Protezione dei metodi di autenticazione in Microsoft Entra ID
Nota
Il valore gestito da Microsoft per Authenticator Lite passerà da disabilitato a abilitato il 26 giugno 2023. Tutti i tenant lasciati nello stato predefinito gestito da Microsoft verranno abilitati per la funzionalità il 26 giugno.
Microsoft Entra ID aggiunge e migliora le funzionalità di sicurezza per proteggere meglio i clienti da attacchi crescenti. Man mano che diventano noti nuovi vettori di attacco, Microsoft Entra ID può rispondere abilitando la protezione per impostazione predefinita per aiutare i clienti a rimanere al passo con le minacce alla sicurezza emergenti.
Ad esempio, in risposta all'aumento degli attacchi di affaticamento MFA, Microsoft ha consigliato ai clienti di difendere gli utenti. È consigliabile impedire agli utenti di approvare l'autenticazione a più fattori accidentali (MFA) per abilitare la corrispondenza dei numeri. Di conseguenza, il comportamento predefinito per la corrispondenza dei numeri verrà abilitato in modo esplicito per tutti gli utenti di Microsoft Authenticator. Per altre informazioni sulle nuove funzionalità di sicurezza, ad esempio la corrispondenza dei numeri, vedere il post di blog Advanced Microsoft Authenticator security features are now available (Funzionalità avanzate per la sicurezza di Microsoft Authenticator) sono ora disponibili a livello generale.
Esistono due modi per abilitare la protezione di una funzionalità di sicurezza per impostazione predefinita:
- Dopo il rilascio di una funzionalità di sicurezza, i clienti possono usare l'interfaccia di amministrazione di Microsoft Entra o l'API Graph per testare e implementare la modifica in base alla propria pianificazione. Per difendersi dai nuovi vettori di attacco, Microsoft Entra ID può abilitare la protezione di una funzionalità di sicurezza per impostazione predefinita per tutti i tenant in una determinata data e non sarà possibile disabilitare la protezione. Microsoft pianifica la protezione predefinita molto in anticipo per offrire ai clienti il tempo necessario per prepararsi alla modifica. I clienti non possono rifiutare esplicitamente se microsoft pianifica la protezione per impostazione predefinita.
- La protezione può essere gestita da Microsoft, il che significa che Microsoft Entra ID può abilitare o disabilitare la protezione in base al panorama attuale delle minacce alla sicurezza. I clienti possono scegliere se consentire a Microsoft di gestire la protezione. Possono passare da Microsoft gestito in modo esplicito per rendere la protezione abilitata o disabilitata in qualsiasi momento.
Nota
Solo una funzionalità di sicurezza critica avrà la protezione abilitata per impostazione predefinita.
Protezione predefinita abilitata da Microsoft Entra ID
La corrispondenza dei numeri è un buon esempio di protezione per un metodo di autenticazione attualmente facoltativo per le notifiche push in Microsoft Authenticator in tutti i tenant. I clienti possono scegliere di abilitare la corrispondenza dei numeri per le notifiche push in Microsoft Authenticator per utenti e gruppi oppure potrebbero lasciarlo disabilitato. La corrispondenza dei numeri è già il comportamento predefinito per le notifiche senza password in Microsoft Authenticator e gli utenti non possono rifiutare esplicitamente.
Man mano che aumentano gli attacchi di affaticamento MFA, la corrispondenza dei numeri diventa più critica per la sicurezza degli accessi. Di conseguenza, Microsoft modificherà il comportamento predefinito per le notifiche push in Microsoft Authenticator.
Impostazioni gestite da Microsoft
Oltre a configurare le impostazioni dei criteri dei metodi di autenticazione per l'abilitazione o la disabilitazione, gli amministratori IT possono configurare alcune impostazioni nei criteri metodi di autenticazione per essere gestiti da Microsoft. Un'impostazione configurata come gestita da Microsoft consente a Microsoft Entra ID di abilitare o disabilitare l'impostazione.
L'opzione per consentire a Microsoft Entra ID di gestire l'impostazione è un modo pratico per consentire a Microsoft di abilitare o disabilitare una funzionalità per impostazione predefinita. Le organizzazioni possono migliorare più facilmente il comportamento di sicurezza affidandosi a Microsoft per gestire quando una funzionalità deve essere abilitata per impostazione predefinita. Configurando un'impostazione come gestita da Microsoft (denominata predefinita nelle API Graph), gli amministratori IT possono considerare attendibile Microsoft per abilitare una funzionalità di sicurezza che non hanno disabilitato in modo esplicito.
Ad esempio, un amministratore può abilitare la posizione e il nome dell'applicazione nelle notifiche push per offrire agli utenti più contesto quando approvano le richieste MFA con Microsoft Authenticator. Il contesto aggiuntivo può anche essere disabilitato in modo esplicito o impostato come gestito da Microsoft. Attualmente, la configurazione gestita da Microsoft per il percorso e il nome dell'applicazione è Disabilitata, che disabilita in modo efficace l'opzione per qualsiasi ambiente in cui un amministratore sceglie di consentire a Microsoft Entra ID di gestire l'impostazione.
Man mano che il panorama delle minacce per la sicurezza cambia nel tempo, Microsoft può modificare la configurazione gestita da Microsoft per la posizione e il nome dell'applicazione in Abilitato. Per i clienti che vogliono affidarsi a Microsoft per migliorare il comportamento di sicurezza, l'impostazione delle funzionalità di sicurezza per Microsoft gestito è un modo semplice per rimanere al passo con le minacce alla sicurezza. Possono fidarsi di Microsoft per determinare il modo migliore per configurare le impostazioni di sicurezza in base al panorama delle minacce corrente.
La tabella seguente elenca ogni impostazione che può essere impostata su Microsoft gestito e se tale impostazione è abilitata o disabilitata per impostazione predefinita.
| Impostazione | Configurazione |
|---|---|
| Campagna di registrazione | Abilitato per gli utenti di SMS e chiamate vocali |
| Posizione nelle notifiche di Microsoft Authenticator | Disabled |
| Nome applicazione nelle notifiche di Microsoft Authenticator | Disabled |
| MFA preferita dal sistema | Attivato |
| Authenticator Lite | Attivato |
| Segnalare attività sospette | Disabled |
Man mano che cambiano i vettori di minaccia, Microsoft Entra ID può annunciare la protezione predefinita per un'impostazione gestita da Microsoft nelle note sulla versione e nei forum più comuni come Tech Community. Ad esempio, vedere il post di blog It's Time to Hang Up on Telefono Transports for Authentication (It's Time to Hang up on Telefono Transports for Authentications for Authentication) per altre informazioni sulla necessità di allontanarsi dall'uso di SMS e chiamate vocali, che hanno portato all'abilitazione predefinita per la campagna di registrazione per consentire agli utenti di configurare Authenticator per l'autenticazione moderna.
Passaggi successivi
Metodi di autenticazione in Microsoft Entra ID - Microsoft Authenticator