Protegendo métodos de autenticação no Microsoft Entra ID
Nota
O valor gerenciado pela Microsoft para o Authenticator Lite passará de desativado para habilitado em 26 de junho de 2023. Todos os locatários deixados no estado padrão gerenciado pela Microsoft serão habilitados para o recurso em 26 de junho.
O Microsoft Entra ID adiciona e melhora os recursos de segurança para proteger melhor os clientes contra ataques crescentes. À medida que novos vetores de ataque se tornam conhecidos, o Microsoft Entra ID pode responder habilitando a proteção por padrão para ajudar os clientes a se manterem à frente das ameaças de segurança emergentes.
Por exemplo, em resposta ao aumento dos ataques de fadiga de MFA, a Microsoft recomendou maneiras para os clientes defenderem os usuários. Uma recomendação para impedir que os usuários façam aprovações acidentais de autenticação multifator (MFA) é habilitar a correspondência de números. Como resultado, o comportamento padrão para correspondência de números será explicitamente habilitado para todos os usuários do Microsoft Authenticator. Você pode saber mais sobre os novos recursos de segurança, como a correspondência de números, em nossa postagem no blog: Os recursos de segurança avançados do Microsoft Authenticator agora estão disponíveis ao público em geral!.
Há duas maneiras de habilitar a proteção de um recurso de segurança por padrão:
- Depois que um recurso de segurança é lançado, os clientes podem usar o centro de administração do Microsoft Entra ou a API do Graph para testar e implementar a alteração em sua própria agenda. Para ajudar na defesa contra novos vetores de ataque, o Microsoft Entra ID pode habilitar a proteção de um recurso de segurança por padrão para todos os locatários em uma determinada data, e não haverá uma opção para desabilitar a proteção. A Microsoft agenda a proteção padrão com muita antecedência para dar aos clientes tempo para se prepararem para a alteração. Os clientes não podem optar por não participar se a Microsoft agendar a proteção por padrão.
- A proteção pode ser gerenciada pela Microsoft, o que significa que o Microsoft Entra ID pode habilitar ou desabilitar a proteção com base no cenário atual de ameaças à segurança. Os clientes podem optar por permitir que a Microsoft gerencie a proteção. Eles podem mudar de Microsoft conseguiu tornar explicitamente a proteção Ativada ou Desabilitada a qualquer momento.
Nota
Apenas um recurso de segurança crítico terá a proteção ativada por padrão.
Proteção padrão habilitada pelo Microsoft Entra ID
A correspondência de números é um bom exemplo de proteção para um método de autenticação que atualmente é opcional para notificações por push no Microsoft Authenticator em todos os locatários. Os clientes podem optar por ativar a correspondência de números para notificações por push no Microsoft Authenticator para usuários e grupos, ou podem deixá-la desabilitada. A correspondência de números já é o comportamento padrão para notificações sem senha no Microsoft Authenticator, e os usuários não podem desativar.
À medida que os ataques de fadiga de MFA aumentam, a correspondência de números torna-se mais crítica para a segurança de início de sessão. Como resultado, a Microsoft alterará o comportamento padrão para notificações por push no Microsoft Authenticator.
Configurações gerenciadas pela Microsoft
Além de definir as configurações da diretiva de Métodos de autenticação para serem Habilitadas ou Desabilitadas, os administradores de TI podem definir algumas configurações na política de Métodos de autenticação a ser gerenciada pela Microsoft. Uma configuração configurada como gerenciada pela Microsoft permite que o Microsoft Entra ID habilite ou desabilite a configuração.
A opção de permitir que o Microsoft Entra ID gerencie a configuração é uma maneira conveniente para uma organização permitir que a Microsoft habilite ou desabilite um recurso por padrão. As organizações podem melhorar mais facilmente sua postura de segurança confiando na Microsoft para gerenciar quando um recurso deve ser habilitado por padrão. Ao definir uma configuração como gerenciada pela Microsoft (chamada padrão nas APIs do Graph), os administradores de TI podem confiar na Microsoft para habilitar um recurso de segurança que não desabilitaram explicitamente.
Por exemplo, um administrador pode habilitar o local e o nome do aplicativo em notificações por push para fornecer aos usuários mais contexto quando aprovarem solicitações de MFA com o Microsoft Authenticator. O contexto adicional também pode ser explicitamente desativado ou definido como gerenciado pela Microsoft. Hoje, a configuração gerenciada pela Microsoft para local e nome do aplicativo é Desabilitada, o que efetivamente desativa a opção para qualquer ambiente em que um administrador opte por permitir que o Microsoft Entra ID gerencie a configuração.
À medida que o cenário de ameaças à segurança muda ao longo do tempo, a Microsoft pode alterar a configuração gerenciada pela Microsoft para local e nome do aplicativo para Habilitado. Para os clientes que desejam confiar na Microsoft para melhorar sua postura de segurança, definir recursos de segurança como gerenciados pela Microsoft é uma maneira fácil de se manter à frente das ameaças à segurança. Eles podem confiar na Microsoft para determinar a melhor maneira de definir as configurações de segurança com base no cenário atual de ameaças.
A tabela a seguir lista cada configuração que pode ser definida como gerenciada pela Microsoft e se essa configuração está habilitada ou desabilitada por padrão.
| Definição | Configuração |
|---|---|
| Campanha de registo | Habilitado para usuários de mensagens de texto e chamadas de voz |
| Localização nas notificações do Microsoft Authenticator | Disabled |
| Nome do aplicativo nas notificações do Microsoft Authenticator | Disabled |
| MFA preferencial do sistema | Ativados |
| Autenticador Lite | Ativados |
| Comunicar atividades suspeitas | Disabled |
À medida que os vetores de ameaça mudam, o Microsoft Entra ID pode anunciar a proteção padrão para uma configuração gerenciada pela Microsoft em notas de versão e em fóruns comumente lidos, como a Tech Community. Por exemplo, consulte nossa postagem no blog It's Time to Hang Up on Phone Transports for Authentication para obter mais informações sobre a necessidade de abandonar o uso de mensagens de texto e chamadas de voz, o que levou à ativação padrão da campanha de registro para ajudar os usuários a configurar o Autenticador para autenticação moderna.
Próximos passos
Métodos de autenticação no Microsoft Entra ID - Microsoft Authenticator