保护 Microsoft Entra ID 中的身份验证方法

Microsoft Entra ID 添加和改进安全功能，以更好地保护客户免受越来越多的攻击。 随着新的攻击向量被识别，Microsoft Entra ID 可以通过默认启用保护来帮助客户应对不断涌现的安全威胁。

例如，为了应对日益增多的 MFA 疲劳攻击，Microsoft 为客户推荐了一些保护用户的方法。 防止用户意外批准多重身份验证 (MFA) 的一项建议是启用号码匹配。 因此，对于所有 Microsoft Authenticator 用户，都会显式启用号码匹配默认行为。 可以在博客文章高级 Microsoft Authenticator 安全功能现已正式发布！中详细了解号码匹配等新安全功能。

默认情况下，可通过两种方式保护安全功能：

• 发布安全功能后，客户可以使用 Microsoft Entra 管理中心或图形 API 来测试并按自己的计划推出更改。 为了帮助抵御新的攻击途径，Microsoft Entra ID 可以从某个日期开始默认为所有租户启用安全功能保护，并且不会提供禁用保护的选项。 Microsoft提前安排默认保护，让客户有时间准备更改。 默认情况下，如果Microsoft计划保护，客户无法选择退出。
• 保护可以由“Microsoft 托管”，这意味着 Microsoft Entra ID 可以根据当前的安全威胁形势启用或禁用保护。 客户可以选择是否允许Microsoft管理保护。 他们可以随时从“由 Microsoft 管理”更改为显式启用或禁用保护。

由 Microsoft Entra ID 启用的默认保护

号码匹配是一个典型的身份验证方法保护示例，这种保护目前对于所有租户的 Microsoft Authenticator 中的推送通知是可选的。 对于 Microsoft Authenticator 中的推送通知，客户可以选择为用户和组启用号码匹配，也可将其保持禁用状态。 数字匹配已是 Microsoft Authenticator 中无密码通知的默认行为，用户无法选择退出。

随着 MFA 疲劳攻击的增加，数字匹配对登录安全性变得更加重要。 因此，Microsoft将更改 Microsoft Authenticator 中推送通知的默认行为。

Microsoft 管理的设置

除了将身份验证方法策略设置配置为“已启用”或“已禁用”之外，IT 管理员还可以将身份验证方法策略中的某些设置配置为“由 Microsoft 管理”。 配置为“Microsoft 托管”的设置允许 Microsoft Entra ID 启用或禁用该设置。

允许 Microsoft Entra ID 来管理设置的选项是组织便捷地允许 Microsoft 默认启用或禁用某个功能的方法。 组织可以通过信任Microsoft来管理何时默认启用功能，从而更轻松地改善其安全状况。 通过将设置配置为“由 Microsoft 管理”（在 Graph API 中名为“默认”），IT 管理员可以信任 Microsoft 启用他们未显式禁用的安全功能。

例如，管理员可以在推送通知中启用 位置和应用程序名称，以便在用户使用 Microsoft Authenticator 批准 MFA 请求时为用户提供更多上下文。 也可以显式禁用附加上下文，或将其设置为“由 Microsoft 管理”。 目前，“Microsoft 托管”的位置和应用程序名称配置处于“已禁用”状态，这实际上是针对管理员可选择让 Microsoft Entra ID 管理设置的任何环境禁用了该选项。

随着安全威胁形势的不断变化，Microsoft 可能会将 Microsoft 管理的“位置和应用程序名称”配置更改为“已启用”。 对于想要依赖 Microsoft 改善其安全态势的客户，将安全功能设置为“由 Microsoft 管理”是提前防范安全威胁的简单方法。 他们可以信任Microsoft来确定基于当前威胁环境配置安全设置的最佳方法。

下表列出了可以设置为 Microsoft 管理的每个设置，以及这些设置默认情况下是启用还是禁用。

随着威胁途径的变化，Microsoft Entra ID 可能会在发行说明和热门论坛（如技术社区）中宣布对“Microsoft 托管”的设置执行默认保护。

有关详细信息，请参阅我们的博客文章 《是时候停止使用电话传输进行身份验证》，其中讨论了如何逐步停止使用短信和语音通话进行身份验证。 此更改会导致默认启用注册活动，以帮助用户设置用于进行新式身份验证的 Authenticator。

后续步骤

Microsoft Entra ID 中的身份验证方法 - Microsoft Authenticator