Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Anmerkung
Der von Microsoft verwaltete Wert für Authenticator Lite wird am 26. Juni 2023 von deaktiviert auf aktiviert umgestellt. Alle Mandanten mit dem Standardstatus von Microsoft verwaltet werden am 26. Juni für das Feature aktiviert.
Microsoft Entra ID fügt Sicherheitsfeatures hinzu und verbessert diese, um Kunden vor zunehmenden Angriffen zu schützen. Wenn neue Angriffsvektoren bekannt werden, kann Microsoft Entra ID standardmäßig Schutz aktivieren, damit Kunden einen Vorsprung vor neuen Sicherheitsbedrohungen behalten können.
Als Reaktion auf zunehmende MFA-Müdigkeitsangriffe empfahl Microsoft seinen Kunden beispielsweise Möglichkeiten, Benutzer zu schützen. Um zu verhindern, dass Benutzer versehentliche MFA-Genehmigungen (Multi-Faktor-Authentifizierung) erhalten, wird z. B. empfohlen, das Verwenden des Nummernabgleichs in MFA-Benachrichtigungen (Vorschauversion) – Authentifizierungsmethodenrichtlinie zu aktivieren. Infolge wird das Standardverhalten für den Nummernabgleich explizit für alle Microsoft Authenticator-Benutzer aktiviert. Weitere Informationen zu neuen Sicherheitsfunktionen, wie dem Nummernabgleich, finden Sie in unserem Blogbeitrag . Die erweiterten Sicherheitsfunktionen des Microsoft Authenticator sind jetzt allgemein verfügbar!.
Es gibt zwei Möglichkeiten, wie der Schutz eines Sicherheitsmerkmals standardmäßig aktiviert wird.
- Nachdem ein Sicherheitsfeature veröffentlicht wurde, können Kunden das Microsoft Entra Admin Center oder die Graph-API verwenden, um die Änderung nach eigenem Zeitplan zu testen und zu veröffentlichen. Um sich gegen neue Angriffsvektoren zu schützen, kann Microsoft Entra ID standardmäßig den Schutz eines Sicherheitsfeatures für alle Mandanten an einem bestimmten Datum aktivieren, und es gibt keine Option zum Deaktivieren des Schutzes. Microsoft plant den Standardschutz weit im Voraus, um Kunden Zeit für die Vorbereitung auf die Änderung zu geben. Kunden können sich nicht abmelden, wenn Microsoft den Schutz standardmäßig plant.
- Der Schutz kann von Microsoft verwaltet sein, was bedeutet, dass Microsoft Entra ID den Schutz basierend auf der aktuellen Sicherheitsbedrohungslage aktivieren oder deaktivieren kann. Kunden können auswählen, ob Microsoft die Verwaltung des Schutzes zulässt. Sie können von von Microsoft verwaltet dazu wechseln, den Schutz jederzeit auf Aktiviert oder Deaktiviert zu setzen.
Anmerkung
Nur bei kritischen Sicherheitsfeatures ist der Schutz standardmäßig aktiviert.
Standardmäßiger Schutz, aktiviert durch Microsoft Entra ID
Der Nummernabgleich ist ein gutes Beispiel für den Schutz einer Authentifizierungsmethode, die derzeit für Pushbenachrichtigungen in Microsoft Authenticator in allen Mandanten optional ist. Kunden können den Nummernabgleich für Pushbenachrichtigungen in Microsoft Authenticator für Benutzer und Gruppen aktivieren, oder sie könnten ihn deaktiviert lassen. Der Nummernabgleich ist bereits das Standardverhalten für kennwortlose Benachrichtigungen in Microsoft Authenticator, und Benutzer können sich nicht abmelden.
Mit der Zunahme von MFA-Ermüdungsangriffen wird der Nummernabgleich für die Anmeldesicherheit immer wichtiger. Daher ändert Microsoft das Standardverhalten für Pushbenachrichtigungen in Microsoft Authenticator.
Von Microsoft verwaltete Einstellungen
Zusätzlich zur Konfiguration der Authentifizierungsmethodenrichtlinien-Einstellungen als Aktiviert oder Deaktiviert können IT-Administratoren einige Einstellungen in der Authentifizierungsmethodenrichtlinie als von Microsoft verwaltet konfigurieren. Eine Einstellung, die als von Microsoft verwaltet konfiguriert ist, ermöglicht Microsoft Entra ID die Aktivierung oder Deaktivierung der Einstellung.
Die Option, Microsoft Entra ID die Verwaltung der Einstellung zu überlassen, ist eine bequeme Möglichkeit für eine Organisation, Microsoft das standardmäßige Aktivieren oder Deaktivieren eines Features zu ermöglichen. Organisationen können ihre Sicherheitslage einfacher verbessern, indem sie Microsoft das Vertrauen schenken, zu entscheiden, wann ein Feature standardmäßig aktiviert werden sollte. Durch die Konfiguration einer Einstellung als von Microsoft verwaltet (in den Graph-APIs Standard genannt) können IT-Administratoren darauf vertrauen, dass Microsoft ein Sicherheitsfeature aktiviert, das sie nicht ausdrücklich deaktiviert haben.
Ein Administrator kann z. B. Speicherort und Anwendungsnamen in Pushbenachrichtigungen aktivieren, um Benutzern mehr Kontext zur Verfügung zu stellen, wenn sie MFA-Anforderungen mit Microsoft Authenticator genehmigen. Der zusätzliche Kontext kann auch explizit deaktiviert oder als von Microsoft verwaltet festgelegt werden. Heute ist die Konfiguration von Microsoft verwaltet für Speicherort und Anwendungsname Deaktiviert, wodurch die Option effektiv für jede Umgebung deaktiviert wird, in der ein Administrator entscheidet, die Einstellung von Microsoft Entra ID verwalten zu lassen.
Wenn sich die Sicherheitsbedrohungslage im Laufe der Zeit ändert, kann Microsoft die von Microsoft verwaltete Konfiguration für Speicherort und Anwendungsname in Aktiviert ändern. Für Kunden, die sich auf Microsoft verlassen möchten, um ihren Sicherheitsstatus zu verbessern, ist das Festlegen von Sicherheitsfeatures auf von Microsoft verwaltet eine einfache Möglichkeit, sich vor Sicherheitsbedrohungen zu schützen. Sie können Microsoft vertrauen, um die beste Methode zum Konfigurieren von Sicherheitseinstellungen basierend auf der aktuellen Bedrohungslandschaft zu ermitteln.
In der folgenden Tabelle sind die einzelnen Einstellungen aufgeführt, die auf "Von Microsoft verwaltet" festgelegt werden können und ob diese Einstellung standardmäßig aktiviert oder deaktiviert ist.
| Einstellung | Konfiguration |
|---|---|
| Registrierungskampagne | Aktiviert für Textnachrichten- und Sprachanrufbenutzer |
| Speicherort in Microsoft Authenticator-Benachrichtigungen | Deaktiviert |
| Anwendungsname in Microsoft Authenticator-Benachrichtigungen | Deaktiviert |
| Vom System bevorzugte MFA | Aktiviert |
| Authenticator Lite | Aktiviert |
| Verdächtige Aktivitäten melden | Deaktiviert |
Wenn sich die Bedrohungsvektoren ändern, kann Microsoft Entra ID den Standardschutz für eine von Microsoft verwaltete Einstellung in den Versionshinweisen und in häufig besuchten Foren wie Tech Community bekannt geben.
Weitere Informationen finden Sie im Blogbeitrag Die Verwendung des Telefonnetzes für die Authentifizierung sollte eingestellt werden, der sich mit der Abkehr von der Verwendung von SMS und Sprachanrufen befasst. Diese Änderung führt zur Standardaktivierung für die Registrierungskampagne, um Benutzern bei der Einrichtung von Authenticator für die moderne Authentifizierung zu helfen.
Nächste Schritte
Authentifizierungsmethoden in Microsoft Entra ID – Microsoft Authenticator