Microsoft Entra ID添加和改进安全功能,以保护客户免受越来越多的攻击。 随着新的攻击向量不断出现,Microsoft Entra ID 可通过默认启用保护功能作出响应,帮助客户先一步应对不断涌现的安全威胁。
默认情况下,可通过两种方式保护安全功能:
- 发布安全功能后,客户可以使用 Microsoft Entra 管理中心或图形 API 来测试并按自己的计划推出更改。 为了帮助抵御新的攻击途径,Microsoft Entra ID默认情况下可为特定日期的所有租户启用保护,无需选择禁用。 Microsoft提前安排默认保护,让客户有时间做好准备。 默认情况下,如果Microsoft计划保护,客户无法选择退出。
- 保护可以Microsoft管理,这意味着Microsoft Entra ID可以根据当前的安全威胁环境启用或禁用保护。 客户可以选择是否允许Microsoft管理保护。 它们可以随时从 由 Microsoft 管理 更改为明确 已启用 或 已禁用。
注释
默认情况下,只有关键安全功能才启用保护。
由 Microsoft Entra ID 启用的默认保护
号码匹配是一个典型的身份验证方法保护示例,这种保护目前对于所有租户的 Microsoft Authenticator 中的推送通知是可选的。 对于 Microsoft Authenticator 中的推送通知,客户可以选择为用户和组启用号码匹配,也可将其保持禁用状态。 数字匹配已是 Microsoft Authenticator 中无密码通知的默认行为,用户无法选择退出。
随着 MFA 疲劳攻击的增加,数字匹配对于登录安全性至关重要。 因此,Microsoft将更改 Microsoft Authenticator 中推送通知的默认行为。
Microsoft 管理的设置
除了将身份验证方法策略设置配置为“已启用”或“已禁用”之外,IT 管理员还可以将身份验证方法策略中的某些设置配置为“由 Microsoft 管理”。 由Microsoft 管理的设置可让 Microsoft Entra ID 自动启用或禁用该功能。
允许Microsoft Entra ID管理设置的选项是组织允许Microsoft管理功能默认值的便捷方式。 组织可以通过信任Microsoft来确定何时应启用功能来提高其安全状况。 通过将设置配置为“由 Microsoft 管理”(在 Graph API 中名为“默认”),IT 管理员可以信任 Microsoft 启用他们未显式禁用的安全功能。
随着安全威胁形势的不断变化,Microsoft 可能会将 Microsoft 管理的“位置和应用程序名称”配置更改为“已启用”。 对于希望依靠 Microsoft 改善其安全态势的客户而言,将安全功能设置为 Microsoft 托管 是一种轻松抢先应对安全威胁的方法。 Microsoft根据当前威胁形势确定最佳配置。
下表列出了可以设置为 Microsoft 管理的每个设置,以及这些设置默认情况下是启用还是禁用。
| 设置 | 配置 |
|---|---|
| 注册活动 | 已启用 |
| 系统首选身份验证 | 已启用 |
由 Microsoft 管理的注册活动
当注册广告系列设置为 Microsoft 托管 时,微软会根据最佳实践为你的租户确定最佳的广告系列配置。 Microsoft 会评估租户设置和范围内的用户,以确定目标身份验证方法:
- 如果租户中被纳入注册活动范围的用户所处的通行密钥(FIDO2)配置允许所有类型的通行密钥(包括同步通行密钥和设备绑定通行密钥),则目标验证方法将更改为通行密钥。
- 如果没有用户满足该条件,则目标方法将保持为Microsoft Authenticator。
注释
请注意,世纪互联运营的 Microsoft Azure不支持 passkey。
对于已启用通行密钥(FIDO2)并将有效注册活动设置为 Microsoft managed 的租户,随着 Microsoft 向各租户逐步推出更改,活动设置也会逐步更新。
注释
注册活动一次只能以一种身份验证方法为目标。 一个租户不能同时为 Microsoft Authenticator 和通行密钥发起推广活动。
以下由 Microsoft 管理的注册活动设置已更新:
| 设置 | 上一个值 | 新值 |
|---|---|---|
| 目标身份验证方法 | Microsoft Authenticator | 通行密钥(FIDO2) |
| 允许推迟的天数 | 3 天 | 1 天(不再可配置) |
| 稍后提醒次数有限 | 已启用 | 已禁用(不再可配置) |
| 用户目标 | 语音呼叫或短信用户 | 所有支持多重身份验证 (MFA) 的用户 |
这些更改生效后,目标用户在登录过程中完成多重身份验证后,会收到注册通行密钥的提示。 如果你的租户在通行密钥(FIDO2)策略中针对特定的 AAGUID(身份验证器认证证明 GUID),则在 Microsoft 托管模式下,所针对的身份验证方法不会更新为通行密钥。 你仍然可以手动切换到 “已启用” 并配置密钥目标。
注释
如果 Microsoft 托管设置不能满足你组织的需求,则可以将注册活动状态切换为 Enabled 以手动配置所有设置,或切换为 Disabled 以关闭该活动。 例如,如果您希望启用通行密钥,但不希望注册活动将通行密钥作为目标,请将状态切换为 Enabled,并将 Microsoft Authenticator 设为目标。 有关详细信息,请参阅 “运行注册活动”。
随着威胁途径的变化,Microsoft Entra ID 可能会在发行说明和热门论坛(如技术社区)中宣布对“Microsoft 托管”的设置执行默认保护。
有关详细信息,请参阅博客文章: 是时候在电话传输上挂断身份验证 了,讨论如何远离使用短信和语音呼叫。 Microsoft 托管式注册活动可帮助用户设置新式验证方法,包括 Microsoft Authenticator 和通行密钥。