保護 Microsoft Entra 身分識別中的驗證方法
注意
Microsoft 管理的 Authenticator Lite 值將於 2023 年 6 月 26 日從停用變為啟用。 所有處於預設狀態 Microsoft 受控 的承租者將於 6 月 26 日啟用此功能。
Microsoft Entra ID 新增並改善安全性功能,以更好地保護客戶免於遭受日益嚴重的攻擊。 當新的攻擊向量變成已知時,Microsoft Entra ID 可以藉由預設啟用保護來回應,以協助客戶領先於新興的安全性威脅。
例如,為了回應增加 MFA 疲勞攻擊,Microsoft建議客戶 保護使用者的方式。 防止使用者意外進行多重要素驗證(MFA)核准的其中一項建議是啟用 數字比對。 因此,所有 Microsoft Authenticator 用戶的號碼比對默認行為將會被明確 啟用。 您可以在我們的部落格文章中深入瞭解新的安全性功能,例如數位比對,進階Microsoft Authenticator 安全性功能現已正式推出!。
預設啟用安全性功能保護有兩種方式:
- 發行安全性功能之後,客戶可以使用 Microsoft Entra 系統管理中心或 Graph API 來測試並按照自己的時間表推出變更。 為了協助防禦新的攻擊媒介,Microsoft Entra ID 可以從特定日期起,預設為所有租用戶啟用安全性功能保護,而且不會有停用保護的選項。 Microsoft會提前排程默認保護,讓客戶有時間準備變更。 如果 Microsoft 預設排定保護方案,客戶將無法選擇退出。
- 保護可以是 Microsoft 管理,這表示 Microsoft Entra ID 可以根據當前安全威脅環境來啟用或停用保護。 客戶可以選擇是否允許Microsoft管理保護。 它們可以從受管理 Microsoft 變更為隨時明確 啟用 或 停用。
注意
根據預設,只有重要的安全性功能會啟用保護。
Microsoft Entra 識別碼啟用的默認保護
目前,數字匹配是保護驗證方法的良好範例,在所有租戶的 Microsoft Authenticator 中,推播通知是選擇性的。 客戶可以選擇為使用者和群組在 Microsoft Authenticator 中啟用推播通知的數位比對,或將其停用。 數字比對已經是 Microsoft Authenticator 中無密碼通知的預設行為,用戶無法選擇退出。
隨著 MFA 疲勞攻擊的上升,數字匹配變得對登入的安全性更加重要。 因此,Microsoft會變更 Microsoft Authenticator 中推播通知的默認行為。
微軟管理設定
除了將驗證方法原則設定設為 啟用 或 停用之外,IT 系統管理員還可以在驗證方法原則中將某些設定設置為 由 Microsoft 管理。 設定為 Microsoft受管理 的設定可讓Microsoft Entra ID 啟用或停用設定。
選擇由 Microsoft Entra ID 管理設定,是讓組織預設允許 Microsoft 啟用或停用功能的便利方式。 組織可以透過信任 Microsoft 管理何時應默認啟用功能,更輕鬆地改善其安全狀態。 藉由將設定設為 Microsoft Managed (在 Graph API 中名為 預設),IT 系統管理員可以信任 Microsoft 來啟用尚未明確停用的安全性功能。
例如,系統管理員可以在推播通知中啟用 位置和應用程式名稱,來讓使用者在使用 Microsoft Authenticator 核准 MFA 要求時提供更多內容。 您也可以明確停用額外的上下文,或將其設定為Microsoft 管理的。 目前,Microsoft管理的位置和應用程式名稱 組態是 Disabled,這實際上會停用系統管理員選擇讓 Microsoft Entra ID 管理設定的任何環境的選項。
隨著安全性威脅環境隨著時間的變化,Microsoft可以將位置與應用程式名稱的受控Microsoft 組態
下表列出每個可以設定為由 Microsoft 管理的設定,以及這些設定預設是啟用還是停用。
| 設定 | 配置 |
|---|---|
| 註冊活動 | 針對簡訊和語音通話用戶啟用 |
| Microsoft Authenticator 通知中的位置 | 禁用 |
| Microsoft Authenticator 通知中的應用程式名稱 | 禁用 |
| 系統偏好的 MFA | 啟用 |
| Authenticator Lite | 啟用 |
| 報告可疑的活動 | 禁用 |
隨著威脅向量的變化,Microsoft Entra ID 可以在 版本資訊 中,以及 Tech Community等常用論壇上,宣佈 Microsoft 受控 設定的預設保護。
如需詳細資訊,請參閱我們的部落格文章 是時候不再依賴使用電話進行驗證,討論轉向不再依賴簡訊和語音通話的方式。 這項變更會預設啟用註冊活動,以協助用戶設定用於現代驗證的 Authenticator。
後續步驟
Microsoft Entra ID 中的 驗證方法 - Microsoft Authenticator