Microsoft引入了ENTRA ID的一项新功能,该功能允许管理员需要新的用户身份验证来完成可能敏感或冒险的特定操作。
每次都可以在访问敏感的应用程序时使用策略,保护用户签名到Azure虚拟台式机或Microsoft Entra ID保护确定的风险登录时进行重新验证。该功能还用于确保VPN或网络作为服务(NAAS)提供商的资源,PIM中的特权角色升高以及敏感的用户操作(例如Microsoft Intune注册)。
启用设置后,用户必须在评估会话时进行完全重新验证。
该公司说:“当资源具有逻辑以识别客户何时应获得新令牌时,登录频率设置为每次都可以正常工作。” “这些资源将用户重定向回到Microsoft Entra,一次会话到期后。”
Microsoft警告说,管理员应每次策略避免引入高摩擦并在用户中引起“ MFA疲劳”时,使用重新验证的应用程序数量。该公司还列出了其他建议网站。
该功能的引入是在上周末几个组织的Windows管理员收到警报的Windows管理员泄漏凭证,导致他们自动锁定的警报。在推出新的Microsoft Entra ID的“泄漏的凭据”检测应用程序时,该帐户锁定是由误报触发的,称为MACE凭据撤销。
微软已确认安全警报是无意中生成的,并且已经缓解了问题,并且计算机易怒报告。
“微软确定它是在内部记录一小部分用户的短寿命用户刷新令牌的子集,而我们的标准日志记录过程仅是对此类代币进行登录元数据,”该公司在Reddit上发布了该公司的消息。阅读。 “内部记录问题立即得到纠正,团队执行了一项程序,以使这些令牌无效以保护客户。作为无效过程的一部分,我们无意中在ENTRA ID保护中无意中生成了警报,以表明用户的凭据可能已被损害。”
自去年以来,微软一直允许客户将外部身份验证方法直接集成到ENTRA ID中,从而允许管理员使用不同的MFA提供商。在最新添加到IAM工具是1KOSMOS平台。
