保護 Microsoft Entra ID 中的驗證方法
注意
Authenticator 精簡版的 [由 Microsoft 管理] 值將於 2023 年 6 月 26 日從停用移為啟用。 所有處於預設狀態 [由 Microsoft 管理] 的租用戶都會在 6 月 26 日啟用此功能。
Microsoft Entra ID 會新增並改善安全性功能,更妥善地保護客戶免於遭受日益增加的攻擊。 隨著新的攻擊媒介成為已知,Microsoft Entra ID 可能透過預設啟用保護來回應,以協助客戶提前防範新興的安全性威脅。
例如,為因應日益增加的 MFA 疲勞攻擊,Microsoft 為客戶建議了保護使用者 \(英文\) 的方式。 防止使用者意外進行多重要素驗證 (MFA) 核准的建議之一是啟用數字比對。 因此,會針對所有 Microsoft Authenticator 使用者明確啟用數字比對的預設行為。 您可以在我們的部落格文章中深入了解新的安全性功能 (例如數字比對):進階 Microsoft Authenticator 安全性功能現已正式推出! \(英文\)。
預設可啟用兩種方式來保護安全性功能:
- 發行安全性功能之後,客戶可以使用 Microsoft Entra 系統管理中心或圖形 API 來測試,並依其自己的排程推出變更。 為了協助抵禦新的攻擊媒介,Microsoft Entra ID 預設可能會在特定日期針對所有租用戶啟用安全性功能的保護,而且不會有停用保護的選項。 Microsoft 會事先排程預設保護,讓客戶有時間準備變更。 如果 Microsoft 預設會排程保護,客戶便無法退出。
- 保護可以由 Microsoft 管理,這表示 Microsoft Entra ID 可以根據目前的安全性威脅環境來啟用或停用保護。 客戶可以選擇是否要允許由 Microsoft 管理保護。 他們可以從 [由 Microsoft 管理] 變更為隨時明確地啟用或停用保護。
注意
預設將只會啟用重大的安全性功能。
Microsoft Entra ID 啟用的預設保護
數字比對是一個適用於驗證方法的良好保護範例,但其目前對於所有租用戶內 Microsoft Authenticator 中的推播通知而言是選擇性。 客戶可以選擇為使用者和群組在 Microsoft Authenticator 中啟用推播通知的數字比對,或將其停用。 數字比對已經是 Microsoft Authenticator 中無密碼通知的預設行為,而使用者無法退出。
隨著 MFA 疲勞攻擊增加,對登入安全性而言,數字比對變得更重要。 因此,Microsoft 將變更 Microsoft Authenticator 中推播通知的預設行為。
由 Microsoft 管理的設定
除了設定為啟用或停用的驗證方法原則設定之外,IT 管理員還可以將驗證方法原則中的一些設定設為 [由 Microsoft 管理]。 設定為 [由 Microsoft 管理] 的設定可讓 Microsoft Entra ID 啟用或停用此設定。
選擇讓 Microsoft Entra ID 管理此設定,可讓組織輕鬆允許 Microsoft 依預設啟用或停用功能。 組織可以藉由信任 Microsoft 來管理應該預設啟用功能的時機,更輕鬆地改善安全性態勢。 透過將設定設為 [由 Microsoft 管理] (在圖形 API 中的名稱為 default),IT 管理員可以信任 Microsoft 啟用未明確停用的安全性功能。
例如,管理員可以在推播通知中啟用位置和應用程式名稱,以便在使用者使用 Microsoft Authenticator 核准 MFA 要求時提供更多內容。 您也可以明確停用其他內容,或設定為 [由 Microsoft 管理]。 目前,適用於位置和應用程式名稱的 [由 Microsoft 管理] 是設定為 [停用],這可有效地對管理員選擇讓 Microsoft Entra ID 管理此設定之任何環境的選項進行停用。
由於安全性威脅環境會隨著時間變化,Microsoft 可能會將位置和應用程式名稱的 [由 Microsoft 管理] 設定變更為 [啟用]。 對於想要依賴 Microsoft 改善其安全性態勢的客戶,將安全性功能設定為 [由 Microsoft 管理] 是一種可提前防範安全性威脅的簡單方式。 他們可以信任 Microsoft,根據目前威脅環境來判斷設定安全性設定的最佳方式。
下表列出每個可設定為由 Microsoft 管理的設定,以及預設要啟用還是停用該設定。
| 設定 | 組態 |
|---|---|
| 註冊行銷活動 | 針對簡訊和語音電話使用者啟用 |
| Microsoft Authenticator 通知中的位置 | 已停用 |
| Microsoft Authenticator 通知中的應用程式名稱 | 已停用 |
| 系統慣用的 MFA | 已啟用 |
| Authenticator 精簡版 | 已啟用 |
| 報告可疑的活動 | 已停用 |
隨著威脅媒介變更,Microsoft Entra ID 可能會針對發行備註中的 [由 Microsoft 管理] 設定以及在技術社群等常見閱讀論壇上,宣告預設保護。 例如,請參閱我們的部落格文章是時候不再使用電話傳輸進行驗證 (It's Time to Hang Up on Phone Transports for Authentication),以取得關於需要停止使用簡訊和語音電話進行驗證,這會導致預設啟動可協助使用者設定新式驗證之 Authenticator 註冊活動的詳細資訊,。