Protegendo métodos de autenticação no Microsoft Entra ID
Nota
A configuração gerenciada pela Microsoft para o Authenticator Lite será alterada de desabilitada para habilitada em 26 de junho de 2023. Todos os locatários deixados no estado padrão gerenciado pela Microsoft serão habilitados para o recurso em 26 de junho.
A ID do Microsoft Entra adiciona e melhora os recursos de segurança para proteger melhor os clientes contra ataques crescentes. À medida que novos vetores de ataque se tornam conhecidos, a ID do Microsoft Entra pode responder habilitando a proteção por padrão para ajudar os clientes a ficarem à frente das ameaças de segurança emergentes.
Por exemplo, em resposta ao aumento dos ataques de fadiga de MFA, a Microsoft recomendou aos clientes maneiras de defender os usuários. Uma recomendação para impedir que os usuários aprovem acidentalmente uma MFA (autenticação multifator) é habilitar a correspondência de números. Como resultado, o comportamento padrão de correspondência de números é explicitamente Habilitado para todos os usuários do Microsoft Authenticator. Você pode saber mais sobre novos recursos de segurança, como a confirmação por número, em nossa postagem no blog Recursos avançados de segurança do Microsoft Authenticator estão agora disponíveis de forma geral!.
Há duas maneiras de a proteção de um recurso de segurança ser habilitada por padrão:
- Depois que um recurso de segurança é lançado, os clientes podem usar o Centro de administração do Microsoft Entra ou a API do Graph para testar e distribuir a alteração em sua própria agenda. Para ajudar a se defender contra novos vetores de ataque, a ID do Microsoft Entra pode habilitar a proteção de um recurso de segurança por padrão para todos os locatários em uma determinada data e não haverá uma opção para desabilitar a proteção. A Microsoft agenda a proteção padrão com antecedência para dar aos clientes tempo para se prepararem para a alteração. Os clientes não podem recusar o agendamento da Microsoft de uma proteção por padrão.
- A proteção pode ser gerenciada pela Microsoft, o que significa que o Microsoft Entra ID pode habilitá-la ou desabilitá-la com base no cenário atual de ameaças de segurança. Os clientes podem escolher se desejam permitir que a Microsoft gerencie a proteção. Também podem mudar de Gerenciado pela Microsoft para tornar a proteção explicitamente Habilitada ou Desabilitada a qualquer momento.
Nota
Somente um recurso de segurança crítico terá a proteção habilitada por padrão.
Proteção padrão habilitada pelo Microsoft Entra ID
A correspondência de números é um bom exemplo de proteção para um método de autenticação atualmente opcional para notificações por push no Microsoft Authenticator em todos os locatários. Os clientes podem optar por habilitar a correspondência de números para notificações por push no Microsoft Authenticator para usuários e grupos ou podem deixá-la desabilitada. A correspondência de números já é o comportamento padrão para notificações sem senha no Microsoft Authenticator e os usuários não podem recusar.
À medida que os ataques de fadiga de MFA aumentam, a correspondência de números se torna mais crítica para a segurança da entrada. Como resultado, a Microsoft alterará o comportamento padrão para notificações por push no Microsoft Authenticator.
Configurações gerenciadas pela Microsoft
Além de definir as configurações de política de métodos de autenticação para serem habilitados ou desabilitados, os administradores de TI podem definir algumas configurações na política de métodos de autenticação para serem gerenciados pela Microsoft. Uma configuração definida como Gerenciada pela Microsoft permite que o Microsoft Entra ID habilite ou desabilite a configuração.
A opção de permitir que a ID do Microsoft Entra gerencie a configuração é uma maneira conveniente para uma organização permitir que a Microsoft habilite ou desabilite um recurso por padrão. As organizações podem melhorar mais facilmente sua postura de segurança confiando na Microsoft para gerenciar quando um recurso deve ser habilitado por padrão. Ao definir uma configuração como Gerenciado pela Microsoft (chamada de padrão nas APIs do Graph), os administradores de TI podem ter a certeza de que a não Microsoft habilitará um recurso de segurança que eles tenham desabilitado explicitamente.
Por exemplo, um administrador pode habilitar o local e o nome do aplicativo em notificações por push para dar aos usuários mais contexto ao aprovar solicitações de MFA com o Microsoft Authenticator. O contexto adicional também pode ser desabilitado explicitamente ou definido como Gerenciado pela Microsoft. Hoje, a configuração Gerenciado pela Microsoft para localização e nome de aplicativo é Desabilitado, o que efetivamente desabilita a opção para qualquer ambiente em que um administrador opte por permitir que o Microsoft Entra ID gerencie a configuração.
À medida que o cenário de ameaças à segurança muda ao longo do tempo, a Microsoft pode alterar a configuração Gerenciado pela Microsoft de localização e nome de aplicativo para Habilitado. Para os clientes que desejam contar com a Microsoft para melhorar sua postura de segurança, definir recursos de segurança para gerenciados pela Microsoft é uma maneira fácil de se manter à frente das ameaças à segurança. Eles podem confiar na Microsoft para determinar a melhor maneira de definir as configurações de segurança com base no cenário de ameaças atual.
A tabela a seguir lista cada configuração que pode ser definida como gerenciada pela Microsoft e se essa configuração está habilitada ou desabilitada por padrão.
| Configuração | Configuração |
|---|---|
| Campanha de registro | Habilitado para usuários de mensagens de texto e chamadas de voz |
| Localização nas notificações do Microsoft Authenticator | Desabilitado |
| nome do aplicativo nas notificações do Microsoft Authenticator | Desabilitado |
| MFA preferido pelo sistema | habilitado |
| Authenticator Lite | habilitado |
| Relatar atividades suspeitas | Desabilitado |
À medida que os vetores de ameaças mudam, o Microsoft Entra ID pode anunciar a proteção padrão para uma configuração Gerenciado pela Microsoft nas notas sobre a versão e em fóruns comumente lidos, como o Tech Community.
Para obter mais informações, consulte nossa postagem no blog É hora de abandonar os métodos de autenticação por telefone que discute o abandono do uso de mensagens de texto e chamadas de voz. Essa alteração leva à habilitação padrão da campanha de registro para ajudar os usuários a configurar o Authenticator para autenticação moderna.
Próximas etapas
Métodos de autenticação do Microsoft Entra ID – Microsoft Authenticator