Verificatiemethoden beveiligen in Microsoft Entra-id
Notitie
De door Microsoft beheerde waarde voor Authenticator Lite wordt verplaatst van uitgeschakeld naar ingeschakeld op 26 juni 2023. Alle tenants die de standaardstatus hebben die door Microsoft worden beheerd , worden ingeschakeld voor de functie op 26 juni.
Microsoft Entra ID voegt beveiligingsfuncties toe en verbetert deze om klanten beter te beschermen tegen toenemende aanvallen. Naarmate er nieuwe aanvalsvectoren bekend worden, kan Microsoft Entra-id reageren door standaard beveiliging in te schakelen om klanten te helpen opkomende beveiligingsrisico's voor te blijven.
Microsoft heeft bijvoorbeeld aanbevolen manieren om gebruikers te verdedigen als reactie op toenemende MFA-vermoeidheidsaanvallen. Een aanbeveling om te voorkomen dat gebruikers per ongeluk MFA-goedkeuringen (MultiFactor Authentication) kunnen uitvoeren, is door nummerkoppeling in te schakelen. Als gevolg hiervan wordt standaardgedrag voor nummerkoppeling expliciet ingeschakeld voor alle Microsoft Authenticator-gebruikers. Meer informatie over nieuwe beveiligingsfuncties, zoals nummerkoppeling, vindt u in onze blogpost Advanced Microsoft Authenticator security features now generally available!.
Er zijn twee manieren om de beveiliging van een beveiligingsfunctie standaard in te schakelen:
- Nadat een beveiligingsfunctie is uitgebracht, kunnen klanten het Microsoft Entra-beheercentrum of Graph API gebruiken om de wijziging in hun eigen planning te testen en uit te rollen. Om u te beschermen tegen nieuwe aanvalsvectoren, kan Microsoft Entra ID de beveiliging van een beveiligingsfunctie standaard inschakelen voor alle tenants op een bepaalde datum en is er geen optie om beveiliging uit te schakelen. Microsoft plant de standaardbeveiliging ver van tevoren, zodat klanten tijd hebben om zich voor te bereiden op de wijziging. Klanten kunnen zich niet afmelden als Microsoft standaard beveiliging plant.
- Beveiliging kan worden beheerd door Microsoft, wat betekent dat Microsoft Entra ID beveiliging kan in- of uitschakelen op basis van het huidige landschap van beveiligingsrisico's. Klanten kunnen kiezen of Microsoft de beveiliging mag beheren. Ze kunnen van Microsoft veranderen om de beveiliging op elk gewenst moment expliciet ingeschakeld of uitgeschakeld te maken.
Notitie
Alleen een kritieke beveiligingsfunctie heeft standaard beveiliging ingeschakeld.
Standaardbeveiliging ingeschakeld door Microsoft Entra-id
Nummerkoppeling is een goed voorbeeld van beveiliging voor een verificatiemethode die momenteel optioneel is voor pushmeldingen in Microsoft Authenticator in alle tenants. Klanten kunnen ervoor kiezen om nummerkoppeling in te schakelen voor pushmeldingen in Microsoft Authenticator voor gebruikers en groepen, of ze kunnen deze optie uitgeschakeld laten. Nummerkoppeling is al het standaardgedrag voor meldingen zonder wachtwoord in Microsoft Authenticator en gebruikers kunnen zich niet afmelden.
Naarmate MFA-vermoeidheidsaanvallen toenemen, wordt nummerkoppeling belangrijker voor de aanmeldingsbeveiliging. Als gevolg hiervan wijzigt Microsoft het standaardgedrag voor pushmeldingen in Microsoft Authenticator.
Door Microsoft beheerde instellingen
Naast het configureren van beleidsinstellingen voor verificatiemethoden die moeten worden ingeschakeld of uitgeschakeld, kunnen IT-beheerders bepaalde instellingen configureren in het beleid voor verificatiemethoden dat door Microsoft wordt beheerd. Met een instelling die is geconfigureerd als Door Microsoft beheerd , kan Microsoft Entra ID de instelling in- of uitschakelen.
De optie om Microsoft Entra ID de instelling te laten beheren, is een handige manier voor een organisatie om Microsoft toe te staan een functie standaard in of uit te schakelen. Organisaties kunnen hun beveiligingspostuur gemakkelijker verbeteren door Microsoft te vertrouwen om te beheren wanneer een functie standaard moet worden ingeschakeld. Door een instelling te configureren als door Microsoft beheerde (standaardinstelling in Graph API's), kunnen IT-beheerders Microsoft vertrouwen om een beveiligingsfunctie in te schakelen die ze niet expliciet hebben uitgeschakeld.
Een beheerder kan bijvoorbeeld locatie- en toepassingsnaam inschakelen in pushmeldingen om gebruikers meer context te geven wanneer ze MFA-aanvragen goedkeuren met Microsoft Authenticator. De extra context kan ook expliciet worden uitgeschakeld of worden ingesteld als Door Microsoft beheerd. Tegenwoordig is de door Microsoft beheerde configuratie voor locatie en toepassingsnaam uitgeschakeld, waardoor de optie voor elke omgeving waarin een beheerder ervoor kiest om microsoft Entra ID de instelling te laten beheren, effectief wordt uitgeschakeld.
Naarmate het beveiligingsrisico in de loop van de tijd verandert, kan Microsoft de door Microsoft beheerde configuratie voor locatie en toepassingsnaam wijzigen in Ingeschakeld. Voor klanten die willen vertrouwen op Microsoft om hun beveiligingspostuur te verbeteren, is het instellen van beveiligingsfuncties op Microsoft Managed een eenvoudige manier om beveiligingsrisico's voor te blijven. Ze kunnen Microsoft vertrouwen om de beste manier te bepalen om beveiligingsinstellingen te configureren op basis van het huidige bedreigingslandschap.
De volgende tabel bevat elke instelling die kan worden ingesteld op Door Microsoft beheerd en of deze instelling standaard is ingeschakeld of uitgeschakeld.
| Instelling | Configuratie |
|---|---|
| Registratiecampagne | Ingeschakeld voor gebruikers van tekstberichten en spraakoproepen |
| Locatie in Microsoft Authenticator-meldingen | Uitgeschakeld |
| Toepassingsnaam in Microsoft Authenticator-meldingen | Uitgeschakeld |
| MFA van het systeem | Ingeschakeld |
| Authenticator Lite | Ingeschakeld |
| Verdachte activiteit rapporteren | Uitgeschakeld |
Naarmate bedreigingsvectoren veranderen, kan Microsoft Entra ID standaardbeveiliging aankondigen voor een door Microsoft beheerde instelling in releaseopmerkingen en op veelgebruikte leesforums zoals Tech Community. Zie bijvoorbeeld ons blogbericht Het is tijd om op te hangen aan Telefoon Transporten voor verificatie voor meer informatie over de noodzaak om weg te gaan van het gebruik van sms-berichten en spraakoproepen, waardoor de registratiecampagne standaard is ingeschakeld om gebruikers te helpen Authenticator in te stellen voor moderne verificatie.
Volgende stappen
Verificatiemethoden in Microsoft Entra-id - Microsoft Authenticator