Verificatiemethoden beveiligen in Microsoft Entra-id
Notitie
De door Microsoft beheerde waarde voor Authenticator Lite wordt verplaatst van uitgeschakeld naar ingeschakeld op 26 juni 2023. Alle tenants die de standaardstatus hebben door Microsoft beheerde worden ingeschakeld voor de functie op 26 juni.
Microsoft Entra ID voegt beveiligingsfuncties toe en verbetert deze om klanten beter te beschermen tegen toenemende aanvallen. Naarmate nieuwe aanvalsvectoren bekend worden, kan Microsoft Entra ID reageren door standaardbeveiliging in te schakelen om klanten te helpen voorop te blijven bij opkomende veiligheidsbedreigingen.
Microsoft heeft bijvoorbeeld als reactie op toenemende MFA-vermoeidheidsaanvallen aanbevolen hoe klanten hun gebruikers kunnen beschermen. Een aanbeveling om te voorkomen dat gebruikers per ongeluk MFA-goedkeuringen goedkeuren, is om nummerafstemming in te schakelen. Als gevolg hiervan wordt het standaardgedrag voor nummermatching expliciet ingeschakeld voor alle Microsoft Authenticator-gebruikers. Meer informatie over nieuwe beveiligingsfuncties, zoals nummerkoppeling, vindt u in onze blogpost Geavanceerde beveiligingsfuncties van Microsoft Authenticator nu algemeen beschikbaar zijn..
Er zijn twee manieren om de beveiliging van een beveiligingsfunctie standaard in te schakelen:
- Nadat een beveiligingsfunctie is uitgebracht, kunnen klanten het Microsoft Entra-beheercentrum of Graph API gebruiken om de wijziging in hun eigen planning te testen en uit te rollen. Om bescherming te bieden tegen nieuwe aanvalsvectoren, kan Microsoft Entra ID standaard beveiliging van een beveiligingsfunctie inschakelen voor alle tenants op een bepaalde datum en is er geen optie om beveiliging uit te schakelen. Microsoft plant de standaardbeveiliging ver van tevoren, zodat klanten tijd hebben om zich voor te bereiden op de wijziging. Klanten kunnen zich niet afmelden als Microsoft standaard beveiliging plant.
- Beveiliging kan worden door Microsoft beheerde, wat betekent dat Microsoft Entra ID beveiliging kan in- of uitschakelen op basis van het huidige landschap van beveiligingsrisico's. Klanten kunnen kiezen of Microsoft de beveiliging mag beheren. Ze kunnen op elk gewenst moment veranderen van door Microsoft beheerde om de beveiliging ingeschakeld of uitgeschakelde expliciet te maken.
Notitie
Alleen een kritieke beveiligingsfunctie heeft standaard beveiliging ingeschakeld.
Standaardbeveiliging ingeschakeld door Microsoft Entra-id
Nummerkoppeling is een goed voorbeeld van beveiliging voor een verificatiemethode die momenteel optioneel is voor pushmeldingen in Microsoft Authenticator in alle tenants. Klanten kunnen ervoor kiezen om nummerkoppeling in te schakelen voor pushmeldingen in Microsoft Authenticator voor gebruikers en groepen, of ze kunnen deze optie uitgeschakeld laten. Nummerkoppeling is al het standaardgedrag voor meldingen zonder wachtwoord in Microsoft Authenticator en gebruikers kunnen zich niet afmelden.
Naarmate MFA-vermoeidheidsaanvallen toenemen, wordt nummerkoppeling belangrijker voor de aanmeldingsbeveiliging. Als gevolg hiervan wijzigt Microsoft het standaardgedrag voor pushmeldingen in Microsoft Authenticator.
Door Microsoft beheerde instellingen
Naast het configureren van beleidsinstellingen voor verificatiemethoden als ingeschakeld of uitgeschakeld, kunnen IT-beheerders bepaalde instellingen configureren in het beleid voor verificatiemethoden om door Microsoft beheerd te worden . Met een instelling die is geconfigureerd als beheerd door Microsoft kan Microsoft Entra ID de instelling in- of uitschakelen.
De optie om Microsoft Entra ID de instelling te laten beheren, is een handige manier voor een organisatie om Microsoft toe te staan een functie standaard in of uit te schakelen. Organisaties kunnen hun beveiligingspostuur eenvoudiger verbeteren door Microsoft te vertrouwen om te beheren wanneer een functie standaard moet worden ingeschakeld. Door een instelling te configureren als door Microsoft beheerde (met de naam standaard in Graph API's), kunnen IT-beheerders Microsoft vertrouwen om een beveiligingsfunctie in te schakelen die ze niet expliciet hebben uitgeschakeld.
Een beheerder kan bijvoorbeeld locatie en toepassingsnaam inschakelen in pushmeldingen om gebruikers meer context te geven wanneer ze MFA-aanvragen goedkeuren met Microsoft Authenticator. De extra context kan ook expliciet worden uitgeschakeld of worden ingesteld als door Microsoft beheerde. Tegenwoordig wordt de door Microsoft beheerde-configuratie voor locatie- en toepassingsnaam uitgeschakeld, waardoor de optie voor elke omgeving waarin een beheerder ervoor kiest om microsoft Entra ID de instelling te laten beheren, effectief wordt uitgeschakeld.
Naarmate het beveiligingslandschap in de loop van de tijd verandert, kan Microsoft de door Microsoft beheerde-configuratie voor locatie en toepassingsnaam wijzigen naar ingeschakeld. Voor klanten die voor hun beveiliging willen vertrouwen op Microsoft om hun beveiligingspositie te verbeteren, is het instellen van beveiligingsfuncties op door Microsoft beheerde een eenvoudige manier om beveiligingsrisico's voor te blijven. Ze kunnen Microsoft vertrouwen om de beste manier te bepalen om beveiligingsinstellingen te configureren op basis van het huidige bedreigingslandschap.
De volgende tabel bevat elke instelling die kan worden ingesteld op Door Microsoft beheerd en of deze instelling standaard is ingeschakeld of uitgeschakeld.
| Instelling | Configuratie |
|---|---|
| registratiecampagne | Ingeschakeld voor gebruikers van tekstberichten en spraakoproepen |
| Locatie in Microsoft Authenticator-meldingen | Uitgeschakeld |
| toepassingsnaam in Microsoft Authenticator-meldingen | Uitgeschakeld |
| Systeemvoorkeur MFA | Ingeschakeld |
| Authenticator Lite- | Ingeschakeld |
| Verdachte activiteiten rapporteren | Uitgeschakeld |
Naarmate dreigingsvectoren veranderen, kan Microsoft Entra ID de standaardbescherming aankondigen voor een door Microsoft beheerde-instelling in releaseopmerkingen en op veelgelezen forums zoals Tech Community.
Zie voor meer informatie ons blogbericht Het is tijd om te stoppen met telefoonverificatie, waarin wordt besproken hoe u kunt overstappen van het gebruik van sms en spraakoproepen. Deze wijziging leidt tot standaardondersteuning voor de registratiecampagne om gebruikers te helpen Authenticator in te stellen voor moderne verificatie.
Volgende stappen
Verificatiemethoden in Microsoft Entra ID - Microsoft Authenticator