Защита методов проверки подлинности в идентификаторе Microsoft Entra
Заметка
Управляемая настройка Microsoft для Authenticator Lite будет переведена из состояния "отключен" в состояние "включен" 26 июня 2023 года. Все арендаторы, оставшиеся в состоянии по умолчанию под управлением Майкрософт , функция будет включена 26 июня.
Идентификатор Microsoft Entra добавляет и улучшает функции безопасности, чтобы лучше защитить клиентов от увеличения атак. По мере того как новые векторы атак становятся известными, идентификатор Microsoft Entra может реагировать, включив защиту по умолчанию, чтобы помочь клиентам оставаться перед новыми угрозами безопасности.
Например, в ответ на увеличение атак на усталость MFA корпорация Майкрософт рекомендовала клиентам защищать пользователей. Одной из рекомендаций по предотвращению случайного утверждения многофакторной проверки подлинности (MFA) является включение сопоставления номеров. В результате поведение по умолчанию для сопоставления чисел будет явно включено для всех пользователей Microsoft Authenticator. Вы можете узнать больше о новых функциях безопасности, таких как сопоставление чисел, в нашем блоге. Расширенные функции безопасности Microsoft Authenticator теперь общедоступны!
Существует два способа включения защиты функции безопасности по умолчанию:
- После выпуска функции безопасности клиенты могут использовать центр администрирования Microsoft Entra или API Graph для тестирования и развертывания изменений по собственному расписанию. Чтобы защититься от новых векторов атак, идентификатор Microsoft Entra может включить защиту функции безопасности по умолчанию для всех клиентов определенной даты, и не будет возможности отключить защиту. Корпорация Майкрософт планирует защиту по умолчанию заранее, чтобы предоставить клиентам время для подготовки к изменению. Клиенты не могут отказаться от защиты, которая автоматически планируется Майкрософт.
- Защита может быть управляемой корпорацией Майкрософт, что означает, что идентификатор Microsoft Entra может включать или отключать защиту на основе текущего ландшафта угроз безопасности. Клиенты могут выбрать, разрешать ли корпорации Майкрософт управлять защитой. Они могут изменить управление с корпорацией Майкрософт, чтобы явно сделать защиту включенной или отключенной в любое время.
Заметка
По умолчанию включена только критическая функция безопасности.
Защита по умолчанию, включенная идентификатором Microsoft Entra
Сопоставление чисел является хорошим примером защиты для метода проверки подлинности, который в настоящее время является необязательным для push-уведомлений в Microsoft Authenticator во всех клиентах. Клиенты могут включить сопоставление номеров для push-уведомлений в Microsoft Authenticator для пользователей и групп или оставить его отключенным. Сопоставление чисел уже является поведением по умолчанию для уведомлений без пароля в Microsoft Authenticator, и пользователи не могут отказаться.
По мере роста атак на усталость из-за многофакторной аутентификации (MFA) сопоставление чисел приобретает большее значение для безопасности авторизации. В результате корпорация Майкрософт изменит поведение по умолчанию для push-уведомлений в Microsoft Authenticator.
Управляемые майкрософт параметры
Помимо настройки параметров политики методов проверки подлинности включено или отключено, ИТ-администраторы могут настроить некоторые параметры в политике методов проверки подлинности для управляемых корпорацией Майкрософт. Параметр, настроенный как управляемый Microsoft, позволяет Идентификатору Microsoft Entra включать или отключать этот параметр.
Параметр, позволяющий идентификатору Microsoft Entra управлять параметром, является удобным способом для организации, чтобы разрешить корпорации Майкрософт включить или отключить функцию по умолчанию. Организации могут более легко повысить уровень безопасности, доверяя Корпорации Майкрософт управлять тем, что функция должна быть включена по умолчанию. Настроив параметр как управляемых Майкрософт (с именем по умолчанию в API Graph), ИТ-администраторы могут доверять Корпорации Майкрософт, чтобы включить функцию безопасности, которую они не отключили явным образом.
Например, администратор может включить в push-уведомлениях расположение и имя приложения, чтобы предоставить пользователям больше контекста при утверждении запросов MFA с помощью приложения Microsoft Authenticator. Дополнительный контекст также можно явно отключить или установить как управляемый корпорацией Майкрософт . Сегодня конфигурация
По мере изменения ландшафта угроз безопасности корпорация Microsoft может изменить управляемую конфигурацию на включено для расположения и имени приложения. Для клиентов, которые хотят полагаться на корпорацию Майкрософт для улучшения своего уровня безопасности, настройка функций безопасности как управляемые корпорацией Майкрософт — это простой способ противостоять угрозам безопасности. Они могут доверять Корпорации Майкрософт, чтобы определить лучший способ настройки параметров безопасности на основе текущего ландшафта угроз.
В следующей таблице перечислены все параметры, которые могут быть настроены как управляемые корпорацией Майкрософт, и указано, включены или отключены они по умолчанию.
| Настройка | Конфигурация |
|---|---|
| кампания регистрации | Включено для текстовых сообщений и пользователей голосового звонка |
| Местоположение в уведомлениях Microsoft Authenticator | Нетрудоспособный |
| имя приложения в уведомлениях Microsoft Authenticator | Нетрудоспособный |
| MFA, предпочитаемой системой | Включен |
| Authenticator Lite | Включен |
| сообщить о подозрительных действиях | Нетрудоспособный |
По мере изменения векторов угроз идентификатор Microsoft Entra id может объявить защиту по умолчанию для параметра управляемого Майкрософт в заметках о выпуске и на часто читаемых форумах, таких как Tech Community.
Дополнительные сведения см. в записи блога Пора отказаться от телефонных методов для проверки подлинности, в которой обсуждается переход от использования текстовых сообщений и голосовых звонков. Это изменение приводит к тому, что регистрационная кампания включается по умолчанию, чтобы помочь пользователям настроить Authenticator для современной аутентификации.
Дальнейшие действия
методы аутентификации в Microsoft Entra ID — Microsoft Authenticator