保護 Microsoft Entra 識別碼中的驗證方法
注意
Authenticator Lite 的 Microsoft 管理值將從停用移至 2023 年 6 月 26 日啟用。 Microsoft 管理 的預設狀態 中保留的所有租使用者都會在 6 月 26 日啟用此功能。
Microsoft Entra ID 會新增並改善安全性功能,以更妥善地保護客戶免于遭受越來越多的攻擊。 當新的攻擊向量變成已知時,Microsoft Entra ID 可能會藉由預設啟用保護來回應,以協助客戶領先于新興的安全性威脅。
例如,為了因應增加 MFA 疲勞攻擊,Microsoft 建議客戶 保護使用者 的方式。 防止使用者意外進行多重要素驗證 (MFA) 核准的其中一項建議是啟用 數位比對 。 因此,所有 Microsoft Authenticator 使用者都會明確 啟用 數位比對的預設行為。 您可以在我們的部落格文章 中深入瞭解新的安全性功能,例如數位比對,進階 Microsoft Authenticator 安全性功能現已正式推出! 。
預設會啟用安全性功能的保護有兩種方式:
- 發行安全性功能之後,客戶可以使用 Microsoft Entra 系統管理中心或圖形 API 來根據自己的排程測試及推出變更。 為了協助防禦新的攻擊媒介,Microsoft Entra ID 可能會在特定日期預設啟用所有租使用者的安全性功能保護,而且不會有停用保護的選項。 Microsoft 會提前排程預設保護,讓客戶有時間準備變更。 如果 Microsoft 預設會排程保護,客戶就無法退出宣告。
- 保護可以是 Microsoft 管理 ,這表示 Microsoft Entra ID 可以根據目前的安全性威脅環境來啟用或停用保護。 客戶可以選擇是否允許 Microsoft 管理保護。 他們可以從 Microsoft 管理 變更為隨時明確啟用或 停用 保護 。
注意
根據預設,只有重要的安全性功能會啟用保護。
Microsoft Entra ID 啟用的預設保護
數位比對是目前所有租使用者中 Microsoft Authenticator 中推播通知的選擇性驗證方法保護的良好範例。 客戶可以選擇為使用者和群組在 Microsoft Authenticator 中啟用推播通知的數位比對,也可以將其停用。 數位比對已是 Microsoft Authenticator 中無密碼通知的預設行為,使用者無法退出宣告。
隨著 MFA 疲勞攻擊的上升,登入安全性的數位比對變得更加重要。 因此,Microsoft 會變更 Microsoft Authenticator 中推播通知的預設行為。
Microsoft 受管理設定
除了將驗證方法原則設定設為 [已啟用 ] 或 [已 停用] 之外,IT 系統管理員還可以在驗證方法原則中設定某些設定,以受 Microsoft 管理 。 設定為 Microsoft 管理的 設定可讓 Microsoft Entra ID 啟用或停用設定。
讓 Microsoft Entra ID 管理設定的選項,是組織預設允許 Microsoft 啟用或停用功能的便利方式。 組織可以藉由信任 Microsoft 預設啟用功能,更輕鬆地改善其安全性狀態。 藉由將設定設定設定為 Microsoft 受管理 (Graph API 中的具名 預設值 ),IT 系統管理員可以信任 Microsoft 來啟用尚未明確停用的安全性功能。
例如,系統管理員可以在推播通知中啟用 位置和應用程式名稱 ,讓使用者在使用 Microsoft Authenticator 核准 MFA 要求時提供更多內容。 您也可以明確停用其他內容,或設定為 Microsoft 管理 。 目前, 位置與應用程式名稱的 Microsoft 受控 設定為 [已停用 ],這實際上會停用系統管理員選擇讓 Microsoft Entra ID 管理設定的任何環境的選項。
隨著安全性威脅環境隨著時間的變化,Microsoft 可能會將 位置與應用程式名稱的 Microsoft 受控 設定變更為 [已啟用 ]。 對於想要依賴 Microsoft 來改善其安全性狀態的客戶,將安全性功能設定為 受 Microsoft 管理的 簡單方式,可讓安全性威脅保持領先。 他們可以信任 Microsoft,以根據目前的威脅環境來判斷設定安全性設定的最佳方式。
下表列出每個可設定為 Microsoft 管理的設定,以及預設會啟用或停用該設定。
| 設定 | 組態 |
|---|---|
| 註冊活動 | 針對簡訊和語音通話使用者啟用 |
| Microsoft Authenticator 通知中的位置 | 停用 |
| Microsoft Authenticator 通知中的應用程式名稱 | 停用 |
| 系統慣用的 MFA | 已啟用 |
| Authenticator Lite | 已啟用 |
| 報告可疑活動 | 停用 |
隨著威脅向量變更,Microsoft Entra ID 可能會宣告版本資訊 中 Microsoft 受管理 設定的預設保護 ,以及技術社群 等 常用論壇。 例如,請參閱我們的部落格文章 :是時候掛斷電話傳輸進行驗證 ,以取得使用簡訊和語音通話時需要離開的詳細資訊,這會導致註冊活動的預設啟用,以協助使用者設定新式驗證的 Authenticator。