Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Entra ID adiciona e melhora funcionalidades de segurança para proteger os clientes contra ataques crescentes. À medida que surgem novos vetores de ataque, o Microsoft Entra ID pode responder ativando a proteção por defeito, ajudando os clientes a antecipar-se a ameaças emergentes à segurança.
Por exemplo, em resposta ao aumento dos ataques de fadiga de MFA, a Microsoft recomendou maneiras para os clientes defenderem os usuários. Para evitar aprovações acidentais de autenticação multifator (MFA), ative a correspondência de números. Como resultado, o comportamento padrão para a correspondência numérica é explicitamente Ativado para todos os utilizadores Microsoft Authenticator. Pode saber mais sobre novas funcionalidades de segurança, como a correspondência de números, no artigo do blogue As funcionalidades avançadas de segurança Microsoft Authenticator já estão geralmente disponíveis!.
Há duas maneiras de habilitar a proteção de um recurso de segurança por padrão:
- Depois que um recurso de segurança é lançado, os clientes podem usar o centro de administração do Microsoft Entra ou a API do Graph para testar e implementar a alteração em sua própria agenda. Para ajudar a defender-se contra novos vetores de ataque, o Microsoft Entra ID pode ativar a proteção por defeito para todos os inquilinos numa determinada data, sem opção de desativação. A Microsoft agenda a proteção por defeito com bastante antecedência para dar tempo aos clientes para se prepararem. Os clientes não podem optar por não participar se a Microsoft agendar a proteção por padrão.
- A proteção pode ser gerida Microsoft, o que significa que Microsoft Entra ID pode ativar ou desativar a proteção com base no panorama atual de ameaças de segurança. Os clientes podem optar por permitir que a Microsoft gerencie a proteção. Podem mudar de gerido pela Microsoft para o estado explicitamente Ativado ou Desativado a qualquer momento.
Observação
Apenas um recurso de segurança crítico terá a proteção ativada por padrão.
Proteção padrão habilitada pelo Microsoft Entra ID
A comparação de números é um bom exemplo de medida de proteção para um método de autenticação que atualmente é opcional nas notificações por push do Microsoft Authenticator em todos os locatários. Os clientes podem optar por ativar a correspondência de números para notificações por push no Microsoft Authenticator para usuários e grupos, ou podem deixá-la desabilitada. A correspondência de números já é o comportamento padrão para notificações sem senha no Microsoft Authenticator, e os usuários não podem desativar.
À medida que os ataques de fadiga da autenticação multifator aumentam, a correspondência numérica é fundamental para a segurança no início de sessão. Como resultado, a Microsoft alterará o comportamento padrão para notificações por push no Microsoft Authenticator.
Configurações gerenciadas pela Microsoft
Além de definir as configurações da diretiva de Métodos de autenticação para serem ativados ou desativados, os administradores de TI podem definir algumas configurações na diretiva de Métodos de autenticação para serem geridos pela Microsoft. Uma definição gerida pela Microsoft permite ao Microsoft Entra ID ativar ou desativar automaticamente a funcionalidade.
A opção de permitir que o Microsoft Entra ID gere esta definição é uma forma conveniente para uma organização permitir que a Microsoft gere os valores predefinidos das funcionalidades. As organizações podem melhorar a sua postura de segurança confiando na Microsoft para determinar quando uma funcionalidade deve ser ativada. Ao definir uma configuração como gerenciado pela Microsoft (chamado padrão nas APIs do Graph), os administradores de TI podem confiar na Microsoft para habilitar um recurso de segurança que não desabilitaram explicitamente.
Por exemplo, um administrador pode ativar local e nome do aplicativo em notificações push para dar mais contexto aos utilizadores quando aprovarem pedidos de autenticação multifator (MFA) com o Microsoft Authenticator. O contexto adicional também pode ser explicitamente desativado ou definido como gerenciado pela Microsoft. Hoje, a configuração gerida pela Microsoft para o local e o nome da aplicação está Desativada, o que desativa efetivamente a opção em qualquer ambiente onde um administrador opte por deixar que o Microsoft Entra ID gestione a configuração.
À medida que o cenário de ameaças à segurança muda ao longo do tempo, a Microsoft pode alterar a configuração gerenciada pela Microsoft para local e nome do aplicativo para Enabled. Para os clientes que querem confiar na Microsoft para melhorar a sua postura de segurança, definir as funcionalidades de segurança para Microsoft geridas é uma forma fácil de se antecipar às ameaças de segurança. A Microsoft determina a melhor configuração com base no atual panorama de ameaças.
A tabela a seguir lista cada configuração que pode ser definida como gerenciada pela Microsoft e se essa configuração está habilitada ou desabilitada por padrão.
| Cenário | Configuração |
|---|---|
| Campanha de registo | Ativado |
| Localização nas notificações do Microsoft Authenticator | Desabilitado |
| Nome do aplicativo nas notificações do Microsoft Authenticator | Desabilitado |
| Autenticação preferencial do sistema | Ativado |
| Autenticador Lite | Ativado |
| Comunicar atividades suspeitas | Desabilitado |
Campanha de registo gerida pela Microsoft
Quando a campanha de registo está definida como gerida pela Microsoft, a Microsoft determina a configuração ideal da campanha para a sua organização com base nas melhores práticas. A Microsoft avalia as definições do tenant e os utilizadores abrangidos para determinar o método de autenticação visado:
- Se o tenant tiver utilizadores abrangidos pela campanha de registo que estejam num perfil de chaves de acesso (FIDO2) que permite todos os tipos de chaves de acesso (tanto sincronizadas como associadas ao dispositivo), o método visado passa a ser chaves de acesso.
- Se nenhum utilizador cumprir esse critério, o método alvo mantém-se como Microsoft Authenticator.
Para os locatários com a chave de acesso (FIDO2) ativada e uma campanha de registo ativa definida para gerida pela Microsoft, as definições da campanha são atualizadas de forma incremental à medida que a Microsoft implementa progressivamente alterações nos locatários.
Observação
Uma campanha de registo só pode direcionar um método de autenticação de cada vez. Um tenant não pode executar campanhas para o Microsoft Authenticator e as chaves de acesso simultaneamente.
As seguintes definições de campanha de registo gerido pela Microsoft são atualizadas:
| Cenário | Valor anterior | Novo valor |
|---|---|---|
| Método de autenticação direcionada | Microsoft Authenticator | Chaves de acesso (FIDO2) |
| Dias permitidos para adiar | 3 dias | 1 dia (já não configurável) |
| Número limitado de adiamentos | Ativado | Desativado (já não configurável) |
| Segmentação de utilizadores | Utilizadores de chamadas de voz ou mensagens de texto | Todos os utilizadores com autenticação multifator (MFA) |
Depois de estas alterações produzirem efeito, os utilizadores visados recebem avisos para registar uma chave de acesso ao iniciar sessão, após concluírem a autenticação multifatorial. Se o seu tenant visar AAGUIDs específicos (GUIDs de atestação do autenticador) na política de chaves de acesso (FIDO2), o método de autenticação visado não será atualizado para utilizar chaves de acesso no modo gerido pela Microsoft. Ainda podes mudar para Ativado e configurar manualmente a direcionação por passkey.
Observação
Se as definições Microsoft geridas não corresponderem às necessidades da sua organização, pode mudar o estado da campanha de registo para Ativado para configurar todas as definições manualmente, ou Desabilitado para desligar a campanha. Por exemplo, se pretenderes ter as chaves de acesso ativadas, mas não quiseres que a campanha de registo vise as chaves de acesso, altera o estado para Ativado e direciona-a para o Microsoft Authenticator. Para mais informações, consulte Executar uma campanha de registo.
À medida que os vetores de ameaça mudam, Microsoft Entra ID pode anunciar proteção padrão para uma configuração gerida pela Microsoft em notas de versão e em fóruns populares, como Tech Community.
Para mais informações, consulte a publicação no blogue It's Time to Hang Up on Phone Transports for Authentication, que aborda a transição para deixar de utilizar mensagens de texto e chamadas de voz para autenticação. As campanhas de registo gerido pela Microsoft ajudam os utilizadores a configurar métodos modernos de autenticação, incluindo o Microsoft Authenticator e as chaves de acesso.