Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra ID fügt Sicherheitsfunktionen hinzu und verbessert sie, um Kunden vor zunehmenden Angriffen zu schützen. Da neue Angriffsvektoren entstehen, kann Microsoft Entra ID reagieren, indem standardmäßig schutz aktiviert wird, damit Kunden vor neuen Sicherheitsbedrohungen bleiben können.
Als Reaktion auf zunehmende MFA-Müdigkeitsangriffe empfahl Microsoft seinen Kunden beispielsweise Möglichkeiten, Benutzer zu schützen. Um versehentliche Mehrstufige Authentifizierungsgenehmigungen (MFA) zu verhindern, aktivieren Sie den Nummernabgleich. Daher wird das Standardverhalten für den Nummernabgleich explizit Enabled für alle Microsoft Authenticator Benutzer festgelegt. Mehr über neue Sicherheitsfunktionen wie den Nummernabgleich erfahren Sie im Blogbeitrag Erweiterte Sicherheitsfunktionen für Microsoft Authenticator sind jetzt allgemein verfügbar!.
Es gibt zwei Möglichkeiten, wie der Schutz eines Sicherheitsmerkmals standardmäßig aktiviert wird.
- Nachdem ein Sicherheitsfeature veröffentlicht wurde, können Kunden das Microsoft Entra Admin Center oder die Graph-API verwenden, um die Änderung nach eigenem Zeitplan zu testen und zu veröffentlichen. Um sich gegen neue Angriffsvektoren zu verteidigen, kann Microsoft Entra ID standardmäßig den Schutz für alle Mandanten an einem bestimmten Datum aktivieren, ohne die Option zu deaktivieren. Microsoft plant den Standardschutz weit im Voraus, um Kunden Zeit für die Vorbereitung zu geben. Kunden können sich nicht abmelden, wenn Microsoft den Schutz standardmäßig plant.
- Der Schutz kann von Microsoft verwaltet sein, das heißt, Microsoft Entra ID kann den Schutz abhängig von der aktuellen Bedrohungslage aktivieren oder deaktivieren. Kunden können auswählen, ob Microsoft die Verwaltung des Schutzes zulässt. Sie können jederzeit von Von Microsoft verwaltet explizit auf Aktiviert oder Deaktiviert wechseln.
Anmerkung
Nur bei kritischen Sicherheitsfeatures ist der Schutz standardmäßig aktiviert.
Standardmäßiger Schutz, aktiviert durch Microsoft Entra ID
Der Nummernabgleich ist ein gutes Beispiel für den Schutz einer Authentifizierungsmethode, die derzeit für Pushbenachrichtigungen in Microsoft Authenticator in allen Mandanten optional ist. Kunden können den Nummernabgleich für Pushbenachrichtigungen in Microsoft Authenticator für Benutzer und Gruppen aktivieren, oder sie könnten ihn deaktiviert lassen. Der Nummernabgleich ist bereits das Standardverhalten für kennwortlose Benachrichtigungen in Microsoft Authenticator, und Benutzer können sich nicht abmelden.
Da MFA-Ermüdungsangriffe steigen, ist der Nummernabgleich für die Anmeldesicherheit von entscheidender Bedeutung. Daher ändert Microsoft das Standardverhalten für Pushbenachrichtigungen in Microsoft Authenticator.
Von Microsoft verwaltete Einstellungen
Zusätzlich zur Konfiguration der Authentifizierungsmethodenrichtlinien-Einstellungen als Aktiviert oder Deaktiviert können IT-Administratoren einige Einstellungen in der Authentifizierungsmethodenrichtlinie als von Microsoft verwaltet konfigurieren. Eine von Microsoft verwaltete Einstellung ermöglicht es Microsoft Entra ID, die Funktion automatisch zu aktivieren oder zu deaktivieren.
Die Option, Microsoft Entra ID die Verwaltung der Einstellung zu überlassen, ist für eine Organisation eine praktische Möglichkeit, Microsoft die Verwaltung von Standardwerten für Features zu überlassen. Organisationen können ihren Sicherheitsstatus verbessern, indem sie Microsoft vertrauen, um zu bestimmen, wann ein Feature aktiviert werden soll. Durch die Konfiguration einer Einstellung als von Microsoft verwaltet (in den Graph-APIs Standard genannt) können IT-Administratoren darauf vertrauen, dass Microsoft ein Sicherheitsfeature aktiviert, das sie nicht ausdrücklich deaktiviert haben.
Ein Administrator kann z. B. Speicherort und Anwendungsnamen in Pushbenachrichtigungen aktivieren, um Benutzern mehr Kontext zur Verfügung zu stellen, wenn sie MFA-Anforderungen mit Microsoft Authenticator genehmigen. Der zusätzliche Kontext kann auch explizit deaktiviert oder als von Microsoft verwaltet festgelegt werden. Heute ist die Konfiguration von Microsoft verwaltet für Speicherort und Anwendungsname Deaktiviert, wodurch die Option effektiv für jede Umgebung deaktiviert wird, in der ein Administrator entscheidet, die Einstellung von Microsoft Entra ID verwalten zu lassen.
Wenn sich die Sicherheitsbedrohungslage im Laufe der Zeit ändert, kann Microsoft die von Microsoft verwaltete Konfiguration für Speicherort und Anwendungsname in Aktiviert ändern. Kunden, die sich auf Microsoft verlassen möchten, um ihren Sicherheitsstatus zu verbessern, ist das Festlegen von Sicherheitsfeatures auf Microsoft managed eine einfache Möglichkeit, vor Sicherheitsbedrohungen zu bleiben. Microsoft bestimmt die beste Konfiguration basierend auf der aktuellen Bedrohungslandschaft.
In der folgenden Tabelle sind die einzelnen Einstellungen aufgeführt, die auf "Von Microsoft verwaltet" festgelegt werden können und ob diese Einstellung standardmäßig aktiviert oder deaktiviert ist.
| Einstellung | Konfiguration |
|---|---|
| Registrierungskampagne | Aktiviert |
| Speicherort in Microsoft Authenticator-Benachrichtigungen | Deaktiviert |
| Anwendungsname in Microsoft Authenticator-Benachrichtigungen | Deaktiviert |
| Vom System bevorzugte Authentifizierung | Aktiviert |
| Authenticator Lite | Aktiviert |
| Verdächtige Aktivitäten melden | Deaktiviert |
Microsoft verwaltete Registrierungskampagne
Wenn die Registrierungskampagne auf Microsoft managed festgelegt ist, bestimmt Microsoft basierend auf bewährten Methoden die optimale Kampagnenkonfiguration für Ihren Mandanten. Microsoft wertet Mandanteneinstellungen und bereichsbezogene Benutzer aus, um die Zielauthentifizierungsmethode zu ermitteln:
- Wenn der Mandant Benutzer in der Registrierungskampagne hat, die sich in einem Passkey-Profil (FIDO2) befinden, das alle Typen von Schlüsseln (sowohl synchronisiert als auch gerätegebunden) zulässt, ändert sich die gezielte Methode in Passkeys.
- Wenn keine Benutzer diese Kriterien erfüllen, bleibt die zielorientierte Methode als Microsoft Authenticator.
Für Mandanten, bei denen Passkeys (FIDO2) aktiviert sind und für die eine aktive Registrierungskampagne auf Microsoft managed festgelegt ist, werden die Kampagneneinstellungen schrittweise aktualisiert, wenn Microsoft Änderungen für Mandanten einführt.
Anmerkung
Eine Registrierungskampagne kann jeweils nur auf eine Authentifizierungsmethode abzielen. Ein Mandant kann nicht gleichzeitig Kampagnen für Microsoft Authenticator und Passkeys ausführen.
Die folgenden Microsoft Einstellungen für verwaltete Registrierungskampagnen werden aktualisiert:
| Einstellung | Voriger Wert | Neuer Wert |
|---|---|---|
| Zielauthentifizierungsmethode | Microsoft Authenticator | Zugangsschlüssel (FIDO2) |
| Für Schlummern zulässige Tage | 3 Tage | 1 Tag (nicht mehr konfigurierbar) |
| Begrenzte Anzahl an Schlummerfunktionen | Aktiviert | Deaktiviert (nicht mehr konfigurierbar) |
| Benutzeradressierung | Sprachanruf- oder Textnachrichtenbenutzer | Alle MFA-fähigen Benutzer |
Nachdem diese Änderungen in Kraft getreten sind, erhalten betroffene Benutzer während der Anmeldung Aufforderungen zur Passkey-Registrierung, nachdem sie die Mehrfaktorauthentifizierung abgeschlossen haben. Wenn Ihr Mandant in der Passkey-(FIDO2-)Richtlinie auf bestimmte AAGUIDs (Authenticator Attestation GUIDs) abzielt, wird die betreffende Authentifizierungsmethode im von Microsoft verwalteten Modus nicht auf Passkeys aktualisiert. Sie können weiterhin manuell zu "Aktiviert" wechseln und die Passkey-Zieladressierung konfigurieren.
Anmerkung
Wenn die Microsoft verwalteten Einstellungen nicht den Anforderungen Ihrer Organisation entsprechen, können Sie den Status der Registrierungskampagne auf Enabled wechseln, um alle Einstellungen manuell zu konfigurieren, oder Disabled, um die Kampagne zu deaktivieren. Wenn beispielsweise Passkeys aktiviert sein sollen, die Registrierungskampagne jedoch nicht auf Passkeys ausgerichtet werden soll, setzen Sie den Status auf Aktiviert und wählen Sie Microsoft Authenticator als Ziel aus. Weitere Informationen finden Sie unter Ausführen einer Registrierungskampagne.
Wenn sich die Bedrohungsvektoren ändern, kann Microsoft Entra ID den Standardschutz für eine von Microsoft verwaltete Einstellung in den Versionshinweisen und in häufig besuchten Foren wie Tech Community bekannt geben.
Weitere Informationen finden Sie in dem Blogbeitrag It's Time to Hang Up on Phone Transports for Authentication, in dem die Abkehr von der Verwendung von SMS und Sprachanrufen zur Authentifizierung erläutert wird. Microsoft verwalteten Registrierungskampagnen helfen Benutzern beim Einrichten moderner Authentifizierungsmethoden, einschließlich Microsoft Authenticator und Passkeys.