If Microsoft Authenticator is enabled, it SHALL be configured to show login context information.
Warum dies wichtig ist
Ohne Anmeldekontextinformationen zeigen Microsoft Authenticator-Push-Benachrichtigungen nur minimale Details zum Anmeldeversuch an. Angreifer, die MFA-Ermüdungsangriffe ausnutzen, können Benutzer mit Benachrichtigungen bombardieren, die sie möglicherweise versehentlich genehmigen. Die Anforderung von Kontextdaten wie dem App-Namen, dem Standort und der anfragenden IP-Adresse hilft Ihren Benutzern, fundierte Genehmigungsentscheidungen zu treffen.
Was Aether365 prüft
Aether365 überprüft, ob in der Authentifizierungsmethodenrichtlinie für Microsoft Authenticator die Einstellungen "App-Namen anzeigen", "Geografischen Standort anzeigen" und "Anfragende IP anzeigen" aktiviert sind. Diese Prüfung wird im Aether365-Dashboard unter dem Abschnitt Entra ID (entra-id) als Teil der CISA MS.AAD.3.3-Konformitätsregel angezeigt.
Behebung
- Melden Sie sich beim Microsoft Entra admin center (https://entra.microsoft.com) an.
- Navigieren Sie zu Schutz > Authentifizierungsmethoden > Richtlinien.
- Wählen Sie Microsoft Authenticator aus der Liste der Authentifizierungsmethoden.
- Stellen Sie unter der Registerkarte Konfigurieren sicher, dass die folgenden Einstellungen für alle relevanten Benutzergruppen aktiviert sind:
- App-Namen anzeigen: Ja
- Geografischen Standort anzeigen: Ja
- Anfragende IP anzeigen: Ja
- Klicken Sie auf Speichern, um die Richtlinienänderungen zu übernehmen.
Compliance
- CISA Microsoft 365 Sicherheitsbaseline: CISA.MS.AAD.3.3
- CIS Framework: Microsoft Azure Active Directory Benchmark