Skydda autentiseringsmetoder i Microsoft Entra-ID
Not
Microsofts hanterade värde för Authenticator Lite flyttas från inaktiverat till aktiverat den 26 juni 2023. Alla hyresgäster som är kvar i standardtillståndet hanterade av Microsoft kommer att aktiveras för funktionen den 26 juni.
Microsoft Entra ID lägger till och förbättrar säkerhetsfunktioner för att bättre skydda kunder mot ökande attacker. När nya attackvektorer blir kända kan Microsoft Entra-ID svara genom att aktivera skydd som standard för att hjälpa kunderna att ligga före nya säkerhetshot.
Som svar på ökande MFA-trötthetsattacker rekommenderade Microsoft till exempel sätt för kunder att försvara användare. En rekommendation för att förhindra användare från oavsiktliga MFA-godkännanden (multifaktorautentisering) är att aktivera nummermatchning. Därför är standardbeteendet för nummermatchning uttryckligen Aktiverad för alla Microsoft Authenticator-användare. Du kan lära dig mer om nya säkerhetsfunktioner som nummermatchning i vårt blogginlägg Avancerade Säkerhetsfunktioner för Microsoft Authenticator är nu allmänt tillgängliga!.
Det finns två sätt att skydda en säkerhetsfunktion som standard:
- När en säkerhetsfunktion har släppts kan kunderna använda administrationscentret för Microsoft Entra eller Graph API för att testa och distribuera ändringen enligt sitt eget schema. För att skydda mot nya attackvektorer kan Microsoft Entra-ID aktivera skydd av en säkerhetsfunktion som standard för alla klienter vid ett visst datum, och det finns inget alternativ för att inaktivera skydd. Microsoft schemalägger standardskyddet långt i förväg för att ge kunderna tid att förbereda sig för ändringen. Kunder kan inte avregistrera sig om Microsoft schemalägger skydd som standard.
- Skydd kan Microsoft-hanterade, vilket innebär att Microsoft Entra-ID kan aktivera eller inaktivera skydd baserat på det aktuella landskapet av säkerhetshot. Kunder kan välja om microsoft ska kunna hantera skyddet. De kan när som helst ändra från Microsoft-hanterade till att uttryckligen slå på skyddet eller stänga av det .
Not
Endast en viktig säkerhetsfunktion har skydd aktiverat som standard.
Standardskydd aktiverat av Microsoft Entra-ID
Nummermatchning är ett bra exempel på skydd för en autentiseringsmetod som för närvarande är valfri för push-meddelanden i Microsoft Authenticator i alla klienter. Kunder kan välja att aktivera nummermatchning för push-meddelanden i Microsoft Authenticator för användare och grupper, eller så kan de lämna det inaktiverat. Nummermatchning är redan standardbeteendet för lösenordslösa meddelanden i Microsoft Authenticator och användarna kan inte välja bort det.
När MFA-trötthetsattacker ökar blir nummermatchning mer kritiskt för inloggningssäkerhet. Därför ändrar Microsoft standardbeteendet för push-meddelanden i Microsoft Authenticator.
Microsofts hanterade inställningar
Förutom att konfigurera inställningar för principen för autentiseringsmetoder till antingen Aktiverade eller Inaktiverade, kan IT-administratörer också konfigurera vissa inställningar i policyn för autentiseringsmetoder så att de blir Microsoft-hanterade. En inställning som är konfigurerad som Microsofts hanterade gör att Microsoft Entra-ID kan aktivera eller inaktivera inställningen.
Alternativet att låta Microsoft Entra-ID hantera inställningen är ett bekvämt sätt för en organisation att tillåta Microsoft att aktivera eller inaktivera en funktion som standard. Organisationer kan enklare förbättra sin säkerhetsstatus genom att lita på att Microsoft hanterar när en funktion ska aktiveras som standard. Genom att konfigurera en inställning som Microsoft-hanterade (med namnet standard i Graph API:er) kan IT-administratörer lita på att Microsoft aktiverar en säkerhetsfunktion som de inte uttryckligen har inaktiverat.
En administratör kan till exempel aktivera plats och programnamn i push-meddelanden för att ge användarna mer kontext när de godkänner MFA-begäranden med Microsoft Authenticator. Den ytterligare kontexten kan också inaktiveras uttryckligen eller anges som Microsoft hanterade. Idag är den Microsoft-hanterade konfigurationen för plats och programnamn Inaktiverad, vilket effektivt inaktiverar alternativet för alla miljöer där en administratör väljer att låta Microsoft Entra-ID hantera inställningen.
När säkerhetshotlandskapet ändras med tiden kan Microsoft ändra den Microsoft-hanterade konfigurationen för lokation och programnamn till Aktiverad. För kunder som vill förlita sig på Microsoft för att förbättra sin säkerhetsstatus är det enkelt att ställa in säkerhetsfunktioner på Microsoft-hanterade ett enkelt sätt att ligga steget före säkerhetshot. De kan lita på att Microsoft bestämmer det bästa sättet att konfigurera säkerhetsinställningar baserat på det aktuella hotlandskapet.
I följande tabell visas varje inställning som kan ställas in på Microsoft hanterad och om den inställningen är aktiverad eller inaktiverad som standard.
| Inställning | Konfiguration |
|---|---|
| Registreringskampanj | Aktiverad för textmeddelande- och röstsamtalsanvändare |
| plats i Microsoft Authenticator-meddelanden | Handikappad |
| Programnamn i Microsoft Authenticator-meddelanden | Handikappad |
| Systemets föredragna MFA | Aktiverat |
| Authenticator Lite | Aktiverat |
| Rapportera misstänkt aktivitet | Handikappad |
När hotvektorer ändras kan Microsoft Entra ID meddela standardskydd för en Microsoft-hanterad inställning i utgivningsanteckningar och på vanligt lästa forum som Tech Community.
Mer information finns i vårt blogginlägg Det är dags att lägga på luren för telefonmetoder för autentisering, som handlar om att gå bort från att använda sms och röstsamtal. Den här ändringen leder till standardaktivering för registreringskampanjen för att hjälpa användare att konfigurera Authenticator för modern autentisering.
Nästa steg
-autentiseringsmetoder i Microsoft Entra-ID – Microsoft Authenticator