Microsoft开始向2019年10月之后创建新AzureAD租户的客户推出安全默认设置,但没有为2019年10月之前创建AzureAD租户的客户启用默认设置。
据微软称,如今,大约3000万个组织使用AzureAD安全默认值,下个月微软将向更多组织推出默认值,这将导致默认值保护6000万个帐户。
微软的身份安全总监亚历克斯·韦纳特(AlexWeinert)表示:“完成后,此次推出将保护另外6000万个帐户(大约是英国的人口!)免受最常见的身份攻击。”
AzureAD是Microsoft的云服务,用于处理本地和云应用程序的身份和身份验证。它是Windows2000中ActiveDirectory域服务的演变。
微软在2019年引入了安全默认值作为一套基本的身份安全机制,适用于资源匮乏的组织,这些组织希望加强对密码和网络钓鱼攻击的防御。它还针对使用AzureAD许可免费层的组织,允许这些管理员通过Azure门户仅切换“安全默认设置”。
安全默认值不适用于大型组织或已经使用更高级的AzureAD控件(如条件访问策略)的组织。
正如Weinert解释的那样,为新租户引入了默认设置,以确保他们拥有“基本的安全卫生”,尤其是多因素身份验证(MFA)和现代身份验证,无论许可证如何。他指出,拥有安全默认值的3000万个组织发生漏洞的可能性要小得多。
Weinert说:“这些组织遭受的危害比整体租户人口少80%。大多数租户只是让它保持打开状态,而其他租户在准备就绪时通过条件访问增加了更多的安全性,”Weinert说。
根据Weinert的说法,安全默认设置意味着用户将在“必要时”根据用户的位置、设备、角色和任务面临MFA挑战。但是,管理员每次登录时都需要使用MFA。
安全默认设置将首先出现在未使用条件访问、之前未使用安全默认设置以及“未积极使用旧版身份验证客户端”的组织中。
因此,下个月不会提示启用安全默认设置的一组客户是仍在使用旧身份验证的ExchangeOnline客户。微软希望在2020年禁用ExchangeOnline的旧版身份验证,但由于大流行而推迟了。现在,将ExchangeOnline转移到现代身份验证的截止日期是2022年10月1日。微软的Exchange团队本月早些时候强调,客户不能在该日期之后请求延期。
微软本月将通过电子邮件通知符合条件的AzureAD租户的全球管理员有关安全默认设置的信息。6月下旬,这些管理员将看到来自Microsoft的Outlook通知,提示他们单击“启用安全默认值”和“安全默认值将在14天内为您的组织自动启用”的警告。
“全局管理员可以立即选择安全默认设置或暂停多达14天。他们还可以在这段时间内明确选择退出安全默认设置,”Weinert说。
启用后,将要求租户中的所有用户使用MicrosoftAuthenticator应用注册MFA。全局管理员还需要提供一个电话号码。
Microsoft允许客户通过AzureActiveDirectory属性或Microsoft365管理中心的“属性”部分禁用安全默认设置。
Weinert提供了一个令人信服的论据来反对拒绝启用它的管理员。
“当我们查看被黑帐户时,超过99.9%的帐户没有MFA,这使它们容易受到密码喷洒、网络钓鱼和密码重用的攻击,”他指出。