Hitelesítési módszerek védelme a Microsoft Entra-azonosítóban
Megjegyzés:
Az Authenticator Lite Microsoft által felügyelt értéke 2023. június 26-án le lesz tiltva. A Microsoft által felügyelt alapértelmezett állapotban maradt összes bérlő június 26-án lesz engedélyezve a funkcióhoz.
A Microsoft Entra ID biztonsági funkciókkal bővíti és javítja az ügyfelek védelmét a növekvő támadások ellen. Az új támadási vektorok ismertté válásával a Microsoft Entra ID úgy válaszolhat, hogy alapértelmezés szerint engedélyezi a védelmet, hogy az ügyfelek megelőzik a felmerülő biztonsági fenyegetéseket.
Például a növekvő MFA-kimerülési támadásokra válaszul a Microsoft ajánlott módszereket az ügyfeleknek a felhasználók védelmére. Az egyik javaslat, amely megakadályozza, hogy a felhasználók véletlenül többtényezős hitelesítést (MFA) jóváhagyjanak, a számegyeztetés engedélyezése. Ennek eredményeképpen a számegyeztetés alapértelmezett viselkedése explicit módon engedélyezve lesz minden Microsoft Authenticator-felhasználó számára. Az új biztonsági funkciókról, például a számegyeztetésről a Speciális Microsoft Authenticator biztonsági funkciók mostantól általánosan elérhetők!.
A biztonsági funkciók védelmének alapértelmezés szerint kétféleképpen engedélyezhető:
- Egy biztonsági funkció megjelenése után az ügyfelek a Microsoft Entra felügyeleti központ vagy a Graph API használatával saját ütemezésük szerint tesztelhetik és helyezhetik üzembe a módosítást. Az új támadási vektorok elleni védelem érdekében a Microsoft Entra ID alapértelmezés szerint engedélyezheti egy biztonsági funkció védelmét az összes bérlő számára egy adott napon, és nem lesz lehetőség a védelem letiltására. A Microsoft előre ütemezi az alapértelmezett védelmet, hogy az ügyfelek felkészülhessenek a változásra. Az ügyfelek nem tilthatják le, ha a Microsoft alapértelmezés szerint a védelmet ütemezi.
- A védelem felügyelhető a Microsofttal, ami azt jelenti, hogy a Microsoft Entra ID a jelenlegi biztonsági fenyegetések alapján engedélyezheti vagy letilthatja a védelmet. Az ügyfelek eldönthetik, hogy engedélyezik-e a Microsoftnak a védelem kezelését. A Microsoft által kezelt védelemről bármikor módosíthatják, hogy a védelem engedélyezve vagy letiltva legyen.
Megjegyzés:
Alapértelmezés szerint csak egy kritikus biztonsági funkció rendelkezik engedélyezett védelemmel.
A Microsoft Entra ID által engedélyezett alapértelmezett védelem
A számegyeztetés jó példa egy olyan hitelesítési módszer védelmére, amely jelenleg nem kötelező leküldéses értesítésekhez a Microsoft Authenticatorban az összes bérlőben. Az ügyfelek dönthetnek úgy, hogy engedélyezik a számegyeztetést a Leküldéses értesítésekhez a Microsoft Authenticatorban felhasználók és csoportok számára, vagy letilthatják azt. A Microsoft Authenticatorban már a számegyeztetés az alapértelmezett viselkedés a jelszó nélküli értesítések esetében, és a felhasználók nem tudnak lemondani.
Az MFA kimerültség elleni támadásai növekedésének hatására a számegyeztetés kritikusabbá válik a bejelentkezés biztonsága szempontjából. Ennek eredményeképpen a Microsoft megváltoztatja a leküldéses értesítések alapértelmezett viselkedését a Microsoft Authenticatorban.
Microsoft által felügyelt beállítások
Azonkül, hogy a hitelesítési módszerek házirendbeállításait engedélyezve vagy letiltva szeretné beállítani, az informatikai rendszergazdák a Microsoft által felügyelendő hitelesítési módszerek házirendjének bizonyos beállításait is konfigurálhatják. A Microsoft által felügyeltként konfigurált beállítás lehetővé teszi a Microsoft Entra ID számára a beállítás engedélyezését vagy letiltását.
A Microsoft Entra ID-nak a beállítás kezelésével kényelmesen engedélyezheti a Microsoftnak, hogy alapértelmezés szerint engedélyezze vagy letiltsa a funkciót. A szervezetek egyszerűbben javíthatják a biztonsági helyzetüket, ha megbíznak a Microsoftban, hogy felügyelje, ha alapértelmezés szerint engedélyezni kell egy funkciót. A Microsoft által felügyelt (a Graph API-kban alapértelmezésként elnevezett) beállítás konfigurálásával a rendszergazdák megbízhatnak a Microsoftban egy olyan biztonsági funkció engedélyezésében, amelyet nem tiltottak le kifejezetten.
A rendszergazdák például engedélyezhetik a hely és az alkalmazás nevét leküldéses értesítésekben, hogy több kontextust biztosítsanak a felhasználóknak, amikor jóváhagyják az MFA-kéréseket a Microsoft Authenticator használatával. A további környezet explicit módon le is tiltható, vagy beállítható a Microsoft által felügyeltként. Ma a Microsoft által felügyelt hely- és alkalmazásnév-konfiguráció le van tiltva, ami gyakorlatilag letiltja a beállítást minden olyan környezetben, ahol a rendszergazda úgy dönt, hogy engedélyezi a Microsoft Entra-azonosítónak a beállítás kezelését.
Mivel a biztonsági fenyegetések környezete idővel megváltozik, a Microsoft a hely és az alkalmazásnév Microsoft által felügyelt konfigurációját Engedélyezve értékre módosíthatja. Azoknak az ügyfeleknek, akik a Microsoftra szeretnének támaszkodni a biztonsági helyzet javítása érdekében, a biztonsági funkciók Microsoft által felügyelt beállítása egyszerű módja annak, hogy megelőzzék a biztonsági fenyegetéseket. Megbízhatnak a Microsoftban, hogy az aktuális fenyegetési környezet alapján határozza meg a biztonsági beállítások konfigurálásának legjobb módját.
Az alábbi táblázat felsorolja a Microsoft által felügyelt beállításokat, valamint azt, hogy ez a beállítás alapértelmezés szerint engedélyezve van-e vagy le van-e tiltva.
| Beállítás | Konfiguráció |
|---|---|
| Regisztrációs kampány | Szöveges üzenet- és hanghívási felhasználók számára engedélyezve |
| Hely a Microsoft Authenticator értesítéseiben | Letiltva |
| Alkalmazásnév a Microsoft Authenticator értesítéseiben | Letiltva |
| Rendszer által előnyben részesített MFA | Engedélyezve |
| Authenticator Lite | Engedélyezve |
| Gyanús tevékenység bejelentése | Letiltva |
A fenyegetésvektorok változásával a Microsoft Entra ID bejelentheti a Microsoft által felügyelt beállítások alapértelmezett védelmét a kibocsátási megjegyzésekbenés a gyakran olvasott fórumokon, például a Tech Communityben. A szöveges üzenetek és a hanghívások használatának szükségességéről például a Telefon Transports for Authentication szolgáltatásban való lefagyásról szóló blogbejegyzésünkben olvashat bővebben. Ez azt eredményezte, hogy a regisztrációs kampány alapértelmezett engedélyezésével a felhasználók beállíthatják az Authenticatort a modern hitelesítéshez.
További lépések
Hitelesítési módszerek a Microsoft Entra ID-ban – Microsoft Authenticator