Защита методов проверки подлинности в идентификаторе Microsoft Entra

Идентификатор Microsoft Entra добавляет и улучшает функции безопасности, чтобы лучше защитить клиентов от увеличения атак. По мере того как новые векторы атак становятся известными, идентификатор Microsoft Entra может реагировать, включив защиту по умолчанию, чтобы помочь клиентам оставаться перед новыми угрозами безопасности.

Например, в ответ на увеличение атак на усталость MFA корпорация Майкрософт рекомендовала клиентам защищать пользователей. Одной из рекомендаций по предотвращению случайного многофакторного утверждения проверки подлинности (MFA) является включение сопоставления чисел. В результате поведение по умолчанию для сопоставления чисел будет явно включено для всех пользователей Microsoft Authenticator. Дополнительные сведения о новых функциях безопасности, таких как сопоставление чисел в записи блога Advanced Microsoft Authenticator, теперь доступны в общедоступной версии.

Существует два способа включения защиты функции безопасности по умолчанию:

• После выпуска функции безопасности клиенты могут использовать центр администрирования Microsoft Entra или API Graph для тестирования и развертывания изменений по собственному расписанию. Чтобы защититься от новых векторов атак, идентификатор Microsoft Entra может включить защиту функции безопасности по умолчанию для всех клиентов определенной даты, и не будет возможности отключить защиту. Корпорация Майкрософт планирует защиту по умолчанию заранее, чтобы предоставить клиентам время для подготовки к изменению. Клиенты не могут отказаться от защиты от планов Майкрософт по умолчанию.
• Защита может быть управляемой корпорацией Майкрософт, что означает, что идентификатор Microsoft Entra может включать или отключать защиту на основе текущего ландшафта угроз безопасности. Клиенты могут выбрать, разрешать ли корпорации Майкрософт управлять защитой. Они могут измениться от Корпорации Майкрософт, чтобы явно сделать защиту включенной или отключенной в любое время.

Защита по умолчанию, включенная идентификатором Microsoft Entra

Сопоставление чисел является хорошим примером защиты для метода проверки подлинности, который в настоящее время является необязательным для push-уведомлений в Microsoft Authenticator во всех клиентах. Клиенты могут включить сопоставление номеров для push-уведомлений в Microsoft Authenticator для пользователей и групп или оставить его отключенным. Сопоставление чисел уже является поведением по умолчанию для уведомлений без пароля в Microsoft Authenticator, и пользователи не могут отказаться.

По мере роста атак на усталость MFA сопоставление чисел становится более важным для безопасности входа. В результате корпорация Майкрософт изменит поведение по умолчанию для push-уведомлений в Microsoft Authenticator.

Управляемые майкрософт параметры

Помимо настройки параметров политики методов проверки подлинности для включения или отключения ИТ-администраторы могут настроить некоторые параметры в политике методов проверки подлинности, чтобы управлять корпорацией Майкрософт. Параметр, настроенный как управляемый корпорацией Майкрософт, позволяет идентификатору Microsoft Entra включить или отключить этот параметр.

Параметр, позволяющий идентификатору Microsoft Entra управлять параметром, является удобным способом для организации, чтобы разрешить корпорации Майкрософт включить или отключить функцию по умолчанию. Организации могут повысить свою безопасность, доверив корпорации Майкрософт выбор относительно включения или отключения той или иной функции по умолчанию. Настроив параметр как управляемый корпорацией Майкрософт (именованный по умолчанию в API Graph), ИТ-администраторы могут доверять корпорации Майкрософт, чтобы включить функцию безопасности, которую они не отключили явно.

Например, администратор может включить расположение и имя приложения в push-уведомлениях, чтобы предоставить пользователям больше контекста при утверждении запросов MFA с помощью Microsoft Authenticator. Дополнительный контекст также можно явно отключить или задать как управляемый корпорацией Майкрософт. Сегодня управляемая корпорацией Майкрософт конфигурация для расположения и имени приложения отключена, что фактически отключает параметр для любой среды, в которой администратор решает разрешить идентификатору Microsoft Entra управлять параметром.

По мере изменения ландшафта угроз безопасности с течением времени корпорация Майкрософт может изменить управляемую корпорацией Майкрософт конфигурацию расположения и имени приложения на "Включено". Для клиентов, которые хотят полагаться на корпорацию Майкрософт, чтобы повысить уровень безопасности, настройка функций безопасности в управляемом корпорацией Майкрософт — это простой способ нахождения перед угрозами безопасности. Они могут доверять Корпорации Майкрософт, чтобы определить лучший способ настройки параметров безопасности на основе текущего ландшафта угроз.

В следующей таблице перечислены все параметры, которые могут быть заданы корпорацией Майкрософт, и если этот параметр включен или отключен по умолчанию.

По мере изменения векторов угроз идентификатор Microsoft Entra может объявить защиту по умолчанию для управляемого параметра Майкрософт в заметках о выпуске и на часто читающих форумах, таких как Tech Community. Например, ознакомьтесь с нашей записью блога", чтобы зависнуть на Телефон Транспорты для проверки подлинности, чтобы получить дополнительные сведения о необходимости отходить от использования текстовых сообщений и голосовых вызовов, что привело к включению по умолчанию для кампании регистрации, чтобы помочь пользователям настроить Authenticator для современной проверки подлинности.

Следующие шаги

Методы проверки подлинности в идентификаторе Microsoft Entra — Microsoft Authenticator