We willen MFA-push-bombing dichttimmeren

Push-bombing werkt zolang gebruikers blind op Approve drukken. Number matching in Microsoft Authenticator vraagt een tweecijferig getal terug, dan kun je niet meer per ongeluk goedkeuren. Microsoft heeft het inmiddels default gemaakt voor alle tenants.

Probeer dit eerst zelf

1. 1Open Entra portal, ga naar Protection, Authentication methods, en kies Microsoft Authenticator. Zet onder Configure de optie 'Show application name' en 'Show geographic location' aan, en zorg dat 'Require number matching for push notifications' op Enabled staat voor All users.
2. 2Controleer of niemand meer de oude 'Approve / Deny'-flow ziet. Een testaccount op een ongebruikt toestel laat zich snel verifieren.
3. 3Schakel SMS en spraakoproep uit als methode voor accounts die er niet aan vast hangen. Beide zijn zwakker dan Authenticator met number matching.
4. 4Voor admins: dwing FIDO2-keys of passkey af via een Authentication Strength in een Conditional-Access-policy. Push is goed voor gebruikers, niet voor Global Admin.
5. 5Communiceer voor de wijziging eenmalig wat er verandert, anders krijg je een week tickets van mensen die het cijfer niet zien.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.