Microsoft Entra ID security updates: що організаціям потрібно зробити зараз
Оновлення безпеки Microsoft Entra ID: що організаціям потрібно зробити зараз
Microsoft Entra ID продовжує посилювати безпеку ідентичності, модернізуючи способи дотримання правил автентифікації та доступу. У рамках цих зусиль Microsoft усуває застарілі можливості та закриває прогалини, які можуть використовувати зловмисники. Ці оновлення зосереджені на трьох ключових напрямках: заміні користувацького контролю зовнішніми MFA, постійному ввімкненні умовного доступу при реєстрації облікових даних та необхідності явно зареєстрованих методів автентифікації для самообслуговування скидання пароля (SSPR). Разом ці зміни допомагають забезпечити послідовне виконання та підтримку ваших політик безпеки надійними, перевіреними користувачами сигналами.
Ключові моменти
- Кастомні керування були замінені на зовнішні MFA. Існуючі конфігурації продовжують працювати під час переходу, але варто почати планування міграції вже зараз. Індивідуальні системи керування виходять з експлуатації 30 вересня 2026 року і закінчують свій термін служби у травні 2027 року.
- Умовний доступ буде забезпечуватися послідовно під час реєстрації облікових даних. Починаючи з 6 липня 2026 року, політики, спрямовані на дію Register Security Information, також застосовуватимуться до забезпечення та реєстрації Windows Hello for Business на платформі Single Sign-on macOS. Заздалегідь тестуйте політики у режимі лише звіту.
- SSPR вимагатиме явно зареєстрованих методів автентифікації. Кампанія реєстрації розпочнеться 6 липня 2026 року, а з 7 вересня 2026 року SSPR прийматиме лише зареєстровані методи – номери телефонів та електронні адреси, які ніколи офіційно не реєструвалися, більше не приймаються.
Уникайте кастомних контролерів
Що змінюється?
Microsoft Entra ID відмовляється від кастомних систем управління на користь зовнішнього MFA — більш інтегрованої, стандартизованої можливості для прямого включення сторонніх постачальників MFA до умовного доступу. Зовнішня MFA забезпечує глибшу інтеграцію політик, більш безшовний користувацький досвід і більшу гнучкість порівняно з застарілою моделлю управління користувачами. Хоча існуючі конфігурації керування користувачами продовжуватимуть функціонувати під час перехідного періоду, організаціям слід почати планувати перехід на зовнішній MFA.
Коли ви побачите ці зміни?
Індивідуальні системи керування будуть виведені з експлуатації 30 вересня 2026 року, а термін служби закінчиться у травні 2027 року.
Кого вплине ця зміна?
Це оновлення стосується організацій, які наразі використовують власні контролі для інтеграції сторонніх постачальників MFA з умовним доступом.
Як це вплине на вашу організацію?
Організації, які використовують користувацькі контролі, повинні будуть перейти на зовнішній MFA для підтримки та продовження використання сторонніх MFA-рішень у Microsoft Entra ID. Перехід на зовнішню MFA також забезпечує більш послідовне виконання умовного доступу та покращену інтеграцію з можливостями безпеки Microsoft Entra.
Що потрібно зробити, щоб підготуватися?
Організації повинні:
- Переглянути існуючі інтеграції керування користувачами
- Оцінити зовнішні вимоги до міграції MFA
- Тестуйте політики умовного доступу та користувацький досвід перед міграцією
- Почніть планувати свою міграцію до дати виходу на пенсію
- Детальніше дивіться оголошення про універсальну доступність зовнішнього MFA та рекомендації щодо міграції.
Послідовна відповідність умовному доступу при реєстрації облікових даних
Що змінюється?
Microsoft посилює контроль умовного доступу під час реєстрації облікових даних, щоб закрити давній розрив у відповідності.
Сьогодні політики, спрямовані на дії користувачів у Реєстрі інформації про безпеку, застосовуються в My Security Info та Microsoft Authenticator, але не при налаштуванні Windows Hello for Business або реєстрації на macOS Single Sign-on. Політика умовного доступу буде послідовно застосовуватися у всіх цих процесах реєстрації. Якщо користувачі не відповідають вимогам політики, їм буде запрошено виконати ці вимоги перед завершенням реєстрації. MFA залишатиметься обов'язковим за замовчуванням для реєстрації облікових даних без пароля, а умовний доступ забезпечує додатковий рівень контролю.
Коли ви побачите ці зміни?
Це оновлення буде опубліковано протягом тижня, що починається 6 липня 2026 року, для всіх орендарів.
Кого вплине ця зміна?
Ця зміна впливає на організації, які використовують:
- Політики умовного доступу, обмежені потоками реєстрації
- Windows Hello для бізнесу
- Єдиний вхід у macOS
- Сценарії реєстрації облікових даних без пароля
Як це вплине на вашу організацію?
Організації можуть бачити додаткові підказки або контролі під час встановлення пристрою та реєстрації облікових даних, якщо користувачі не відповідають вимогам умовного доступу. Ця зміна гарантує, що процеси реєстрації регулюються тими ж заходами безпеки, що й інші випадки автентифікації.
Що потрібно зробити, щоб підготуватися?
Організаціям слід переглянути існуючі політики реєстрації та підтвердити, чи можуть користувачі відповідати вимогам умовного доступу під час підключення та налаштування пристрою. Microsoft рекомендує тестувати політики у режимі лише звітів перед початком їх застосування.
Оновлення SSPR: Потрібні зареєстровані методи автентифікації
Що змінюється?
Microsoft оновлює систему Microsoft Entra Self-Service Password Reset (SSPR), щоб гарантувати, що для верифікації використовуються лише явно зареєстровані методи автентифікації. Номери телефонів або електронні адреси, отримані з каталогу, які зберігаються лише як властивості об'єктів користувача — але ніколи офіційно не зареєстровані як методи автентифікації — більше не приймаються. Ця зміна узгоджує SSPR із ширшою моделлю автентифікації Entra ID, вимагаючи методів верифікації, пов'язаних із наміром користувача та підтвердженням власності.
Коли ви побачите ці зміни?
Починаючи з 6 липня 2026 року, Microsoft розпочне кампанію з реєстрації SSPR, яка заохочує зацікавлених адміністраторів і кінцевих користувачів заздалегідь реєструвати методи автентифікації. Для активації цієї кампанії не потрібні жодних дій адміністрації.
Починаючи з 7 вересня 2026 року, SSPR прийматиме лише методи автентифікації, які користувачі або адміністратори явно зареєстрували.
Кого вплине ця зміна?
Це оновлення стосується організацій та користувачів, які продовжують покладатися на незареєстровані номери телефонів або адреси електронної пошти з каталогів для перевірки скидання пароля.
Як це вплине на вашу організацію?
Користувачі без зареєстрованих методів автентифікації можуть стикатися з перериваннями під час скидання пароля або відновлення облікового запису після початку реєстрації. Організації також можуть зіткнутися зі зростанням кількості заявок на реєстрацію під час перехідного періоду.
Що потрібно зробити, щоб підготуватися?
Організації повинні:
- Перевірте систему реєстрації для автентифікації
- Визначте користувачів, які покладаються на незареєстровані значення каталогу
- Заохочуйте користувачів реєструвати затверджені методи автентифікації
- Повідомляйте користувачів і команди підтримки про майбутні зміни
Microsoft закликатиме постраждалих користувачів і адміністраторів у період переходу допомогти організаціям підготуватися до початку контролю.
Зараз настав час переглянути ваші поточні конфігурації, визначити, де ці зміни застосовуються у вашому середовищі, і почати готувати користувачів та адміністраторів до початку етапів відповідності. Почніть з оцінки залежностей користувацьких органів контролю, перегляду політик умовного доступу, пов'язаних із реєстрацією, і підтвердження, що методи автентифікації, які використовуються для SSPR, явно зареєстровані.
