Protezione dei metodi di autenticazione in Microsoft Entra ID
Nota
Il valore gestito da Microsoft per Authenticator Lite passerà da disabilitato a abilitato il 26 giugno 2023. Tutti i tenant lasciati nello stato predefinito gestito da Microsoft verranno abilitati per la funzionalità il 26 giugno.
Microsoft Entra ID aggiunge e migliora le funzionalità di sicurezza per proteggere meglio i clienti da attacchi crescenti. Man mano che diventano noti nuovi vettori di attacco, Microsoft Entra ID può rispondere abilitando la protezione per impostazione predefinita per aiutare i clienti a rimanere al passo con le minacce alla sicurezza emergenti.
Ad esempio, in risposta all'aumento degli attacchi di affaticamento MFA, Microsoft ha consigliato ai clienti di difendere gli utenti. Una raccomandazione per impedire agli utenti di approvazioni di autenticazione a più fattori accidentali consiste nell'abilitare numero corrispondente. Di conseguenza, il comportamento predefinito per la corrispondenza dei numeri verrà esplicitamente abilitato per tutti gli utenti di Microsoft Authenticator. Per ulteriori informazioni sulle nuove funzionalità di sicurezza, come il confronto numerico, vedere il nostro post sul blog Funzionalità di Sicurezza Avanzate di Microsoft Authenticator sono ora disponibili a livello generale!.
Esistono due modi per abilitare la protezione di una funzionalità di sicurezza per impostazione predefinita:
- Dopo il rilascio di una funzionalità di sicurezza, i clienti possono usare l'interfaccia di amministrazione di Microsoft Entra o l'API Graph per testare e implementare la modifica in base alla propria pianificazione. Per difendersi dai nuovi vettori di attacco, Microsoft Entra ID può abilitare la protezione di una funzionalità di sicurezza per impostazione predefinita per tutti i tenant in una determinata data e non sarà possibile disabilitare la protezione. Microsoft pianifica la protezione predefinita molto in anticipo per offrire ai clienti il tempo necessario per prepararsi alla modifica. I clienti non possono disattivare se Microsoft pianifica la protezione per impostazione predefinita.
- La protezione può essere gestita da Microsoft, il che significa che Microsoft Entra ID può consentire o disabilitare la protezione in base allo scenario attuale delle minacce alla sicurezza. I clienti possono scegliere se consentire a Microsoft di gestire la protezione. Possono passare da gestito da Microsoft per rendere esplicitamente la protezione Abilitato o Disabilitato in qualsiasi momento.
Nota
Solo una funzionalità di sicurezza critica avrà la protezione abilitata per impostazione predefinita.
Protezione predefinita abilitata da Microsoft Entra ID
La corrispondenza dei numeri è un buon esempio di protezione per un metodo di autenticazione attualmente facoltativo per le notifiche push in Microsoft Authenticator in tutti i tenant. I clienti possono scegliere di abilitare la corrispondenza dei numeri per le notifiche push in Microsoft Authenticator per utenti e gruppi oppure potrebbero lasciarlo disabilitato. Il confronto numerico è già il comportamento predefinito per le notifiche senza password in Microsoft Authenticator e gli utenti non possono esimersi.
Man mano che aumentano gli attacchi di affaticamento MFA, la verifica tramite numero diventa più critica per la sicurezza dell'autenticazione. Di conseguenza, Microsoft modificherà il comportamento predefinito per le notifiche push in Microsoft Authenticator.
Impostazioni gestite da Microsoft
Oltre a configurare le impostazioni dei criteri dei metodi di autenticazione per essere Abilitato o Disabilitato, gli amministratori IT possono configurare alcune impostazioni nei criteri metodi di autenticazione per essere Microsoft gestito. Un'impostazione configurata come microsoft managed consente a Microsoft Entra ID di abilitare o disabilitare l'impostazione.
L'opzione per consentire a Microsoft Entra ID di gestire l'impostazione è un modo pratico per consentire a Microsoft di abilitare o disabilitare una funzionalità per impostazione predefinita. Le organizzazioni possono migliorare più facilmente il comportamento di sicurezza affidandosi a Microsoft per gestire quando una funzionalità deve essere abilitata per impostazione predefinita. Configurando un'impostazione come gestita da Microsoft (denominata predefinita nelle API Graph), gli amministratori IT possono considerare attendibile Microsoft per abilitare una funzionalità di sicurezza non disabilitata in modo esplicito.
Ad esempio, un amministratore può abilitare posizione e nome dell'applicazione nelle notifiche push per fornire maggiore contesto agli utenti quando approvano le richieste MFA con Microsoft Authenticator. Il contesto aggiuntivo può anche essere disabilitato in modo esplicito o impostato come gestito da Microsoft . Attualmente, la configurazione gestita da Microsoft
Man mano che il panorama delle minacce per la sicurezza cambia nel tempo, Microsoft può modificare la configurazione del gestito da Microsoft per la posizione e il nome dell'applicazione in Abilitato. Per i clienti che vogliono affidarsi a Microsoft per migliorare il comportamento di sicurezza, impostare le funzionalità di sicurezza per gestito da Microsoft è un modo semplice per rimanere al passo con le minacce alla sicurezza. Possono fidarsi di Microsoft per determinare il modo migliore per configurare le impostazioni di sicurezza in base al panorama delle minacce corrente.
La tabella seguente elenca ogni impostazione che può essere impostata su Microsoft gestito e se tale impostazione è abilitata o disabilitata per impostazione predefinita.
| Impostazione | Configurazione |
|---|---|
| Campagna di registrazione | Abilitato per gli utenti di SMS e chiamate vocali |
| Posizione nelle notifiche di Microsoft Authenticator | Disabile |
| Nome applicazione nelle notifiche di Microsoft Authenticator | Disabile |
| MFA preferito dal sistema | Abilitato |
| Authenticator Lite | Abilitato |
| Segnala attività sospette | Disabile |
Man mano che cambiano i vettori di minaccia, Microsoft Entra ID può annunciare la protezione predefinita per un'impostazione di gestita da Microsoft in note sulla versione e nei forum più comuni, ad esempio Tech Community.
Per ulteriori informazioni, consulta il nostro post del blog È tempo di abbandonare i trasporti telefonici per l'autenticazione che discute la transizione dall'uso di SMS e chiamate vocali. Questa modifica comporta l'abilitazione predefinita per la campagna di registrazione per aiutare gli utenti a configurare Authenticator per l'autenticazione moderna.
Passaggi successivi
Metodi di autenticazione in Microsoft Entra ID - Microsoft Authenticator