Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra ID aggiunge e migliora le funzionalità di sicurezza per proteggere i clienti da attacchi crescenti. Man mano che emergono nuovi vettori di attacco, Microsoft Entra ID può rispondere abilitando la protezione per impostazione predefinita per aiutare i clienti a rimanere al passo con le minacce alla sicurezza emergenti.
Ad esempio, in risposta all'aumento degli attacchi di affaticamento MFA, Microsoft ha consigliato ai clienti di difendere gli utenti. Per evitare approvazioni di autenticazione a più fattori accidentali, abilitare la corrispondenza dei numeri. Di conseguenza, il comportamento predefinito per la corrispondenza dei numeri è Enabled per tutti gli utenti Microsoft Authenticator. Per saperne di più sulle nuove funzionalità di sicurezza, come l'abbinamento numerico, consulta il post del blog Le funzionalità di sicurezza avanzate di Microsoft Authenticator sono ora generalmente disponibili.
Esistono due modi per abilitare la protezione di una funzionalità di sicurezza per impostazione predefinita:
- Dopo il rilascio di una funzionalità di sicurezza, i clienti possono usare l'interfaccia di amministrazione di Microsoft Entra o l'API Graph per testare e implementare la modifica in base alla propria pianificazione. Per difendersi dai nuovi vettori di attacco, Microsoft Entra ID può abilitare la protezione per impostazione predefinita per tutti i tenant in una determinata data, senza possibilità di disabilitare. Microsoft pianifica la protezione predefinita in anticipo per consentire ai clienti di prepararsi. I clienti non possono disattivare se Microsoft pianifica la protezione per impostazione predefinita.
- La protezione può essere Microsoft gestita, il che significa che Microsoft Entra ID può abilitare o disabilitare la protezione in base al panorama attuale delle minacce per la sicurezza. I clienti possono scegliere se consentire a Microsoft di gestire la protezione. Possono passare da gestito da Microsoft a Abilitato o Disabilitato in qualsiasi momento.
Nota
Solo una funzionalità di sicurezza critica avrà la protezione abilitata per impostazione predefinita.
Protezione predefinita abilitata da Microsoft Entra ID
La corrispondenza dei numeri è un buon esempio di protezione per un metodo di autenticazione attualmente facoltativo per le notifiche push in Microsoft Authenticator in tutti i tenant. I clienti possono scegliere di abilitare la corrispondenza dei numeri per le notifiche push in Microsoft Authenticator per utenti e gruppi oppure potrebbero lasciarlo disabilitato. Il confronto numerico è già il comportamento predefinito per le notifiche senza password in Microsoft Authenticator e gli utenti non possono esimersi.
Man mano che aumentano gli attacchi di affaticamento MFA, la corrispondenza dei numeri è fondamentale per la sicurezza degli accessi. Di conseguenza, Microsoft modificherà il comportamento predefinito per le notifiche push in Microsoft Authenticator.
Impostazioni gestite da Microsoft
Oltre a configurare le impostazioni dei criteri dei metodi di autenticazione per essere Abilitato o Disabilitato, gli amministratori IT possono configurare alcune impostazioni nei criteri dei metodi di autenticazione per essere gestito da Microsoft. Un'impostazione gestita da Microsoft consente a Microsoft Entra ID di abilitare o disabilitare automaticamente la funzionalità.
L'opzione per consentire Microsoft Entra ID gestire l'impostazione è un modo pratico per consentire a un'organizzazione di gestire le impostazioni predefinite delle funzionalità Microsoft. Le organizzazioni possono migliorare il proprio livello di sicurezza affidandosi a Microsoft per determinare quando una funzionalità deve essere abilitata. Configurando un'impostazione come gestita da Microsoft (denominata predefinita nelle API Graph), gli amministratori IT possono considerare attendibile Microsoft per abilitare una funzionalità di sicurezza non disabilitata in modo esplicito.
Ad esempio, un amministratore può abilitare posizione e nome dell'applicazione nelle notifiche push per fornire maggiore contesto agli utenti quando approvano le richieste MFA con Microsoft Authenticator. Il contesto aggiuntivo può anche essere disabilitato in modo esplicito o impostato come gestito da Microsoft . Attualmente, la configurazione gestita da Microsoft
Man mano che il panorama delle minacce alla sicurezza si evolve nel tempo, Microsoft può modificare la configurazione gestita da Microsoft per la localizzazione e il nome dell'applicazione in Abilitato. Per i clienti che vogliono affidarsi a Microsoft per migliorare il comportamento di sicurezza, impostare le funzionalità di sicurezza per Microsoft gestito è un modo semplice per stare al passo con le minacce alla sicurezza. Microsoft determina la configurazione migliore in base al panorama delle minacce corrente.
La tabella seguente elenca ogni impostazione che può essere impostata su Microsoft gestito e se tale impostazione è abilitata o disabilitata per impostazione predefinita.
| Impostazione | Configurazione |
|---|---|
| Campagna di registrazione | Abilitato |
| Posizione nelle notifiche di Microsoft Authenticator | Disabile |
| Nome applicazione nelle notifiche di Microsoft Authenticator | Disabile |
| Autenticazione preferita dal sistema | Abilitato |
| Autenticatore Lite | Abilitato |
| Segnala attività sospette | Disabile |
Campagna di registrazione gestita di Microsoft
Quando la campagna di registrazione è impostata su Microsoft gestita, Microsoft determina la configurazione ottimale della campagna per il tenant in base alle procedure consigliate. Microsoft valuta le impostazioni del tenant e gli utenti inclusi nell'ambito per determinare il metodo di autenticazione da applicare:
- Se il tenant include utenti nell'ambito della campagna di registrazione che sono inclusi in un profilo passkey (FIDO2) che consente tutti i tipi di passkey (sia sincronizzate sia vincolate al dispositivo), il metodo di destinazione diventa passkey.
- Se nessun utente soddisfa tali criteri, il metodo di destinazione rimane Microsoft Authenticator.
Per i tenant con passkey (FIDO2) abilitato e una campagna di registrazione attiva impostata su Microsoft gestito, le impostazioni della campagna vengono aggiornate in modo incrementale man mano che Microsoft distribuisce le modifiche ai tenant.
Nota
Una campagna di registrazione può avere come destinazione un solo metodo di autenticazione alla volta. Un tenant non può eseguire campagne per Microsoft Authenticator e passkey contemporaneamente.
Vengono aggiornate le seguenti Microsoft impostazioni della campagna di registrazione gestita:
| Impostazione | Valore precedente | Nuovo valore |
|---|---|---|
| Metodo di autenticazione di destinazione | Microsoft Authenticator | Chiavi di accesso (FIDO2) |
| Giorni consentiti per lo snooze | 3 giorni | 1 giorno (non più configurabile) |
| Numero limitato di snoozes | Abilitato | Disabilitato (non più configurabile) |
| Selezione della destinazione utente | Utenti di chiamate vocali o SMS | Tutti gli utenti con funzionalità di autenticazione a più fattori (MFA) |
Quando queste modifiche entrano in vigore, gli utenti interessati ricevono solleciti per la registrazione di passkey durante l'accesso, dopo aver completato l'autenticazione a più fattori. Se il tenant usa come destinazione AAGUID specifici (GUID di attestazione dell'autenticatore) nei criteri delle passkey (FIDO2), il metodo di autenticazione selezionato come destinazione non verrà aggiornato alle passkey in modalità gestita da Microsoft. Puoi comunque passare a Abilitato e configurare manualmente l'assegnazione delle passkey.
Nota
Se le impostazioni gestite Microsoft non soddisfano le esigenze dell'organizzazione, è possibile impostare lo stato della campagna di registrazione su Enabled per configurare tutte le impostazioni manualmente o Disabled per disattivare la campagna. Ad esempio, se vuoi abilitare le passkey ma non vuoi che la campagna di registrazione sia rivolta alle passkey, imposta lo stato su Enabled e seleziona Microsoft Authenticator come destinazione. Per altre informazioni, vedere Eseguire una campagna di registrazione.
Man mano che cambiano i vettori di minaccia, Microsoft Entra ID può annunciare la protezione predefinita per un'impostazione gestita da Microsoft nelle note sulla versione e nei forum comunemente letti, ad esempio Tech Community.
Per ulteriori informazioni, vedere l'articolo del blog It's Time to Hang Up on Phone Transports for Authentication, che illustra il passaggio dall'uso di messaggi di testo e chiamate vocali. Microsoft campagne di registrazione gestite consentono agli utenti di configurare metodi di autenticazione moderni, inclusi Microsoft Authenticator e passkey.