保护 Microsoft Entra ID 中的身份验证方法
注意
2023 年 6 月 26 日,Authenticator Lite 的 Microsoft 托管值将从禁用更改为启用。 所有保留在“Microsoft 托管”默认状态下的租户将于 6 月 26 日启用该功能。
Microsoft Entra ID 增加并改进了安全功能,以更好地保护客户免受日益增加的攻击威胁。 随着新的攻击途径出现,Microsoft Entra ID 可能通过默认启用保护来做出响应,以帮助客户提前防范新出现的安全威胁。
例如,为了应对日益增多的 MFA 疲劳攻击,Microsoft 为客户推荐了一些保护用户的方法。 防止用户意外批准多重身份验证 (MFA) 的一项建议是启用号码匹配。 因此,对于所有 Microsoft Authenticator 用户,都会显式启用号码匹配默认行为。 可以在博客文章高级 Microsoft Authenticator 安全功能现已正式发布!中详细了解号码匹配等新安全功能。
可通过两种方式保护默认启用的安全功能:
- 发布安全功能后,客户可以使用 Microsoft Entra 管理中心或 Graph API 按照自己的计划测试和实施更改。 为了帮助防御新的攻击途径,Microsoft Entra ID 可能会在特定日期为所有租户默认启用安全功能保护,并且没有禁用保护的选项。 Microsoft 会提前很长时间计划默认保护,使客户有充足的时间为更改做好准备。 如果 Microsoft 计划了默认保护,则客户不能选择禁用保护。
- 保护可以由“Microsoft 托管”,这意味着 Microsoft Entra ID 可以根据当前的安全威胁形势启用或禁用保护。 客户可以选择是否允许 Microsoft 管理保护。 他们可以随时从“由 Microsoft 管理”更改为显式启用或禁用保护。
注意
只有关键的安全功能才会默认启用保护。
由 Microsoft Entra ID 启用的默认保护
号码匹配是一个典型的身份验证方法保护示例,这种保护目前对于所有租户的 Microsoft Authenticator 中的推送通知是可选的。 对于 Microsoft Authenticator 中的推送通知,客户可以选择为用户和组启用号码匹配,也可将其保持禁用状态。 对于 Microsoft Authenticator 中的无密码通知,号码匹配已经是默认行为,用户无法选择禁用。
随着 MFA 疲劳攻击愈演愈烈,号码匹配对于登录安全性越发重要。 因此,Microsoft 将针对 Microsoft Authenticator 中的推送通知更改默认行为。
Microsoft 管理的设置
除了将身份验证方法策略设置配置为“已启用”或“已禁用”之外,IT 管理员还可以将身份验证方法策略中的某些设置配置为“由 Microsoft 管理”。 配置为“Microsoft 托管”的设置允许 Microsoft Entra ID 启用或禁用该设置。
让 Microsoft Entra ID 管理设置的选项便于组织允许 Microsoft 默认启用或禁用功能。 通过信任 Microsoft 管理默认情况下应启用的功能,组织可以更轻松地改善其安全态势。 通过将设置配置为“由 Microsoft 管理”(在 Graph API 中名为“默认”),IT 管理员可以信任 Microsoft 启用他们未显式禁用的安全功能。
例如,管理员可以在推送通知中启用位置和应用程序名称,以便在用户使用 Microsoft Authenticator 批准 MFA 请求时为他们提供更多上下文。 也可以显式禁用附加上下文,或将其设置为“由 Microsoft 管理”。 目前,“Microsoft 托管”的位置和应用程序名称配置处于“已禁用”状态,这实际上是针对管理员可选择让 Microsoft Entra ID 管理设置的任何环境禁用了该选项。
随着安全威胁形势的不断变化,Microsoft 可能会将 Microsoft 管理的“位置和应用程序名称”配置更改为“已启用”。 对于想要依赖 Microsoft 改善其安全态势的客户,将安全功能设置为“由 Microsoft 管理”是提前防范安全威胁的简单方法。 他们可以相信 Microsoft 会根据当前威胁形势确定安全设置的最佳配置方式。
下表列出了可设置为“由 Microsoft 管理”的每项设置,并说明了默认是启用还是禁用了该设置。
| 设置 | 配置 |
|---|---|
| 注册活动 | 已为短信和语音呼叫用户启用 |
| Microsoft Authenticator 通知中的位置 | 已禁用 |
| Microsoft Authenticator 通知中的应用程序名称 | 已禁用 |
| 系统首选的 MFA | 已启用 |
| Authenticator Lite | Enabled |
| 报告可疑活动 | 已禁用 |
随着威胁途径的变化,Microsoft Entra ID 可能会在发行说明和热门论坛(如技术社区)中宣布对“Microsoft 托管”的设置执行默认保护。 例如,请参阅博客文章《是时候挂断电话传输进行身份验证了》,了解有关需要放弃使用短信和语音呼叫的更多信息,其导致注册活动的默认启用,以帮助用户设置 Authenticator 进行新式身份验证。