Ochrona metod uwierzytelniania w identyfikatorze Entra firmy Microsoft
Notatka
Wartość zarządzana przez Microsoft dla Authenticator Lite zostanie zmieniona z wyłączonej na włączoną 26 czerwca 2023 r. Wszystkie dzierżawy pozostawione w stanie domyślnym zarządzane przez firmę Microsoft zostaną włączone dla tej funkcji 26 czerwca.
Usługa Microsoft Entra ID dodaje i ulepsza funkcje zabezpieczeń, aby lepiej chronić klientów przed coraz większymi atakami. Gdy nowe wektory ataków stają się znane, identyfikator Entra firmy Microsoft może reagować, włączając ochronę domyślnie, aby pomóc klientom w wyprzedzaniu pojawiających się zagrożeń bezpieczeństwa.
Na przykład w odpowiedzi na zwiększenie liczby ataków zmęczenia uwierzytelniania wieloskładnikowego firma Microsoft zaleciła klientom bronić użytkowników. Jednym z zaleceń, aby uniemożliwić użytkownikom przypadkowe zatwierdzenia uwierzytelniania wieloskładnikowego (MFA) jest włączenie numerów pasujących. W związku z tym domyślne zachowanie dopasowania liczb będzie jawnie włączone dla wszystkich użytkowników aplikacji Microsoft Authenticator. Więcej informacji o nowych funkcjach zabezpieczeń, takich jak dopasowywanie numerów, można znaleźć w naszym wpisie w blogu Zaawansowane funkcje zabezpieczeń microsoft Authenticator są teraz ogólnie dostępne!.
Istnieją dwa sposoby, w jakie włączenie ochrony funkcji zabezpieczeń może być domyślne.
- Po wydaniu funkcji zabezpieczeń klienci mogą używać centrum administracyjnego firmy Microsoft lub interfejsu API programu Graph do testowania i wdrażania zmian we własnym harmonogramie. Aby pomóc w obronie przed nowymi wektorami ataków, identyfikator Entra firmy Microsoft może domyślnie włączyć ochronę funkcji zabezpieczeń dla wszystkich dzierżaw w określonym dniu i nie będzie dostępna opcja wyłączenia ochrony. Firma Microsoft planuje domyślną ochronę z dużym wyprzedzeniem, aby dać klientom czas na przygotowanie się do zmiany. Klienci nie mogą zrezygnować, jeśli firma Microsoft planuje ochronę domyślnie.
- Ochronę można zarządzanych przez firmę Microsoft, co oznacza, że identyfikator Entra firmy Microsoft może włączać lub wyłączać ochronę w oparciu o bieżący poziom zagrożeń bezpieczeństwa. Klienci mogą zdecydować, czy firma Microsoft może zarządzać ochroną. Mogą oni w dowolnym momencie zmienić zarządzane przez firmę Microsoft, aby jawnie ustawić ochronę jako Włączona lub Wyłączona.
Notatka
Domyślnie włączona będzie tylko funkcja zabezpieczeń o krytycznym znaczeniu.
Domyślna ochrona włączona przez Microsoft Entra ID
Dopasowanie liczb jest dobrym przykładem ochrony metody uwierzytelniania, która jest obecnie opcjonalna dla powiadomień push w aplikacji Microsoft Authenticator we wszystkich dzierżawach. Klienci mogą włączyć dopasowywanie numerów w przypadku powiadomień push w aplikacji Microsoft Authenticator dla użytkowników i grup, lub pozostawić tę funkcję wyłączoną. Dopasowywanie liczb jest już domyślnym zachowaniem dla powiadomień bez hasła w aplikacji Microsoft Authenticator, a użytkownicy nie mogą zrezygnować.
Dopasowanie kodów staje się coraz bardziej krytyczne dla bezpieczeństwa logowania, w miarę nasilania się ataków znużenia MFA. W związku z tym firma Microsoft zmieni domyślne działanie powiadomień push w aplikacji Microsoft Authenticator.
Ustawienia zarządzane przez firmę Microsoft
Oprócz konfigurowania ustawień polityki metod uwierzytelniania jako włączone lub wyłączone, administratorzy IT mogą skonfigurować niektóre z nich w ramach polityki metod uwierzytelniania jako zarządzane przez Microsoft. Ustawienie skonfigurowane jako zarządzane przez firmę Microsoft umożliwia usłudze Microsoft Entra ID włączenie lub wyłączenie tego ustawienia.
Opcja zezwalania firmie Microsoft Entra ID na zarządzanie ustawieniem jest wygodnym sposobem, w jaki organizacja zezwala firmie Microsoft na domyślne włączanie lub wyłączanie funkcji. Organizacje mogą łatwiej poprawić stan zabezpieczeń, ufając firmie Microsoft, kiedy funkcja powinna być domyślnie włączona. Konfigurując ustawienie jako zarządzane przez firmę Microsoft (nazywane domyślne w interfejsach API Graph), administratorzy IT mogą ufać, że firma Microsoft włączy funkcję zabezpieczeń, której nie wyłączyli jawnie.
Na przykład administrator może włączyć lokalizację i nazwę aplikacji w powiadomieniach push, aby dać użytkownikom więcej kontekstu podczas zatwierdzania żądań MFA przy użyciu Microsoft Authenticator. Dodatkowy kontekst można również jawnie wyłączyć lub ustawić jako zarządzany przez firmę Microsoft. Obecnie konfiguracja zarządzana przez
W miarę upływu czasu zmiany poziomu zagrożeń bezpieczeństwa firma Microsoft może zmienić konfigurację zarządzaną przez firmę Microsoft
W poniższej tabeli wymieniono każde ustawienie, które można ustawić na zarządzane przez firmę Microsoft, oraz określa, czy to ustawienie jest domyślnie włączone, czy wyłączone.
| Ustawienie | Konfiguracja |
|---|---|
| Kampania rejestracji | Włączone dla użytkowników wiadomości SMS i połączeń głosowych |
| Lokalizacja w powiadomieniach Microsoft Authenticator | Niepełnosprawny |
| nazwa aplikacji w powiadomieniach Microsoft Authenticator | Niepełnosprawny |
| Uwierzytelnianie wieloskładnikowe preferowane przez system | Włączone |
| |
Włączone |
| Zgłaszanie podejrzanych działań | Niepełnosprawny |
W miarę zmiany wektorów zagrożeń, Microsoft Entra ID może ogłosić domyślną ochronę dla ustawienia zarządzanego przez firmę Microsoft w uwagach o wydaniu oraz na popularnie czytanych forach, takich jak Tech Community.
Aby uzyskać więcej informacji, zobacz nasz wpis na blogu It's Time to Hang Up on Phone Transports for Authentication, który omawia rezygnację z korzystania z wiadomości SMS i połączeń głosowych. Ta zmiana prowadzi do domyślnego włączenia kampanii rejestracji, aby ułatwić użytkownikom skonfigurowanie aplikacji Authenticator na potrzeby nowoczesnego uwierzytelniania.
Następne kroki
Metody uwierzytelniania w usłudze Microsoft Entra ID — Microsoft Authenticator