Protección de métodos de autenticación en microsoft Entra ID
Nota
El valor administrado por Microsoft para Authenticator Lite pasará de deshabilitado a habilitado el 26 de junio de 2023. Todos los inquilinos que queden en el estado predeterminado Administrado por Microsoft se habilitarán para la función el 26 de junio.
Microsoft Entra ID agrega y mejora las características de seguridad para proteger mejor a los clientes frente a ataques crecientes. A medida que se conocen nuevos vectores de ataque, microsoft Entra ID puede responder habilitando la protección de forma predeterminada para ayudar a los clientes a mantenerse al frente de las amenazas de seguridad emergentes.
Por ejemplo, en respuesta al aumento de los ataques de fatiga de MFA, Microsoft recomienda las formas recomendadas para que los clientes defiendan a los usuarios. Una recomendación para evitar que los usuarios realicen aprobaciones accidentales de autenticación multifactor (MFA) es habilitar la coincidencia de números. Como resultado, el comportamiento predeterminado para la coincidencia de números se habilitará explícitamente para todos los usuarios de Microsoft Authenticator. Puede obtener más información sobre las nuevas características de seguridad, como la coincidencia de números en nuestra entrada de blog Características avanzadas de seguridad de Microsoft Authenticator ahora están disponibles con carácter general..
Hay dos maneras de habilitar una característica de seguridad de forma predeterminada:
- Una vez publicada una característica de seguridad, los clientes pueden usar el Centro de administración de Microsoft Entra o Graph API para probar e implementar el cambio según su propia programación. Para ayudar a defenderse contra nuevos vectores de ataque, El identificador de Entra de Microsoft puede habilitar la protección de una característica de seguridad de forma predeterminada para todos los inquilinos en una fecha determinada y no habrá ninguna opción para deshabilitar la protección. Microsoft programa la protección predeterminada de antemano para dar a los clientes tiempo de preparación para el cambio. Los clientes no pueden rechazar si Microsoft programa la protección de forma predeterminada.
- La protección puede ser administrada por Microsoft, lo que significa que Microsoft Entra ID puede habilitar o deshabilitar la protección dependiendo del panorama actual de amenazas a la seguridad. Los clientes pueden elegir si se permite a Microsoft administrar la protección. Pueden cambiar la opción administrada por Microsoft para que la protección se pueda habilitar o deshabilitar explícitamente en cualquier momento.
Nota
Solo una característica de seguridad crítica tendrá habilitada la protección de forma predeterminada.
Protección predeterminada habilitada por el identificador de Entra de Microsoft
La verificación numérica es un buen ejemplo de protección de un método de autenticación que actualmente es opcional para las notificaciones push en Microsoft Authenticator en todos los clientes. Los clientes pueden optar por habilitar la coincidencia de números para las notificaciones push en Microsoft Authenticator para usuarios y grupos, o bien podrían dejarla deshabilitada. La coincidencia de números ya es el comportamiento predeterminado para las notificaciones sin contraseña en Microsoft Authenticator y los usuarios no pueden optar por no participar.
A medida que aumentan los ataques de fatiga de MFA, la coincidencia de números se vuelve más fundamental para la seguridad de inicio de sesión. Como resultado, Microsoft cambiará el comportamiento predeterminado de las notificaciones push en Microsoft Authenticator.
Configuraciones administradas por Microsoft
Además de configurar la directiva de métodos de autenticación para que esté habilitada o deshabilitada, los administradores de TI pueden configurar algunas opciones en esta directiva para que sean administradas por Microsoft. Una opción que está configurada como administrada por Microsoft permite que Microsoft Entra ID habilite o deshabilite esa configuración.
La opción para permitir que microsoft Entra ID administre la configuración es una manera cómoda de permitir que Microsoft habilite o deshabilite una característica de forma predeterminada. Las organizaciones pueden mejorar más fácilmente su posición de seguridad confiando en Microsoft para administrar cuándo se debe habilitar una característica de forma predeterminada. Al configurar un valor como administrado por Microsoft (denominado predeterminado en Graph APIs), los administradores de TI pueden confiar en que Microsoft habilitará una característica de seguridad que no hayan deshabilitado explícitamente.
Por ejemplo, un administrador puede habilitar ubicación y nombre de aplicación en las notificaciones push para proporcionar a los usuarios más contexto cuando aprueban solicitudes de MFA con Microsoft Authenticator. El contexto adicional también puede deshabilitarse explícitamente, o establecerse como administrado por Microsoft. En la actualidad, la configuración administrada por Microsoft para la ubicación y el nombre de la aplicación está deshabilitada, lo que deshabilita efectivamente la opción para cualquier entorno en el que un administrador decida permitir que Microsoft Entra ID administre la configuración.
A medida que cambie el panorama de amenazas de seguridad con el tiempo, Microsoft puede cambiar la configuración administrada por Microsoft para la ubicación y el nombre de la aplicación a Habilitado. Para los clientes que deseen confiar en Microsoft para mejorar su postura de seguridad, configurar las características de seguridad como administradas por Microsoft () es una manera fácil de adelantarse a las amenazas de seguridad. Pueden confiar en Microsoft para determinar la mejor manera de configurar las opciones de seguridad en función del panorama de amenazas actual.
En la tabla siguiente se enumeran cada configuración que se puede establecer en Microsoft administrado y si esa configuración está habilitada o deshabilitada de forma predeterminada.
| Ajuste | Configuración |
|---|---|
| Campaña de registro | Habilitado para los usuarios de mensajes de texto y llamadas de voz |
| Ubicación de en las notificaciones de Microsoft Authenticator | Deshabilitado |
| Nombre de la aplicación en las notificaciones de Microsoft Authenticator | Deshabilitado |
| Autenticación multifactor preferido por el sistema | Habilitado |
| Authenticator Lite | Habilitado |
| Notificar actividad sospechosa | Deshabilitado |
A medida que cambian los vectores de amenazas, Microsoft Entra ID puede anunciar la protección predeterminada para una configuración administrada por Microsoft en las notas de la versión y en foros de lectura habitual, como Tech Community.
Para obtener más información, consulte nuestra entrada de blog Es hora de colgar los transportes telefónicos para la autenticación que describe cómo alejarse del uso de mensajes de texto y llamadas de voz. Este cambio conduce a la habilitación predeterminada de la campaña de registro para ayudar a los usuarios a configurar Authenticator para la autenticación moderna.
Pasos siguientes
Métodos de autenticación en Microsoft Entra ID - Microsoft Authenticator