Como proteger os métodos de autenticação no Microsoft Entra ID

Observação

O valor gerenciado da Microsoft para o Authenticator Lite passará de desabilitado para habilitado em 26 de junho de 2023. Todos os locatários deixados no estado padrão gerenciado pela Microsoft serão habilitados para o recurso em 26 de junho.

O Microsoft Entra ID adiciona e aprimora recursos de segurança para proteger melhor os clientes contra ataques crescentes. À medida que novos vetores de ataque são descobertos, o Microsoft Entra ID pode responder habilitando a proteção por padrão para ajudar os clientes a ficarem à frente das ameaças de segurança emergentes.

Por exemplo, em resposta ao aumento dos ataques de fadiga de MFA, a Microsoft recomendou aos clientes maneiras de defender os usuários. Uma recomendação para impedir que os usuários aprovem acidentalmente uma MFA (autenticação multifator) é habilitar a correspondência de números. Como resultado, o comportamento padrão de correspondência de números é explicitamente Habilitado para todos os usuários do Microsoft Authenticator. Você pode saber mais sobre novos recursos de segurança, como correspondência de números em nossa postagem no blog Os recursos avançados de segurança do Microsoft Authenticator agora estão em disponibilidade geral!.

Há duas maneiras de ativar a proteção de um recurso de segurança por padrão:

  • Após o lançamento de um recurso de segurança, os clientes podem usar o centro de administração do Microsoft Entra ou a API do Graph para testar e distribuir a alteração conforme um agendamento próprio. Para ajudar na defesa contra novos vetores de ataque, o Microsoft Entra ID pode habilitar a proteção de um recurso de segurança por padrão para todos os locatários em uma determinada data e não fornecer uma opção para desabilitá-la. A Microsoft agenda a proteção padrão com bastante antecedência a fim de dar aos clientes tempo para se prepararem para a mudança. Os clientes não podem recusar o agendamento da Microsoft de uma proteção por padrão.
  • A proteção pode ser gerenciada pela Microsoft, o que significa que o Microsoft Entra ID pode habilitá-la ou desabilitá-la com base no cenário atual de ameaças de segurança. Os clientes podem optar por permitir que a Microsoft gerencie a proteção. Também podem mudar de Gerenciado pela Microsoft para tornar a proteção explicitamente Habilitada ou Desabilitada a qualquer momento.

Observação

Somente um recurso de segurança crítico terá a proteção habilitada por padrão.

Proteção padrão habilitada pelo Microsoft Entra ID

A correspondência de números é um bom exemplo de proteção para um método de autenticação atualmente opcional para notificações por push no Microsoft Authenticator em todos os locatários. Os clientes podem optar por habilitar a correspondência de números para notificações por push no Microsoft Authenticator para usuários e grupos ou mantê-la desabilitada. A correspondência de números é o comportamento padrão para notificações sem senha no Microsoft Authenticator e os usuários não podem recusá-la.

À medida que os ataques de fadiga de MFA aumentam, a correspondência de números se torna mais crítica para a segurança do logon. Como resultado, a Microsoft mudará o comportamento padrão das notificações por push no Microsoft Authenticator.

Configurações gerenciadas pela Microsoft

Além de definir as configurações de política dos métodos de autenticação como Habilitado ou Desabilitado, os administradores de TI podem definir algumas configurações como Gerenciado pela Microsoft. Uma configuração definida como Gerenciada pela Microsoft permite que o Microsoft Entra ID habilite ou desabilite a configuração.

A opção de permitir que o Microsoft Entra ID gerencie a configuração é uma maneira conveniente para uma organização permitir que a Microsoft habilita ou desabilite um recurso por padrão. As organizações podem melhorar mais facilmente sua postura de segurança confiando na Microsoft para gerenciar quando um recurso deve ser habilitado por padrão. Ao definir uma configuração como Gerenciado pela Microsoft (chamada de padrão nas APIs do Graph), os administradores de TI podem ter a certeza de que a não Microsoft habilitará um recurso de segurança que eles tenham desabilitado explicitamente.

Por exemplo, um administrador pode habilitar localização e nome de aplicativo em notificações por push para fornecer aos usuários mais contexto ao aprovar solicitações de MFA com o Microsoft Authenticator. O contexto adicional também pode ser desabilitado explicitamente ou definido como Gerenciado pela Microsoft. Hoje, a configuração Gerenciado pela Microsoft para localização e nome de aplicativo é Desabilitado, o que efetivamente desabilita a opção para qualquer ambiente em que um administrador opte por permitir que o Microsoft Entra ID gerencie a configuração.

À medida que o cenário de ameaças à segurança muda ao longo do tempo, a Microsoft pode alterar a configuração Gerenciado pela Microsoft de localização e nome de aplicativo para Habilitado. No caso dos clientes que desejam confiar na Microsoft para melhorar sua postura de segurança, definir recursos de segurança para Gerenciado pela Microsoft é uma maneira fácil de se manter à frente das ameaças à segurança. Eles podem confiar na Microsoft para determinar a melhor maneira de definir as configurações de segurança com base no cenário de ameaças atual.

A tabela a seguir lista cada configuração que pode ser definida como “Gerenciado pela Microsoft” e se ela está habilitada ou desabilitada por padrão.

Configuração Configuração
Campanha de registro Habilitado para usuários de mensagens de texto e chamadas de voz
Localização nas notificações do Microsoft Authenticator Desabilitado
Nome de aplicativo nas notificações do Microsoft Authenticator Desabilitado
MFA preferido pelo sistema habilitado
Authenticator Lite Habilitado
Relatar atividade suspeita Desabilitadas

À medida que os vetores de ameaças mudam, o Microsoft Entra ID pode anunciar a proteção padrão para uma configuração Gerenciado pela Microsoft nas notas sobre a versão e em fóruns comumente lidos, como o Tech Community. Por exemplo, consulte nossa postagem no blog É hora de abandonar os celulares como mecanismos para autenticação e obtenha mais informações sobre a necessidade de deixar de usar SMS e chamadas de voz, o que levou à habilitação padrão da campanha de registro para ajudar os usuários a configurar o Authenticator para autenticação moderna.

Próximas etapas

Métodos de autenticação do Microsoft Entra ID – Microsoft Authenticator