaktiviert |
Wenn sich Bedrohungsvektoren ändern, kann Microsoft Entra ID den Standardschutz für eine von Microsoft verwaltete-Einstellung in Versionshinweisen und in häufig gelesenen Foren wie Tech Community-ankündigen.
Weitere Informationen finden Sie in unserem Blogbeitrag "Es ist Zeit, die Telefontransporte für die Authentifizierung aufzugeben", der sich mit der Abkehr von der Nutzung von SMS und Sprachanrufen befasst. Diese Änderung führt zur Standardaktivierung für die Registrierungskampagne, um Benutzern bei der Einrichtung von Authenticator für die moderne Authentifizierung zu helfen.
Nächste Schritte
Authentifizierungsmethoden in Microsoft Entra ID – Microsoft Authenticator