Ab dem 1. März 2025 wird die Funktion “Fraud Alert” in Microsoft Entra zugunsten der Funktion “Report Suspicious Activity” eingestellt. Diese Änderung zielt darauf ab, die Sicherheit durch eine tiefere Integration mit Entra ID Protection zu erhöhen.
Was ändert sich?
Derzeit ermöglicht Fraud Alert in Microsoft Entra MFA Endnutzern, betrügerische MFA-Sprachanrufe und Microsoft Authenticator-Benachrichtigungen zu melden, die nicht von ihnen initiiert wurden. Ab dem 1. März 2025 wird diese Funktion eingestellt und durch Report Suspicious Activity ersetzt.
Mit der Funktion “Report Suspicious Activity” können Mitarbeitende nicht autorisierte Authentifizierungsversuche markieren, ähnlich wie bei der bestehenden Funktion “Fraud Alert”, jedoch mit zusätzlichen Sicherheitsvorteilen:
- Tiefere Integration mit Entra ID Protection – Die gemeldete Aktivität wird innerhalb von Microsofts Identity Protection analysiert, was eine bessere Abhilfe ermöglicht.
- Verbesserte Betrugserkennung – Die Funktion stellt sicher, dass auf gemeldete verdächtige Authentifizierungsversuche effizienter reagiert wird.
- Bessere organisationsübergreifende Abdeckung – Organisationen können die gemeldeten Aktivitäten auf der Grundlage ihrer Microsoft Entra-Lizenzierung verwalten und so sicherstellen, dass die Sicherheitsmassnahmen auf ihre spezifischen Bedürfnisse abgestimmt sind.
In der Dokumentation lautet es, dass “Report Suspicious Activity” eine Funktion von Entra ID Protection ist, die eine Entra ID P2-Lizenzierung voraussetzt. Mit der P2-Lizenzierung sind risikobasierte Richtlinien für bedingten Zugriff möglich. Konten mit Entra ID P1-Lizenz können die Funktion auch nutzen, sie erhalten jedoch keinen proaktiven Schutz über risikobasierte Richtlinien.
Konten mit Entra ID P1-Lizenz
When a user reports an MFA prompt as suspicious, the event shows up in the sign-in logs (as a sign-in that was rejected by the user), in the Audit logs, and in the Risk detections report.
Konten mit Entra ID P2-Lizenz
Tenants with a Microsoft Entra ID P2 license can use risk-based Conditional Access policies to automatically remediate user risk, in addition to the options Microsoft Entra ID P2 license. Configure a policy that looks at user risk under Conditions > User risk. Look for users where risk = high to either block them from sign in or require them to reset their password.
Was sollten Organisationen tun?
Sofern Organisationen heute Fraud Alerts nutzen, sollten sie vor 1. März auf “Report Suspicious Activity” umstellen.
- Überprüfe die aktuelle Nutzung von MFA Fraud Alert – Finde heraus, wie die aktuelle Funktion genutzt wird und welche Richtlinien es gibt. Mehr Informationen findest du in der Dokumentation über “Fraud Alerts”.
- Aktiviere und kommuniziere die Funktion “Report Suspicious Activity” – Stelle sicher, dass Mitarbeitende darüber informiert sind, wie sie verdächtige MFA-Anfragen über die neue Funktion melden können. In der Dokumentation findest du Hilfe wie du die Funktion “Report Suspicious Activity” aktivieren und nutzen kannst.
Dieser Beitrag wurde automatisch von meinem ChatGPT-Assistenten erstellt, übersetzt und manuell aktualisiert/überprüft
