Sdílet prostřednictvím

Plánování povinného vícefaktorového ověřování pro Azure a další portály pro správu

  • Článek

V Microsoftu se zavazujeme poskytovat našim zákazníkům nejvyšší úroveň zabezpečení. Jedním z nejúčinnějších dostupných bezpečnostních opatření je vícefaktorové ověřování (MFA). Výzkum od Microsoftu ukazuje, že vícefaktorové ověřování může blokovat více než 99,2 % útoků na ohrožení účtu.

Proto od roku 2024 vynutíme povinné vícefaktorové ověřování pro všechny pokusy o přihlášení k Azure. Další informace o tomto požadavku najdete v našem blogovém příspěvku . Toto téma popisuje, které aplikace a účty jsou ovlivněné, jak se vynucuje tenantům, a další běžné otázky a odpovědi.

Pokud už vaše organizace vynucuje vícefaktorové ověřování pro ně, nebo pokud se přihlašují pomocí silnějších metod, jako je bez hesla nebo klíč (FIDO2), neexistuje žádná změna. Pokud chcete ověřit, že je vícefaktorové ověřování povolené, přečtěte si, jak ověřit, jestli jsou uživatelé nastaveni pro povinné vícefaktorové ověřování.

Rozsah vynucování

Rozsah vynucování zahrnuje, které aplikace plánují vynucovat vícefaktorové ověřování, aplikace, které jsou mimo rozsah, kdy je naplánováno vynucování a které účty mají povinný požadavek na vícefaktorové ověřování.

Aplikace

Poznámka

Datum vynucení fáze 2 se změnilo na 1. července 2025.

Následující tabulka uvádí ovlivněné aplikace, ID aplikací a adresy URL pro Azure.

Název aplikace ID aplikace Vynucení začíná.
Azure Portal c44b4083-3bb0-49c1-b47d-974e53cbdf3c Druhá polovina roku 2024
Centrum pro správu Microsoft Entra c44b4083-3bb0-49c1-b47d-974e53cbdf3c Druhá polovina roku 2024
Centrum pro správu Microsoft Intune c44b4083-3bb0-49c1-b47d-974e53cbdf3c Druhá polovina roku 2024
Rozhraní příkazového řádku Azure (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 1. července 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 1. července 2025
Mobilní aplikace Azure 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa 1. července 2025
Nástroje infrastruktury jako kódu (IaC) Použijte Azure CLI nebo identifikátory Azure PowerShellu 1. července 2025

Následující tabulka uvádí ovlivněné aplikace a adresy URL pro Microsoft 365.

Název aplikace Adresa URL Vynucení začíná.
Centrum pro správu Microsoftu 365 https://portal.office.com/adminportal/home Únor 2025
Centrum pro správu Microsoftu 365 https://admin.cloud.microsoft Únor 2025
Centrum pro správu Microsoftu 365 https://admin.microsoft.com Únor 2025

Účty

Všichni uživatelé, kteří se přihlašují k dříve uvedeným aplikacím , aby provedli jakoukoli operaci vytvoření, čtení, aktualizace nebo odstranění (CRUD), musí po zahájení vynucení dokončit vícefaktorové ověřování. Uživatelé nemusí používat vícefaktorové ověřování, pokud přistupují k jiným aplikacím, webům nebo službám hostovaným v Azure. Každá aplikace, web nebo vlastník služby uvedené výše řídí požadavky na ověřování pro uživatele.

Po zahájení vynucování se vyžaduje, aby se účty pro nouzový přístup (tzv. break glass účty) přihlašovaly pomocí vícefaktorového ověřování. Doporučujeme, abyste tyto účty aktualizovali tak, aby používaly klíč (FIDO2) nebo nakonfigurovali ověřování na základě certifikátů pro vícefaktorové ověřování . Obě metody splňují požadavek vícefaktorového ověřování.

Identity úloh, jako jsou spravované identity a služební principály, nejsou ovlivněny ani jednou fází tohoto vynucení vícefaktorového ověřování. Pokud se uživatelské identity používají k přihlášení jako servisní účet ke spuštění automatizace (včetně skriptů nebo jiných automatizovaných úloh), musí se tyto uživatelské identity po zahájení vynucení přihlásit pomocí vícefaktorové autentizace. Pro automatizaci se nedoporučují identity uživatelů. Tyto identity uživatelů byste měli migrovat do identit úloh.

Klientské knihovny

Metoda udělení tokenu pomocí hesla vlastníka zdroje OAuth 2.0 (ROPC) není kompatibilní s vícefaktorovým ověřováním. Po povolení vícefaktorového ověřování ve vašem tenantovi Microsoft Entra mohou ve vašich aplikacích rozhraní API založená na ROPC vyvolat výjimky. Další informace o tom, jak migrovat z rozhraní API založených na ROPC v Microsoft Authentication Libraries (MSAL), najdete v tématu Jak migrovat z ROPC. Pokyny pro MSAL specifické pro jednotlivé jazyky najdete na následujících kartách.

Změny se vyžadují, pokud ve své aplikaci použijete balíček Microsoft.Identity.Client a jedno z následujících rozhraní API:

Stejné obecné pokyny pro MSAL platí pro knihovny identit Azure. Třída UsernamePasswordCredential poskytovaná v těchto knihovnách používá rozhraní API založená na MSAL ROPC. Pokyny pro konkrétní jazyk najdete na následujících kartách.

Jsou nutné změny, pokud použijete balíček Azure.Identity a ve své aplikaci provedete jednu z následujících akcí:

Migrace uživatelských účtů služeb do identit úloh

Doporučujeme zákazníkům zjistit uživatelské účty, které se používají jako účty služeb, a začít je migrovat do identit úloh. Migrace často vyžaduje aktualizaci skriptů a procesů automatizace pro použití identit úloh.

Přečtěte si, jak ověřit, že jsou uživatelé nastaveni pro povinné vícefaktorové ověřování k identifikaci všech uživatelských účtů, včetně uživatelských účtů používaných jako účty služeb, které se přihlašují k aplikacím.

Další informace o tom, jak migrovat z uživatelských účtů služeb na identity úloh pro ověřování pomocí těchto aplikací, najdete tady:

Někteří zákazníci používají zásady podmíněného přístupu u účtů služeb založených na uživatelích. Licenci založenou na uživatelích můžete uvolnit a přidat licenci identit úloh pro použití podmíněného přístupu pro identity úloh.

Implementace

Tento požadavek na vícefaktorové ověřování při přihlašování se implementuje pro portály pro správu a další aplikace. Protokoly přihlášení ID Microsoft Entra ukazují na to, že je zdrojem požadavku na vícefaktorové ověřování.

Povinné vícefaktorové ověřování není možné konfigurovat. Implementuje se odděleně od všech zásad přístupu nakonfigurovaných v tenantovi.

Pokud se například vaše organizace rozhodla zachovat výchozí nastavení zabezpečení Microsoftua v současné době máte povolené výchozí nastavení zabezpečení, neuvidí vaši uživatelé žádné změny, protože pro správu Azure už není potřeba vícefaktorové ověřování. Pokud váš tenant používá zásady podmíněného přístupu v Microsoft Entra a už máte zásady podmíněného přístupu, pomocí kterých se uživatelé přihlašují k Azure pomocí MFA, neuvidí vaši uživatelé změnu. Podobně platí, že všechny omezující zásady podmíněného přístupu, které cílí na Azure, a vyžadují silnější ověřování, jako je například vícefaktorové ověřování odolné proti útokům phishing, se budou dál vynucovat. Uživatelé nevidí žádné změny.

Fáze vynucení

Poznámka

Datum vynucení fáze 2 se změnilo na 1. července 2025.

Zavádění vícefaktorového ověřování probíhá ve dvou fázích.

  • fáze 1: Od října 2024 se vícefaktorové ověřování vyžaduje pro přihlášení k webu Azure Portal, Centru pro správu Microsoft Entra a Centru pro správu Microsoft Intune. Zavádění se postupně uplatní u všech nájemců po celém světě. Od února 2025 začne postupné vynucování vícefaktorového ověřování pro přihlašování do Centra pro správu Microsoftu 365. Tato fáze nebude mít vliv na ostatní klienty Azure, jako jsou Azure CLI, Azure PowerShell, mobilní aplikace Azure nebo nástroje IaC.

  • Fáze 2: Od 1. července 2025 začne vynucování vícefaktorového ověřování postupně pro Azure CLI, Azure PowerShell, mobilní aplikaci Azure a nástroje IaC. Někteří zákazníci můžou jako účet služby použít uživatelský účet v Microsoft Entra ID. Doporučujeme migrovat tyto uživatelské účty služeb na zabezpečené cloudové účty služeb s pracovními identitami.

Kanály oznámení

Microsoft upozorní všechny globální správce Microsoft Entra prostřednictvím následujících kanálů:

  • E-mail: Globální správci, kteří nakonfigurovali e-mailovou adresu, budou informováni e-mailem o nadcházejícím vynucení vícefaktorového ověřování a akcích, které je potřeba připravit.

  • Oznámení o stavu služby: Globální správci obdrží oznámení o stavu služby prostřednictvím portálu Azure s ID sledování 4V20-VX0. Toto oznámení obsahuje stejné informace jako e-mail. Globální správci se také můžou přihlásit k odběru oznámení o stavu služby prostřednictvím e-mailu.

  • Oznámení portálu: Oznámení se zobrazí na webu Azure Portal, v Centru pro správu Microsoft Entra a v Centru pro správu Microsoft Intune, když se přihlásí. Odkazy na oznámení na portálu najdete v tomto tématu, kde najdete další informace o povinném vynucení vícefaktorového ověřování.

  • Centrum zpráv Microsoftu 365: V Centru zpráv Microsoftu 365 se zobrazí zpráva s ID zprávy: MC862873. Tato zpráva obsahuje stejné informace jako e-mail a oznámení o stavu služby.

Po vynucení se ve vícefaktorovém ověřování Microsoft Entra zobrazí banner:

Snímek obrazovky s bannerem v vícefaktorovém ověřování Microsoft Entra, který ukazuje, že se vynucuje povinné vícefaktorové ověřování

Metody externího ověřování a zprostředkovatelé identity

Podpora externích řešení vícefaktorového ověřování je ve verzi Preview s metodami externího ověřování a dá se použít ke splnění požadavků na vícefaktorové ověřování. Starší vlastní ovládací prvky podmíněného přístupu v preview verzi nevyhovují požadavku na vícefaktorové ověřování. Pokud chcete použít externí řešení s ID Microsoft Entra, měli byste provést migraci na metody externího ověřování ve verzi Preview.

Pokud používáte federovaného zprostředkovatele identity (IdP), jako je Active Directory Federation Services (AD FS), a váš poskytovatel MFA je integrován přímo s tímto federovaným IdP, musí být IdP nakonfigurováno tak, aby odeslalo požadavek na vícefaktorové ověřování. Další informace naleznete v části Očekávané příchozí ověření pro Microsoft Entra MFA.

Požádat o další čas na přípravu na vynucování

Chápeme, že někteří zákazníci můžou potřebovat více času na přípravu na tento požadavek vícefaktorového ověřování. Microsoft umožňuje zákazníkům se složitými prostředími nebo technickými překážkami odložit vynucení pro své tenanty do 30. září 2025.

Od 3. března 2025 mohou globální správci přejít na Azure portal a vybrat počáteční datum vynucení pro svého tenanta pro administrátorské portály ve fázi 1. Globální správci musí zvýšit úroveň přístupu a používat vícefaktorové ověřování, aby mohli odložit počáteční datum vynucení vícefaktorového ověřování.

Globální správci musí tuto akci provést pro každého tenanta, u kterého chtějí odložit počáteční datum vynucení.

Když odložíte počáteční datum vynucování, riskujete, protože účty, které přistupují k služby Microsoft, jako je Azure Portal, jsou vysoce cenné cíle pro aktéry hrozeb. Doporučujeme, aby všichni tenanti nastavili vícefaktorové ověřování pro zabezpečení cloudových prostředků.

Nejčastější dotazy

Otázka: Pokud se tenant používá jenom k testování, vyžaduje se vícefaktorové ověřování?

Odpověď: Ano, každý tenant Azure bude vyžadovat vícefaktorové ověřování, neexistují žádné výjimky.

Otázka: Jaký vliv má tento požadavek na Centrum pro správu Microsoftu 365?

odpověď: Povinné vícefaktorové ověřování se zavede do Centra pro správu Microsoftu 365 od února 2025. Přečtěte si další informace o povinném požadavku vícefaktorového ověřování pro Centrum pro správu Microsoftu 365 v blogovém příspěvku s oznámením povinného vícefaktorového ověřování pro Centrum pro správu Microsoftu 365.

Otázka: Je vícefaktorové ověřování povinné pro všechny uživatele nebo jenom správce?

Odpověď: Všichni uživatelé, kteří se přihlašují k některé z dříve uvedených aplikací , musí dokončit vícefaktorové ověřování bez ohledu na všechny role správce, které jsou pro ně aktivované nebo způsobilé, nebo všechna vyloučení uživatelů, která jsou pro ně povolená.

Otázka: Budu muset dokončit vícefaktorové ověřování, pokud zvolím možnost Zůstat přihlášen?

Odpověď: Ano, i když zvolíte Zůstat přihlášeni, musíte před přihlášením k těmto aplikacím dokončit vícefaktorové ověřování.

Otázka: Bude se vynucení vztahovat na účty hostů B2B?

Odpověď: Ano, vícefaktorové ověřování musí být dodrženo buď z tenanta partnerského prostředku, nebo z domovského tenanta uživatele, pokud je správně nastavené odesílání deklarací vícefaktorového ověřování do tenanta prostředku pomocí přístupu mezi tenanty.

Otázka: Jak můžeme dodržovat, pokud vícefaktorové ověřování vynucujeme pomocí jiného zprostředkovatele identity nebo řešení MFA a nevynucujeme ho pomocí Microsoft Entra MFA?

Odpověď: MFA třetích stran je možné integrovat přímo s Microsoft Entra ID. Další informace naleznete v tématu Referenční příručka poskytovatele externí metody ověřování Microsoft Entra multifactor authentication. Id Microsoft Entra je možné volitelně nakonfigurovat s federovaným zprostředkovatelem identity. Pokud ano, musí být řešení zprostředkovatele identity správně nakonfigurované tak, aby se deklarace identity multipleauthn odeslala do Microsoft Entra ID. Další informace naleznete v Pokynech pro splnění kontrol vícefaktorového ověřování (MFA) Microsoft Entra ID s pomocí MFA požadavků od federovaného zprostředkovatele identity.

otázka: Ovlivní povinné vícefaktorové ověřování schopnost synchronizovat se službou Microsoft Entra Connect nebo Microsoft Entra Cloud Sync?

Odpověď: Ne. Povinný požadavek na vícefaktorové ověřování nemá vliv na účet synchronizační služby. Pro přihlášení vyžadují vícefaktorové ověřování jenom aplikace uvedené výše.

Otázka: Můžu se odhlásit?

Odpověď: Neexistuje způsob, jak se odhlásit. Tento pohyb zabezpečení je důležitý pro veškerou bezpečnost a zabezpečení platformy Azure a opakuje se napříč dodavateli cloudu. Podívejte se například na téma Zabezpečení podle návrhu: AWS pro vylepšení požadavků na vícefaktorové ověřování v roce 2024.

Pro zákazníky je k dispozici možnost odložit počáteční datum vynucení. Globální správci můžou přejít na portál Azure, aby odložili start datum vynucení pro svého tenanta. Globální administrátoři musí mít zvýšenou úroveň přístupu před odložením data zahájení vynucení MFA na této stránce. Musí provést tuto akci pro každého nájemce, který potřebuje odklad.

Otázka: Můžu vícefaktorové ověřování otestovat předtím, než Azure uplatní zásadu, aby se nic nepokazilo?

Odpověď: Ano, vícefaktorové ověřování můžete otestovat prostřednictvím ručního procesu nastavení vícefaktorového ověřování. Doporučujeme vám toto nastavení a testování. Pokud k vynucení vícefaktorového ověřování používáte podmíněný přístup, můžete k otestování zásad použít šablony podmíněného přístupu. Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro správce přistupující k portálům pro správu Microsoftu. Pokud spustíte bezplatnou edici Microsoft Entra ID, můžete povolit výchozí nastavení zabezpečení.

Otázka: Co když už mám povolené vícefaktorové ověřování, co se stane dál?

Odpověď: Zákazníci, kteří už vyžadují vícefaktorové ověřování pro své uživatele, kteří přistupují k dříve uvedeným aplikacím, nevidí žádnou změnu. Pokud vyžadujete vícefaktorové ověřování jenom pro podmnožinu uživatelů, budou teď muset všichni uživatelé, kteří vícefaktorové ověřování nepoužívají, používat vícefaktorové ověřování, když se přihlásí k aplikacím.

Otázka: Jak můžu zkontrolovat aktivitu vícefaktorového ověřování v Microsoft Entra ID?

odpověď: Pokud chcete zkontrolovat podrobnosti o tom, kdy se uživateli zobrazí výzva k přihlášení pomocí vícefaktorového ověřování, použijte protokoly přihlášení Microsoft Entra. Další informace naleznete v tématu Podrobnosti o události přihlášení pro vícefaktorové ověřování Microsoft Entra.

Otázka: Co když mám scénář "rozbitého skla"?

Odpověď: Doporučujeme tyto účty aktualizovat tak, aby používaly klíč (FIDO2) nebo pro vícefaktorové ověřování konfigurovali ověřování na základě certifikátů. Obě metody splňují požadavek vícefaktorového ověřování.

otázka: Co když neobdržím e-mail o povolení vícefaktorového ověřování, než bude vynuceno, a pak se zamknu? Jak to mám vyřešit?

Odpověď: Uživatelé by neměli být uzamčeni, ale může se jim zobrazit zpráva, která je vyzve k aktivaci MFA po začátku vynucování zásad pro jejich nájemce. Pokud je uživatel uzamčený, můžou se zde vyskytovat další problémy. Další informace najdete v tématu Uzamčení účtu.

Související obsah

Další informace o konfiguraci a nasazení vícefaktorového ověřování najdete v následujících tématech: