Ochrana metod ověřování v Microsoft Entra ID
Poznámka:
Spravovaná hodnota Microsoftu pro Authenticator Lite se od 26. června 2023 přesune z zakázaného na povolenou. Všechny tenanty, kteří zůstali ve výchozím stavu spravovaném Microsoftem, budou pro tuto funkci povoleni 26. června.
Microsoft Entra ID přidává a vylepšuje funkce zabezpečení pro lepší ochranu zákazníků před rostoucími útoky. Jakmile se oznamují nové vektory útoku, může Microsoft Entra ID reagovat tím, že ve výchozím nastavení povolí ochranu, aby zákazníci zůstali před vznikajícími bezpečnostními hrozbami.
Například v reakci na rostoucí útoky únavy vícefaktorového ověřování Microsoft doporučuje zákazníkům bránit uživatele. Jedním z doporučení, které uživatelům brání v náhodném vícefaktorového ověřování (MFA) schválení, je povolit porovnávání čísel. V důsledku toho bude výchozí chování pro porovnávání čísel explicitně povoleno pro všechny uživatele aplikace Microsoft Authenticator. Další informace o novýchfunkcích
Existují dva způsoby, jak ve výchozím nastavení povolit ochranu funkce zabezpečení:
- Po vydání funkce zabezpečení můžou zákazníci pomocí Centra pro správu Microsoft Entra nebo rozhraní Graph API otestovat a zavést změnu podle vlastního plánu. Aby bylo možné chránit před novými vektory útoku, může ID Microsoft Entra povolit ochranu funkce zabezpečení ve výchozím nastavení pro všechny tenanty v určitém datu a nebude možné zakázat ochranu. Microsoft plánuje výchozí ochranu daleko předem, aby zákazníkům poskytl čas na přípravu na změnu. Zákazníci se nemůžou odhlásit, pokud Microsoft ve výchozím nastavení plánuje ochranu.
- Ochrana může být spravovaná společností Microsoft, což znamená, že ID Microsoft Entra může povolit nebo zakázat ochranu na základě aktuálního prostředí bezpečnostních hrozeb. Zákazníci si můžou zvolit, jestli má Microsoft povolit správu ochrany. Můžou se od Microsoftu změnit tak, aby byla ochrana kdykoli povolená nebo zakázaná.
Poznámka:
Ve výchozím nastavení bude mít ochranu povolená jenom důležitá funkce zabezpečení.
Výchozí ochrana povolená id Microsoft Entra
Párování čísel je dobrým příkladem ochrany pro metodu ověřování, která je aktuálně volitelná pro nabízená oznámení v aplikaci Microsoft Authenticator ve všech tenantech. Zákazníci se můžou rozhodnout povolit párování čísel pro nabízená oznámení v microsoft Authenticatoru pro uživatele a skupiny, nebo ho můžou nechat zakázanou. Porovnávání čísel je již výchozím chováním pro oznámení bez hesla v aplikaci Microsoft Authenticator a uživatelé se nemůžou odhlásit.
S nárůstem únavových útoků vícefaktorového ověřování se pro zabezpečení přihlašování stává důležitější párování čísel. V důsledku toho Microsoft změní výchozí chování nabízených oznámení v Microsoft Authenticatoru.
Nastavení spravovaná Microsoftem
Kromě konfigurace nastavení zásad ověřování tak, aby byla povolená nebo zakázaná, můžou správci IT nakonfigurovat některá nastavení v zásadách metod ověřování tak, aby byla spravovaná Microsoftem. Nastavení, které je nakonfigurováno jako spravované Microsoftem, umožňuje Microsoft Entra ID povolit nebo zakázat nastavení.
Možnost umožnit microsoft Entra ID spravovat nastavení je pohodlný způsob, jak organizaci povolit nebo zakázat funkci ve výchozím nastavení. Organizace můžou snadněji zlepšit stav zabezpečení tím, že důvěřují Microsoftu, aby spravovaly, když by měla být funkce ve výchozím nastavení povolená. Konfigurací nastavení spravovaného Microsoftem (pojmenovaným výchozím nastavením v rozhraních Graph API) můžou správci IT důvěřovat Microsoftu, aby povolili funkci zabezpečení, kterou explicitně nezadali.
Správce může například povolit umístění a název aplikace v nabízených oznámeních, aby uživatelům poskytl více kontextu, když schvalují žádosti MFA pomocí Microsoft Authenticatoru. Další kontext lze také explicitně zakázat nebo nastavit jako spravovaný Microsoftem. V současné chvíli je spravovaná konfigurace Microsoftu pro umístění a název aplikace zakázaná, což efektivně zakáže možnost pro jakékoli prostředí, ve kterém se správce rozhodne nechat Microsoft Entra ID spravovat nastavení.
Vzhledem k tomu, že se bezpečnostní hrozby mění v průběhu času, může Společnost Microsoft změnit spravovanou konfiguraci Microsoftu pro umístění a název aplikace na Povoleno. Pro zákazníky, kteří chtějí spoléhat na Microsoft, aby zlepšili stav zabezpečení, je nastavení funkcí zabezpečení spravovaných Microsoftem snadný způsob, jak před bezpečnostními hrozbami zůstat. Společnost Microsoft může důvěřovat, aby určila nejlepší způsob konfigurace nastavení zabezpečení na základě aktuálního prostředí hrozeb.
Následující tabulka uvádí všechna nastavení, která je možné nastavit na spravovanou microsoftem a jestli je toto nastavení ve výchozím nastavení povolené nebo zakázané.
| Nastavení | Konfigurace |
|---|---|
| Kampaň registrace | Povoleno pro uživatele textových zpráv a hlasových hovorů |
| Umístění v oznámeních Microsoft Authenticatoru | Disabled |
| Název aplikace v oznámeních Microsoft Authenticatoru | Disabled |
| Vícefaktorové ověřování upřednostňované systémem | Povoleno |
| Authenticator Lite | Povoleno |
| Nahlášení podezřelé aktivity | Disabled |
Při změně vektorů hrozeb může ID Microsoft Entra oznámit výchozí ochranu pro nastavení spravované microsoftem v poznámkách k verzi a na běžně čtených fórech, jako je tech community. Podívejte se například na náš blogový příspěvek Je čas zavěsit na Telefon Přenosy pro ověřování, kde najdete další informace o potřebě odejít z používání textových zpráv a hlasových hovorů, což vedlo k výchozímu povolení pro registrační kampaň, která uživatelům pomáhá nastavit authenticator pro moderní ověřování.
Další kroky
Metody ověřování v Microsoft Entra ID – Microsoft Authenticator