Schützen von Authentifizierungsmethoden in Microsoft Entra ID
Hinweis
Der von Microsoft verwaltete Wert für Authenticator Lite wird am 26. Juni 2023 von „deaktiviert“ auf „aktiviert“ umgestellt. Alle Mandanten mit dem Standardstatus von Microsoft verwaltet werden am 26. Juni für das Feature aktiviert.
Microsoft Entra ID fügt Sicherheitsfeatures hinzu und verbessert sie, um Kunden besser vor zunehmenden Angriffen zu schützen. Wenn neue Angriffsvektoren bekannt werden, kann Microsoft Entra ID durch standardmäßiges Aktivieren des Schutzes darauf reagieren, um Kunden zu helfen, neuen Sicherheitsbedrohungen einen Schritt voraus zu sein.
Als Reaktion auf zunehmende MFA-Müdigkeitsangriffe empfahl Microsoft seinen Kunden beispielsweise Möglichkeiten, Benutzer zu schützen. Um zu verhindern, dass Benutzer versehentliche MFA-Genehmigungen (Multi-Faktor-Authentifizierung) erhalten, wird z. B. empfohlen, das Verwenden des Nummernabgleichs in MFA-Benachrichtigungen (Vorschauversion) – Authentifizierungsmethodenrichtlinie zu aktivieren. Infolge wird das Standardverhalten für den Nummernabgleich explizit für alle Microsoft Authenticator-Benutzer aktiviert. Weitere Informationen zu neuen Sicherheitsfeatures wie Nummernabgleich finden Sie in unserem Blogbeitrag Erweiterte Microsoft Authenticator-Sicherheitsfeatures sind jetzt allgemein verfügbar!.
Es gibt zwei Möglichkeiten, den Schutz eines Sicherheitsfeatures standardmäßig zu aktivieren:
- Nachdem ein Sicherheitsfeature veröffentlicht wurde, können Kunden das Microsoft Entra Admin Center oder die Graph-API nutzen, um die Änderung zu testen und nach ihrem eigenen Zeitplan einzuführen. Um sich gegen neue Angriffsvektoren zu schützen, kann Microsoft Entra ID den Schutz einer Sicherheitsfunktion ab einem bestimmten Datum standardmäßig für alle Mandanten aktivieren, und es wird keine Option geben, um den Schutz zu deaktivieren. Microsoft plant den Standardschutz weit im Voraus, um Kunden Zeit für die Vorbereitung auf die Änderung zu geben. Die Kunden können sich nicht gegen den Schutz entscheiden, wenn Microsoft den Schutz standardmäßig einplant.
- Der Schutz kann von Microsoft verwaltet sein, was bedeutet, dass Microsoft Entra ID den Schutz basierend auf der aktuellen Sicherheitsbedrohungslage aktivieren oder deaktivieren kann. Kunden können auswählen, ob Microsoft den Schutz verwalten darf. Sie können von von Microsoft verwaltet dazu wechseln, den Schutz jederzeit auf Aktiviert oder Deaktiviert zu setzen.
Hinweis
Nur bei kritischen Sicherheitsfeatures ist der Schutz standardmäßig aktiviert.
Durch Microsoft Entra ID aktivierter Standardschutz
Der Nummernabgleich ist ein gutes Beispiel für den Schutz einer Authentifizierungsmethode, die derzeit für Pushbenachrichtigungen in Microsoft Authenticator in allen Mandanten optional ist. Kunden können wählen, ob sie den Nummernabgleich für Pushbenachrichtigungen in Microsoft Authenticator für Benutzer und Gruppen aktivieren möchten, oder ob sie ihn deaktiviert lassen möchten. Der Nummernabgleich ist bereits das Standardverhalten für kennwortlose Benachrichtigungen in Microsoft Authenticator, und die Benutzer können sich nicht dagegen entscheiden.
Mit der Zunahme von MFA-Ermüdungsangriffen wird der Nummernabgleich für die Anmeldesicherheit immer wichtiger. Daher ändert Microsoft das Standardverhalten für Pushbenachrichtigungen in Microsoft Authenticator.
von Microsoft verwaltete Einstellungen
Zusätzlich zur Konfiguration der Authentifizierungsmethodenrichtlinien-Einstellungen als Aktiviert oder Deaktiviert können IT-Administratoren einige Einstellungen in der Authentifizierungsmethodenrichtlinie als von Microsoft verwaltet konfigurieren. Eine Einstellung, die als von Microsoft verwaltet konfiguriert ist, ermöglicht Microsoft Entra ID die Aktivierung oder Deaktivierung der Einstellung.
Die Option, die Einstellung von Microsoft Entra ID verwalten zu lassen, ist eine bequeme Möglichkeit für eine Organisation, Microsoft zu erlauben, eine Funktion standardmäßig zu aktivieren oder zu deaktivieren. Unternehmen können ihre Sicherheitslage leichter verbessern, wenn sie Microsoft die Verwaltung der standardmäßig aktivierten Funktionen anvertrauen. Durch die Konfiguration einer Einstellung als von Microsoft verwaltet (in den Graph-APIs Standard genannt) können IT-Administratoren darauf vertrauen, dass Microsoft ein Sicherheitsfeature aktiviert, das sie nicht ausdrücklich deaktiviert haben.
Ein Administrator kann z. B. Speicherort und Anwendungsnamen in Pushbenachrichtigungen aktivieren, um Benutzern mehr Kontext zur Verfügung zu stellen, wenn sie MFA-Anforderungen mit Microsoft Authenticator genehmigen. Der zusätzliche Kontext kann auch explizit deaktiviert oder als von Microsoft verwaltet festgelegt werden. Heute ist die Konfiguration von Microsoft verwaltet für Speicherort und Anwendungsname Deaktiviert, wodurch die Option effektiv für jede Umgebung deaktiviert wird, in der ein Administrator entscheidet, die Einstellung von Microsoft Entra ID verwalten zu lassen.
Wenn sich die Sicherheitsbedrohungslage im Laufe der Zeit ändert, kann Microsoft die von Microsoft verwaltet-Konfiguration für Speicherort und Anwendungsnamen in Aktiviert ändern. Für Kunden, die sich auf Microsoft verlassen möchten, um ihren Sicherheitsstatus zu verbessern, ist das Festlegen von Sicherheitsfeatures auf von Microsoft verwaltet eine einfache Möglichkeit, sich vor Sicherheitsbedrohungen zu schützen. Sie können darauf vertrauen, dass Microsoft den besten Weg zur Konfiguration der Sicherheitseinstellungen auf der Grundlage der aktuellen Bedrohungslage findet.
In der folgenden Tabelle sind alle Einstellungen aufgeführt, die auf „von Microsoft verwaltet“ festgelegt werden können. Außerdem enthält die Tabelle Informationen dazu, ob die jeweilige Einstellung standardmäßig aktiviert oder deaktiviert ist.
| Einstellung | Konfiguration |
|---|---|
| Registrierungskampagne | Aktiviert für SMS- und Sprachanrufbenutzer*innen |
| Speicherort in Microsoft Authenticator-Benachrichtigungen | Deaktiviert |
| Anwendungsname in Microsoft Authenticator-Benachrichtigungen | Deaktiviert |
| Vom System bevorzugte MFA | Aktiviert |
| Authenticator Lite | Enabled |
| Melden verdächtiger Aktivitäten | Disabled |
Wenn sich die Bedrohungsvektoren ändern, kann Microsoft Entra ID den Standardschutz für eine von Microsoft verwaltet-Einstellung in den Versionshinweisen und in häufig gelesenen Foren wie Tech-Community ankündigen. Unser Blogbeitrag It's Time to Hang Up on Phone Transports for Authentication enthält beispielsweise weitere Informationen, warum SMS und Sprachanrufe nicht mehr verwendet werden sollten. Diese Überlegungen haben zur standardmäßigen Aktivierung bei der Registrierungskampagne geführt, um Benutzer*innen beim Einrichten von Authenticator für die moderne Authentifizierung zu unterstützen.
Nächste Schritte
Authentifizierungsmethoden in Microsoft Entra ID – Microsoft Authenticator