Microsoft Entra ID security updates: что организациям необходимо сделать прямо сейчас
Microsoft Entra ID security updates: что организациям необходимо сделать прямо сейчас
Microsoft Entra ID продолжает усиливать безопасность идентичности, модернизируя способы соблюдения правил аутентификации и доступа. В рамках этих усилий Microsoft убирает устаревшие возможности и закрывает пробелы, которые злоумышленники могут использовать. Эти обновления сосредоточены на трёх ключевых направлениях: замене пользовательских контролей на внешние MFA, постоянному обеспечению условного доступа при регистрации учетных данных и требовании явно зарегистрированных методов аутентификации для самообслуживания сброса пароля (SSPR). Вместе эти изменения помогают обеспечить единообразное применение ваших политик безопасности и поддержку надёжными, проверенными пользователями сигналами.
Ключевые моменты
- Пользовательские управления устарели в пользу внешнего MFA. Существующие конфигурации продолжают работать во время перехода, но планирование миграции стоит начать уже сейчас. Кастомные системы управления выходят из эксплуатации 30 сентября 2026 года и завершают срок службы в мае 2027 года.
- Условный доступ будет соблюдаться последовательно при регистрации учётных данных. Начиная с 6 июля 2026 года, политики, направленные на действие Register Security Information, также будут применяться к обеспечению Windows Hello for Business и регистрации на платформе macOS Single Sign-on. Тестируйте политики в режиме только отчёта до этого.
- SSPR потребует явно зарегистрированных методов аутентификации. Регистрационная кампания начинается 6 июля 2026 года, а с 7 сентября 2026 года SSPR будет принимать только зарегистрированные методы — номера телефонов из справочника и адреса электронной почты, которые никогда не были официально зарегистрированы, больше не принимаются.
Отказ от пользовательских элементов управления
Что меняется?
Microsoft Entra ID устаревает от пользовательских систем управления в пользу внешнего MFA — более интегрированной, основанной на стандартах возможности для прямого включения сторонних поставщиков MFA в условный доступ. Внешняя MFA обеспечивает более глубокую интеграцию политик, более бесшовный пользовательский опыт и большую гибкость по сравнению с устаревшей моделью пользовательского управления. Хотя существующие конфигурации пользовательских контролей будут продолжать функционировать в переходный период, организациям следует начать планировать переход на внешние MFA.
Когда вы увидите эти изменения?
Кастомные системы управления будут сняты с эксплуатации 30 сентября 2026 года, а срок службы достигнет конца в мае 2027 года.
Кого затронет это изменение?
Это обновление затрагивает организации, которые сейчас используют пользовательские контроли для интеграции сторонних поставщиков MFA с условным доступом.
Как это повлияет на вашу организацию?
Организациям, использующим пользовательские контроли, придётся перейти на внешний MFA для поддержания поддержки и продолжать использовать сторонние MFA-решения в Microsoft Entra ID. Переход на внешний MFA также обеспечивает более последовательное соблюдение условного доступа и улучшенную интеграцию с возможностями безопасности Microsoft Entra.
Что нужно сделать, чтобы подготовиться?
Организации должны:
- Просмотр существующих интеграций пользовательских контролей
- Оценка требований к внешней миграции MFA
- Протестируйте политики условного доступа и пользовательский опыт перед миграцией
- Начните планирование миграции до даты выхода на пенсию
- Подробнее читайте в объявлении о всеобщей доступности внешнего MFA и рекомендациях по миграции.
Последовательное соблюдение условного доступа при регистрации учетных данных
Что меняется?
Microsoft усиливает контроль условного доступа во время регистрации учетных данных, чтобы закрыть давний разрыв в обеспечении соблюдения.
Сегодня политики, направленные на действие пользователя Security Information Register, применяются в My Security Info и Microsoft Authenticator, но не во время настройки Windows Hello for Business или регистрации на платформе macOS Single Sign-on. Политика условного доступа будет соблюдаться последовательно во всех этих процессах регистрации. Если пользователи не соответствуют требованиям политики, им будет предложено выполнить эти требования до завершения регистрации. MFA останется обязательным по умолчанию для регистрации учетных данных без пароля, а условный доступ предоставляет дополнительный уровень контроля.
Когда вы увидите эти изменения?
Это обновление будет опубликовано на неделе, начинающейся 6 июля 2026 года, для всех арендаторов.
Кого затронет это изменение?
Это изменение затрагивает организации, использующие:
- Политики условного доступа, ограниченные потоками регистрации
- Windows Hello для бизнеса
- Единый вход на платформу macOS
- Сценарии регистрации учетных данных без пароля
Как это повлияет на вашу организацию?
Организации могут видеть дополнительные подсказки или меры контроля при установке устройства и регистрации учетных данных, если пользователи не соответствуют требованиям условного доступа. Это изменение гарантирует, что процессы регистрации регулируются теми же мерами безопасности, что и в других случаях аутентификации.
Что нужно сделать, чтобы подготовиться?
Организациям следует пересмотреть существующие политики регистрации и подтвердить, что пользователи могут соответствовать требованиям условного доступа во время адаптации и настройки устройства. Microsoft рекомендует тестировать политики в режиме только отчётов перед началом их применения.
Обновление SSPR: требуются зарегистрированные методы аутентификации
Что меняется?
Microsoft обновляет систему самостоятельного сброса пароля Microsoft Entra (SSPR), чтобы для верификации использовались только явно зарегистрированные методы аутентификации. Номера телефонов или адреса электронной почты, полученные из каталога, хранящиеся только как свойства объектов пользователя — но никогда официально не зарегистрированные как методы аутентификации — больше не принимаются. Это изменение согласует SSPR с более широкой моделью аутентификации Entra ID, требуя методов верификации, связанных с намерением пользователя и доказательством владения.
Когда вы увидите эти изменения?
Начиная с 6 июля 2026 года, Microsoft начнёт запускать кампанию регистрации SSPR, которая побуждает затронутых администраторов и конечных пользователей заранее зарегистрировать методы аутентификации. Для включения этой кампании не требуется никаких действий администратора.
Начиная с 7 сентября 2026 года, SSPR будет принимать только методы аутентификации, которые пользователи или администраторы явно зарегистрировали.
Кого затронет это изменение?
Это обновление затрагивает организации и пользователей, которые по-прежнему полагаются на незарегистрированные номера телефонов или адреса электронной почты, основанные на каталогах, для проверки сброса пароля.
Как это повлияет на вашу организацию?
Пользователи без зарегистрированных методов аутентификации могут столкнуться с прерываниями при сбросе пароля или восстановлении аккаунта после начала применения. Организации также могут столкнуться с увеличением числа заявок на регистрацию в переходный период.
Что нужно сделать, чтобы подготовиться?
Организации должны:
- Проверьте покрытие регистрации методов аутентификации
- Идентифицировать пользователей, полагающихся на незарегистрированные значения каталога
- Поощряйте пользователей регистрировать утверждённые методы аутентификации
- Сообщайте пользователям и командам службы поддержки о предстоящих изменениях
Microsoft будет призывать затронутых пользователей и администраторов в переходный период, чтобы помочь организациям подготовиться до начала контроля.
Сейчас самое время пересмотреть текущие конфигурации, определить, где эти изменения применимы в вашей среде, и начать подготовку пользователей и администраторов до наступления этапов в обеспечении соблюдения. Начните с оценки зависимостей пользовательских контролей, проверки политик условного доступа, связанных с регистрацией, и подтверждения, что методы аутентификации, используемые для SSPR, явно зарегистрированы.
