Ensure Microsoft Authenticator is configured to protect against MFA fatigue
Proč na tom záleží
Útoky typu MFA fatigue zneužívají otupělost uživatelů vůči opakovaným výzvám k potvrzení a přimějí je povolit neoprávněný přístup. Povolením párování čísel a kontextových podrobností, jako je název aplikace a umístění, zajistíte, že každé push oznámení vyžaduje aktivní ověření, čímž se výrazně snižuje riziko krádeže pověření prostřednictvím sociálního inženýrství.
Co Aether365 kontroluje
Aether365 ověřuje, zda jsou push oznámení Microsoft Authenticator nakonfigurována s povoleným párováním čísel a zda se zobrazují podrobnosti o názvu aplikace a geografické poloze. Tato kontrola se zobrazí ve vašem dashboardu Aether365 v sekci zabezpečení identit pro Microsoft Entra ID.
Jak opravit
- Přihlaste se do Microsoft Entra admin center na adrese https://entra.microsoft.com.
- Přejděte na Protection > Authentication methods > Policies.
- Ze seznamu vyberte Microsoft Authenticator.
- V části Enable and Target nastavte zásady na Enable pro všechny uživatele.
- Kliknutím na Configure otevřete pokročilá nastavení.
- Povolte každé z následujících nastavení a nastavte jejich cíl na All users:
- Require number matching for push notifications
- Show application name in push and passwordless notifications
- Show geographic location in push and passwordless notifications
- Volitelně vylučte účty break glass nebo nouzové účty pomocí platných skupin podle zásad vaší organizace.
Shoda s předpisy
- CIS Microsoft 365 Foundations Benchmark 3.1.0, sekce 5.2.3.1 (E3 Úroveň 1)
Související zdroje
- Microsoft Entra authentication default enablement
- Defend users from MFA fatigue attacks
- How to set up number matching in Microsoft Authenticator