Partilhar via


Protegendo métodos de autenticação no Microsoft Entra ID

Observação

O valor gerenciado pela Microsoft para o Authenticator Lite passará de desativado para habilitado em 26 de junho de 2023. Todos os locatários deixados no estado padrão gerenciado pela Microsoft serão habilitados para o recurso em 26 de junho.

O Microsoft Entra ID adiciona e melhora os recursos de segurança para proteger melhor os clientes contra ataques crescentes. À medida que novos vetores de ataque se tornam conhecidos, o Microsoft Entra ID pode responder habilitando a proteção por padrão para ajudar os clientes a se manterem à frente das ameaças de segurança emergentes.

Por exemplo, em resposta ao aumento dos ataques de fadiga de MFA, a Microsoft recomendou maneiras para os clientes defenderem os usuários. Uma recomendação para impedir que os utilizadores façam aprovações acidentais de autenticação multifator (MFA) é habilitar a correspondência de números . Como resultado, o comportamento padrão para correspondência de números será explicitamente Habilitado para todos os usuários do Microsoft Authenticator. Você pode saber mais sobre os novos recursos de segurança, como a correspondência de números, em nossa postagem no blog os recursos de segurança avançados do Microsoft Authenticator agora estão disponíveis para o público em geral!.

Há duas maneiras de habilitar a proteção de um recurso de segurança por padrão:

  • Depois que um recurso de segurança é lançado, os clientes podem usar o centro de administração do Microsoft Entra ou a API do Graph para testar e implementar a alteração em sua própria agenda. Para ajudar na defesa contra novos vetores de ataque, o Microsoft Entra ID pode habilitar a proteção de um recurso de segurança por padrão para todos os locatários em uma determinada data, e não haverá uma opção para desabilitar a proteção. A Microsoft agenda a proteção padrão com muita antecedência para dar aos clientes tempo para se prepararem para a alteração. Os clientes não podem optar por não participar se a Microsoft agendar a proteção por padrão.
  • A proteção pode ser gerenciada pela Microsoft, significa que o Microsoft Entra ID pode habilitar ou desabilitar a proteção com base no cenário atual de ameaças à segurança. Os clientes podem optar por permitir que a Microsoft gerencie a proteção. Eles podem mudar de gerenciado pela Microsoft para tornar explicitamente a proteção Habilitado ou Desabilitado a qualquer momento.

Observação

Apenas um recurso de segurança crítico terá a proteção ativada por padrão.

Proteção padrão habilitada pelo Microsoft Entra ID

A comparação de números é um bom exemplo de medida de proteção para um método de autenticação que atualmente é opcional para notificações por push no Microsoft Authenticator em todos os inquilinos. Os clientes podem optar por ativar a correspondência de números para notificações por push no Microsoft Authenticator para usuários e grupos, ou podem deixá-la desabilitada. A correspondência de números já é o comportamento padrão para notificações sem senha no Microsoft Authenticator, e os usuários não podem desativar.

À medida que os ataques de fadiga de MFA aumentam, a correspondência de números torna-se mais crítica para a segurança na autenticação. Como resultado, a Microsoft alterará o comportamento padrão para notificações por push no Microsoft Authenticator.

Configurações gerenciadas pela Microsoft

Além de definir as configurações da diretiva de Métodos de autenticação para serem ativados ou desativados, os administradores de TI podem definir algumas configurações na diretiva de Métodos de autenticação para serem geridos pela Microsoft. Uma configuração configurada como gerenciada pela Microsoft permite que o ID do Microsoft Entra habilite ou desabilite a configuração.

A opção de permitir que o Microsoft Entra ID gerencie a configuração é uma maneira conveniente para uma organização permitir que a Microsoft habilite ou desabilite um recurso por padrão. As organizações podem melhorar mais facilmente sua postura de segurança confiando na Microsoft para gerenciar quando um recurso deve ser habilitado por padrão. Ao definir uma configuração como gerenciado pela Microsoft (chamado padrão nas APIs do Graph), os administradores de TI podem confiar na Microsoft para habilitar um recurso de segurança que não desabilitaram explicitamente.

Por exemplo, um administrador pode ativar local e nome do aplicativo em notificações push para fornecer aos utilizadores mais contexto quando aprovarem pedidos de autenticação multifator (MFA) com o Microsoft Authenticator. O contexto adicional também pode ser explicitamente desativado ou definido como gerenciado pela Microsoft. Hoje, a configuração de gerida pela Microsoft para local e nome da aplicação está Desativada, o que efetivamente desativa a opção para qualquer ambiente em que um administrador opte por deixar que o Microsoft Entra ID gerencie a configuração.

À medida que o cenário de ameaças à segurança muda ao longo do tempo, a Microsoft pode alterar a configuração gerenciada pela Microsoft para local e nome do aplicativo para Enabled. Para os clientes que desejam confiar na Microsoft para melhorar sua postura de segurança, definir recursos de segurança para gerenciados pela Microsoft é uma maneira fácil de se manter à frente das ameaças à segurança. Eles podem confiar na Microsoft para determinar a melhor maneira de definir as configurações de segurança com base no cenário atual de ameaças.

A tabela a seguir lista cada configuração que pode ser definida como gerenciada pela Microsoft e se essa configuração está habilitada ou desabilitada por padrão.

Cenário Configuração
Campanha de registo Habilitado para usuários de mensagens de texto e chamadas de voz
Localização nas notificações do Microsoft Authenticator Desabilitado
Nome do aplicativo nas notificações do Microsoft Authenticator Desabilitado
MFA preferido pelo sistema Ativado
Autenticador Lite Ativado
Comunicar atividades suspeitas Desabilitado

À medida que os vetores de ameaça mudam, o Microsoft Entra ID pode anunciar a proteção padrão para uma configuração de gerenciada Microsoft em notas de versão e em fóruns comumente lidos, como Tech Community.

Para obter mais informações, consulte a nossa publicação no blog Chegou a Hora de Abandonar os Transportes Telefónicos para Autenticação, que discute o abandono do uso de mensagens de texto e chamadas de voz. Essa alteração leva à habilitação padrão para a campanha de registro para ajudar os usuários a configurar o Autenticador para autenticação moderna.

Próximos passos

Métodos de autenticação no Microsoft Entra ID - Microsoft Authenticator