Skydda autentiseringsmetoder i Microsoft Entra-ID
Kommentar
Microsofts hanterade värde för Authenticator Lite flyttas från inaktiverat till aktiverat den 26 juni 2023. Alla klienter som är kvar i standardtillståndet Microsoft managed aktiveras för funktionen den 26 juni.
Microsoft Entra ID lägger till och förbättrar säkerhetsfunktioner för att bättre skydda kunder mot ökande attacker. När nya attackvektorer blir kända kan Microsoft Entra-ID svara genom att aktivera skydd som standard för att hjälpa kunderna att ligga före nya säkerhetshot.
Till exempel, som svar på ökande MFA-trötthetsattacker, rekommenderade Microsoft sätt för kunder att försvara användare. En rekommendation för att förhindra användare från oavsiktliga MFA-godkännanden (multifaktorautentisering) är att aktivera nummermatchning. Därför aktiveras standardbeteendet för nummermatchning explicit för alla Microsoft Authenticator-användare. Du kan lära dig mer om nya säkerhetsfunktioner som nummermatchning i vårt blogginlägg Advanced Microsoft Authenticator-säkerhetsfunktioner är nu allmänt tillgängliga!.
Det finns två sätt att skydda en säkerhetsfunktion som standard:
- När en säkerhetsfunktion har släppts kan kunderna använda administrationscentret för Microsoft Entra eller Graph API för att testa och distribuera ändringen enligt sitt eget schema. För att skydda mot nya attackvektorer kan Microsoft Entra-ID aktivera skydd av en säkerhetsfunktion som standard för alla klienter vid ett visst datum, och det finns inget alternativ för att inaktivera skydd. Microsoft schemalägger standardskyddet långt i förväg för att ge kunderna tid att förbereda sig för ändringen. Kunder kan inte avregistrera sig om Microsoft schemalägger skydd som standard.
- Skydd kan hanteras av Microsoft, vilket innebär att Microsoft Entra-ID kan aktivera eller inaktivera skydd baserat på det aktuella landskapet av säkerhetshot. Kunder kan välja om microsoft ska kunna hantera skyddet. De kan ändra från Microsoft som hanteras för att uttryckligen göra skyddet aktiverat eller inaktiverat när som helst.
Kommentar
Endast en viktig säkerhetsfunktion har skydd aktiverat som standard.
Standardskydd aktiverat av Microsoft Entra-ID
Nummermatchning är ett bra exempel på skydd för en autentiseringsmetod som för närvarande är valfri för push-meddelanden i Microsoft Authenticator i alla klienter. Kunder kan välja att aktivera nummermatchning för push-meddelanden i Microsoft Authenticator för användare och grupper, eller så kan de lämna det inaktiverat. Nummermatchning är redan standardbeteendet för lösenordslösa meddelanden i Microsoft Authenticator och användarna kan inte välja bort det.
När MFA-trötthetsattacker ökar blir nummermatchning mer kritiskt för inloggningssäkerhet. Därför ändrar Microsoft standardbeteendet för push-meddelanden i Microsoft Authenticator.
Microsofts hanterade inställningar
Förutom att konfigurera principinställningar för autentiseringsmetoder som antingen aktiverade eller inaktiverade, kan IT-administratörer konfigurera vissa inställningar i principen Autentiseringsmetoder så att de hanteras av Microsoft. En inställning som är konfigurerad som Microsoft-hanterad gör att Microsoft Entra-ID kan aktivera eller inaktivera inställningen.
Alternativet att låta Microsoft Entra-ID hantera inställningen är ett bekvämt sätt för en organisation att tillåta Microsoft att aktivera eller inaktivera en funktion som standard. Organisationer kan enklare förbättra sin säkerhetsstatus genom att lita på att Microsoft hanterar när en funktion ska aktiveras som standard. Genom att konfigurera en inställning som Microsoft-hanterad (med namnet standard i Graph-API:er) kan IT-administratörer lita på att Microsoft aktiverar en säkerhetsfunktion som de inte uttryckligen har inaktiverat.
En administratör kan till exempel aktivera plats och programnamn i push-meddelanden för att ge användarna mer kontext när de godkänner MFA-begäranden med Microsoft Authenticator. Den ytterligare kontexten kan också inaktiveras uttryckligen eller anges som Microsoft-hanterad. Idag är Microsofts hanterade konfiguration för plats och programnamn Inaktiverad, vilket effektivt inaktiverar alternativet för alla miljöer där en administratör väljer att låta Microsoft Entra-ID hantera inställningen.
När liggande säkerhetshot ändras med tiden kan Microsoft ändra Microsofts hanterade konfiguration för plats och programnamn till Aktiverad. För kunder som vill förlita sig på Microsoft för att förbättra sin säkerhetsstatus är det enkelt att ställa in säkerhetsfunktioner till Microsoft-hanterade säkerhetshot. De kan lita på att Microsoft bestämmer det bästa sättet att konfigurera säkerhetsinställningar baserat på det aktuella hotlandskapet.
I följande tabell visas varje inställning som kan ställas in på Microsoft hanterad och om den inställningen är aktiverad eller inaktiverad som standard.
| Inställning | Konfiguration |
|---|---|
| Registreringskampanj | Aktiverad för textmeddelande- och röstsamtalsanvändare |
| Plats i Microsoft Authenticator-meddelanden | Inaktiverat |
| Programnamn i Microsoft Authenticator-meddelanden | Inaktiverat |
| System föredragen MFA | Aktiverat |
| Authenticator Lite | Aktiverat |
| Rapportera misstänkt aktivitet | Inaktiverat |
När hotvektorerna ändras kan Microsoft Entra-ID meddela standardskydd för en Microsoft-hanterad inställning i viktig information och på vanliga forum som Tech Community. Se till exempel vårt blogginlägg It's Time to Hang Up on Telefon Transports for Authentication (Det är dags att lägga på på Telefon transporter för autentisering) för mer information om behovet av att inte använda sms och röstsamtal, vilket ledde till standardaktivering för registreringskampanjen för att hjälpa användare att konfigurera Authenticator för modern autentisering.
Nästa steg
Autentiseringsmetoder i Microsoft Entra-ID – Microsoft Authenticator