Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra ID voegt beveiligingsfuncties toe en verbetert deze om klanten te beschermen tegen toenemende aanvallen. Naarmate er nieuwe aanvalsvectoren ontstaan, kan Microsoft Entra ID reageren door standaard beveiliging in te schakelen om klanten te helpen bij opkomende beveiligingsrisico's.
Microsoft heeft bijvoorbeeld als reactie op toenemende MFA-vermoeidheidsaanvallen aanbevolen hoe klanten hun gebruikers kunnen beschermen. Schakel nummerkoppeling in om onbedoelde MFA-goedkeuringen (MultiFactor Authentication) te voorkomen. Als gevolg hiervan wordt standaardgedrag voor nummerkoppeling expliciet Enabled voor alle Microsoft Authenticator gebruikers. Meer informatie over nieuwe beveiligingsfuncties, zoals nummerkoppeling, vindt u in het blogbericht Advanced Microsoft Authenticator beveiligingsfuncties nu algemeen beschikbaar!.
Er zijn twee manieren om de beveiliging van een beveiligingsfunctie standaard in te schakelen:
- Nadat een beveiligingsfunctie is uitgebracht, kunnen klanten het Microsoft Entra-beheercentrum of Graph API gebruiken om de wijziging in hun eigen planning te testen en uit te rollen. Om bescherming te bieden tegen nieuwe aanvalsvectoren, kan Microsoft Entra ID de beveiliging standaard inschakelen voor alle tenants op een bepaalde datum, zonder de optie om uit te schakelen. Microsoft plant de standaardbeveiliging ver van tevoren om klanten tijd te geven om zich voor te bereiden. Klanten kunnen zich niet afmelden als Microsoft standaard beveiliging plant.
- Beveiliging kan worden Microsoft beheerd, wat betekent dat Microsoft Entra ID beveiliging kan in- of uitschakelen op basis van het huidige beveiligingsrisicolandschap. Klanten kunnen kiezen of Microsoft de beveiliging mag beheren. Ze kunnen op elk gewenst moment veranderen van Microsoft managed in expliciet Enabled of Disabled.
Notitie
Alleen een kritieke beveiligingsfunctie heeft standaard beveiliging ingeschakeld.
Standaardbeveiliging ingeschakeld door Microsoft Entra-id
Nummerkoppeling is een goed voorbeeld van beveiliging voor een verificatiemethode die momenteel optioneel is voor pushmeldingen in Microsoft Authenticator in alle tenants. Klanten kunnen ervoor kiezen om nummerkoppeling in te schakelen voor pushmeldingen in Microsoft Authenticator voor gebruikers en groepen, of ze kunnen deze optie uitgeschakeld laten. Nummerkoppeling is al het standaardgedrag voor meldingen zonder wachtwoord in Microsoft Authenticator en gebruikers kunnen zich niet afmelden.
Naarmate MFA-vermoeidheidsaanvallen toenemen, wordt nummerovereenstemming steeds belangrijker voor de beveiliging van aanmeldingen. Als gevolg hiervan wijzigt Microsoft het standaardgedrag voor pushmeldingen in Microsoft Authenticator.
Door Microsoft beheerde instellingen
Naast het configureren van beleidsinstellingen voor verificatiemethoden die moeten worden ingeschakeld of uitgeschakeld, kunnen IT-beheerders bepaalde instellingen configureren in het beleid voor verificatiemethoden dat door Microsoft wordt beheerd. Met een door Microsoft beheerde instelling kan Microsoft Entra ID de functie automatisch in- of uitschakelen.
De optie om Microsoft Entra ID de instelling te laten beheren, is een handige manier voor een organisatie om Microsoft toe te staan de standaardinstellingen voor functies te beheren. Organisaties kunnen hun beveiligingspostuur verbeteren door Microsoft te vertrouwen om te bepalen wanneer een functie moet worden ingeschakeld. Door een instelling te configureren als door Microsoft beheerde(standaardinstelling in Graph API's), kunnen IT-beheerders Microsoft vertrouwen om een beveiligingsfunctie in te schakelen die ze niet expliciet hebben uitgeschakeld.
Een beheerder kan bijvoorbeeld locatie- en toepassingsnaam inschakelen in pushmeldingen om gebruikers meer context te geven wanneer ze MFA-aanvragen goedkeuren met Microsoft Authenticator. De extra context kan ook expliciet worden uitgeschakeld of worden ingesteld als Door Microsoft beheerd. Tegenwoordig is de door Microsoft beheerde configuratie voor locatie en toepassingsnaam uitgeschakeld, waardoor de optie voor elke omgeving waarin een beheerder ervoor kiest om microsoft Entra ID de instelling te laten beheren, effectief wordt uitgeschakeld.
Naarmate het beveiligingsrisico in de loop van de tijd verandert, kan Microsoft de door Microsoft beheerde configuratie voor locatie en toepassingsnaam wijzigen in Ingeschakeld. Voor klanten die willen vertrouwen op Microsoft om hun beveiligingspostuur te verbeteren, is het instellen van beveiligingsfuncties op Microsoft beheerd een eenvoudige manier om beveiligingsrisico's voor te blijven. Microsoft bepaalt de beste configuratie op basis van het huidige bedreigingslandschap.
De volgende tabel bevat elke instelling die kan worden ingesteld op Door Microsoft beheerd en of deze instelling standaard is ingeschakeld of uitgeschakeld.
| Instelling | Configuratie |
|---|---|
| Registratiecampagne | Ingeschakeld |
| Locatie in Microsoft Authenticator-meldingen | Uitgeschakeld |
| Toepassingsnaam in Microsoft Authenticator-meldingen | Uitgeschakeld |
| Systeemvoorkeursverificatie | Ingeschakeld |
| Authenticator Lite | Ingeschakeld |
| Verdachte activiteit rapporteren | Uitgeschakeld |
Microsoft beheerde registratiecampagne
Wanneer de registratiecampagne is ingesteld op Microsoft beheerd, bepaalt Microsoft de optimale campagneconfiguratie voor uw tenant op basis van best practices. Microsoft beoordeelt tenantinstellingen en gebruikers binnen het bereik om de beoogde verificatiemethode te bepalen:
- Als de tenant gebruikers bevat die binnen de registratiecampagne vallen en zich in een passkeyprofiel (FIDO2) bevinden waarin alle typen passkeys zijn toegestaan (zowel gesynchroniseerde als apparaatgebonden), wordt de doelmethode gewijzigd naar passkeys.
- Als er geen gebruikers aan deze criteria voldoen, blijft de doelmethode ongewijzigd als Microsoft Authenticator.
Voor tenants waarvoor wachtwoordsleutel (FIDO2) is ingeschakeld en een actieve registratiecampagne is ingesteld op Microsoft beheerd, worden de campagne-instellingen stapsgewijs bijgewerkt wanneer Microsoft wijzigingen in tenants uitrolt.
Notitie
Een registratiecampagne kan slechts één verificatiemethode tegelijk instellen. Een tenant kan geen campagnes uitvoeren voor zowel Microsoft Authenticator als wachtwoordsleutels tegelijk.
De volgende Microsoft instellingen voor beheerde registratiecampagne worden bijgewerkt:
| Instelling | Vorige waarde | Nieuwe waarde |
|---|---|---|
| Doelverificatiemethode | Microsoft Authenticator | Wachtwoordsleutels (FIDO2) |
| Toegestane dagen om te snoozen | 3 dagen | 1 dag (niet meer configureerbaar) |
| Beperkt aantal sluimerstanden | Ingeschakeld | Uitgeschakeld (niet meer configureerbaar) |
| Gebruikersdoel | Spraakoproep- of sms-berichtengebruikers | Alle gebruikers die geschikt zijn voor meervoudige verificatie (MFA) |
Nadat deze wijzigingen van kracht worden, ontvangen de beoogde gebruikers tijdens het aanmelden verzoeken om een passkey te registreren nadat ze multifactorauthenticatie hebben voltooid. Als uw tenant is geconfigureerd voor specifieke AAGUID's (Authenticator Attestation GUID's) in het beleid voor passkeys (FIDO2), wordt de betreffende verificatiemethode in de door Microsoft beheerde modus niet bijgewerkt naar passkeys. U kunt nog steeds overschakelen op Ingeschakeld en de passkeydoelgroep handmatig configureren.
Notitie
Als de Microsoft beheerde instellingen niet voldoen aan de behoeften van uw organisatie, kunt u de status van de registratiecampagne wijzigen in Enabled om alle instellingen handmatig te configureren of Disabled om de campagne uit te schakelen. Als u bijvoorbeeld passkeys wilt inschakelen, maar niet wilt dat de registratiecampagne op passkeys is gericht, zet u de status op Enabled en richt u zich op Microsoft Authenticator. Zie Een registratiecampagne uitvoeren voor meer informatie.
Naarmate bedreigingsvectoren veranderen, kan Microsoft Entra ID standaardbeveiliging aankondigen voor een door Microsoft beheerde instelling in releaseopmerkingen en op veelgebruikte forums zoals Tech Community.
Zie voor meer informatie de blogpost It's Time to Hang Up on Phone Transports for Authentication, waarin wordt besproken waarom het beter is af te stappen van het gebruik van sms-berichten en spraakoproepen. Microsoft beheerde registratiecampagnes helpen gebruikers moderne verificatiemethoden in te stellen, waaronder Microsoft Authenticator en wachtwoordsleutels.