Planen der obligatorischen Multi-Faktor-Authentifizierung für Azure und andere Admin-Portale
Bei Microsoft sind wir bestrebt, unseren Kundinnen und Kunden ein Höchstmaß an Sicherheit zu bieten. Eine der effektivsten Sicherheitsmaßnahmen, die ihnen zur Verfügung stehen, ist die Multi-Faktor-Authentifizierung (MFA). Untersuchungen von Microsoft zeigen, dass MFA mehr als 99,2 % der Angriffe auf Konten abwehren kann.
Deshalb werden wir ab 2024 eine obligatorische Multi-Faktor-Authentifizierung (MFA) für alle Azure-Anmeldeversuche durchsetzen. Weitere Hintergrundinformationen zu dieser Anforderung finden Sie in unserem Blogbeitrag. Dieses Thema behandelt, welche Anwendungen betroffen sind und wie Sie sich auf die obligatorische MFA vorbereiten.
Umfang der Durchsetzung
Der Umfang der Durchsetzung umfasst, welche Anwendungen die MFA durchsetzen wollen, wann die Durchsetzung geplant ist und für welche Konten eine MFA-Pflicht besteht.
Anwendungen
| Anwendungsname | App-ID | Durchsetzungsphase |
|---|---|---|
| Azure-Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Zweite Hälfte des Jahres 2024 |
| Microsoft Entra Admin Center | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Zweite Hälfte des Jahres 2024 |
| Microsoft Intune Admin Center | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Zweite Hälfte des Jahres 2024 |
| Azure-Befehlszeilenschnittstelle (Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | Anfang 2025 |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | Anfang 2025 |
| Azure Mobile App | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | Anfang 2025 |
| Tools zu Infrastructure-as-Code (IaC) | Verwenden von Azure CLI- oder Azure PowerShell-IDs | Anfang 2025 |
Konten
Alle Benutzenden, die sich bei den zuvor aufgeführten Anwendungen anmelden, um einen Vorgang zum Erstellen, Lesen, Aktualisieren oder Löschen (Create, Read, Update, or Delete, CRUD) auszuführen, benötigen ab dem Zeitpunkt der Durchsetzung eine mehrstufige Authentifizierung. Endbenutzende, die auf Anwendungen, Websites oder Dienste zugreifen, die in Azure gehostet werden, sich aber nicht bei den aufgeführten Anwendungen anmelden, sind nicht verpflichtet, MFA zu verwenden. Die Authentifizierungsanforderungen für Endbenutzende werden vom Besitzenden der Anwendung, Website oder des Dienstes festgelegt.
Sobald die Durchsetzung beginnt, sind auch Notfallkonten oder Notfallzugänge erforderlich, um sich mit MFA anzumelden. Wir empfehlen, diese Konten auf Passkey (FIDO2) umzustellen oder eine zertifikatsbasierte Authentifizierung für MFA zu konfigurieren. Beide Methoden erfüllen die MFA-Anforderung.
Workload-Identitäten wie verwaltete Identitäten und Dienstprinzipale sind von keiner der beiden Phasen der MFA-Durchsetzung betroffen. Wenn Benutzeridentitäten verwendet werden, um sich als Dienstkonto anzumelden, um die Automatisierung (einschließlich Skripts oder andere automatisierte Aufgaben) auszuführen, müssen sich diese Benutzeridentitäten nach Beginn der Erzwingung mit MFA anmelden. Benutzeridentitäten werden für die Automatisierung nicht empfohlen. Sie sollten diese Benutzeridentitäten zu Workloadidentitäten migrieren.
Tipp
Wir empfehlen Kunden, die derzeit Benutzerkonten als Dienstkonten verwenden, den Prozess der Ermittlung und Migration zu Workload-Identitäten zu starten. Dies erfordert häufig das Aktualisieren von Skripts und Automatisierungsprozessen, um Workload-Identitäten zu verwenden.
Lesen Sie Vorbereiten der Multi-Faktor-Authentifizierung, um alle Benutzerkonten (einschließlich Benutzerkonten, die als Dienstkonten verwendet werden) zu identifizieren, die sich bei den Phasen 2-Anwendungen anmelden.
Eine Anleitung zum Migrieren der Authentifizierung mit diesen Anwendungen von benutzerbasierten Dienstkonten zu Workload-Identitäten finden Sie unter:
- Anmelden bei Azure mit einer verwalteten Identität mit der Azure CLI
- Anmelden bei Azure mit einem Dienstprinzipal mit der Azure CLI
- Melden Sie sich bei Azure PowerShell nicht interaktiv für Automatisierungsszenarien an (enthält Anleitungen für verwaltete Identitäten und Dienstprinzipalanwendungsfälle)
Kunden, die Richtlinien für bedingten Zugriff auf die benutzerbasierten Dienstkonten anwenden, können diese benutzerbasierte Lizenz zurückfordern und die Lizenz für Workload-Identitäten anwenden, um bedingten Zugriff auf Workload-Identitäten anzuwenden.
Implementierung
Diese Anforderung für die MFA bei der Anmeldung wird für Administratorportale implementiert. Microsoft Entra ID-Anmeldeprotokolle zeigen sie als Quelle der MFA-Anforderung an.
Diese Anforderung wird über alle Zugriffsrichtlinien implementiert, die Sie in Ihrem Mandanten konfiguriert haben. Wenn Ihre Organisation z. B. die Sicherheitsstandards von Microsoft beibehalten hat und Sie derzeit Sicherheitsstandardeinstellungen aktiviert haben, sehen Ihre Benutzer keine Änderungen, da MFA bereits für die Azure-Verwaltung erforderlich ist. Wenn Ihr Mandant Richtlinien für den bedingten Zugriff in Microsoft Entra verwendet und Sie bereits über eine Richtlinie für bedingten Zugriff verfügen, über die sich Benutzer mit MFA bei Azure anmelden, wird keine Änderung angezeigt. Ebenso werden alle restriktiven Richtlinien für den bedingten Zugriff, die auf Azure abzielen und eine stärkere Authentifizierung erfordern, wie Phishing-sichere MFA, weiterhin durchgesetzt. Benutzer sehen keine Änderungen.
Durchsetzungsphasen
Die Durchsetzung der MFA wird in zwei Phasen durchgeführt:
Phase 1: Ab der zweiten Hälfte des Jahres 2024 wird MFA erforderlich sein, um sich beim Azure-Portal, beim Microsoft Entra Admin Center und beim Microsoft Intune Admin Center anzumelden. Die Durchsetzung wird schrittweise für alle Mandanten weltweit eingeführt. Diese Phase wirkt sich nicht auf andere Azure-Clients wie Azure CLI, Azure PowerShell, mobile Azure-App oder IaC-Tools aus.
Phase 2: Ab Anfang 2025 beginnt die schrittweise MFA-Durchsetzung für die Anmeldung bei Azure CLI, Azure PowerShell, Azure Mobile App und IaC-Tools. Einige Kundinnen und Kunden verwenden möglicherweise ein Benutzerkonto in Microsoft Entra ID als Dienstkonto. Es wird empfohlen, diese benutzerbasierten Dienstkonten auf sichere cloudbasierte Dienstkonten mit Workloadidentitäten umzustellen.
Benachrichtigungskanäle
Microsoft benachrichtigt alle globalen Microsoft Entra-Administrierenden über die folgenden Kanäle:
E-Mail: Global Administrierende, die über eine konfigurierte E-Mail-Adresse verfügen, werden per E-Mail über die bevorstehende Durchsetzung der MFA und die erforderlichen Maßnahmen zur Vorbereitung informiert.
Benachrichtigung zur Dienstintegrität: Globale Admins erhalten über das Azure-Portal eine Benachrichtigung zur Dienstintegrität mit der Tracking-ID 4V20-VX0. Diese Benachrichtigung enthält die gleichen Informationen wie die E-Mail. Global Administrierende können sich auch anmelden, um Benachrichtigungen über den Zustand des Dienstes per E-Mail zu erhalten.
Portalbenachrichtigung: Bei der Anmeldung wird eine Benachrichtigung im Azure-Portal, im Microsoft Entra Admin Center und im Microsoft Intune Admin Center angezeigt. Die Portalbenachrichtigung verweist auf dieses Thema, um weitere Informationen zur obligatorischen MFA-Durchsetzung zu erhalten.
Microsoft 365-Nachrichtencenter: Eine Nachricht wird im Microsoft 365-Nachrichtencenter mit den gleichen Informationen wie in der E-Mail- und Dienststatusbenachrichtigung angezeigt.
Vorbereiten der Multi-Faktor-Authentifizierung
Unabhängig von den Rollen, die sie haben oder nicht haben, müssen alle Benutzenden, die auf die in Anwendungen aufgeführten Admin-Portale und Azure-Clients zugreifen, für die Verwendung von MFA eingerichtet werden. Alle Benutzenden, die auf ein Verwaltungsportal zugreifen, sollten MFA verwenden. Verwenden Sie die folgenden Ressourcen, um MFA für Ihre Benutzenden einzurichten.
- Ein Lernprogramm zum Einrichten von der Microsoft Entra-Multi-Faktor-Authentifizierung (MFA) finden Sie im Tutorial: Schützen von Benutzeranmeldeereignissen mit der Multi-Faktor-Authentifizierung von Microsoft Entra.
- Wenn Sie MFA in Ihrem Mandanten heute nicht benötigen, stehen mehrere Optionen zum Einrichten zur Verfügung (in bevorzugter Reihenfolge aufgeführt):
- Verwenden Sie Richtlinien für bedingten Zugriff. Starten Sie im Modus Nur Bericht und richten Sie Alle Benutzer ein. Konfigurieren Sie im reinen Berichtsmodus keine Ausnahmen. Diese Konfiguration spiegelt das Durchsetzungsmuster des Microsoft Entra MFA-Programms genauer wider.
- Microsoft-Verwaltungsportale (umfasst Portale im Umfang dieser Microsoft Entra MFA-Durchsetzung)
- Erfordern Sie eine mehrstufige Authentifizierung oder verwenden Sie Authentifizierungsstärken, wenn Sie eine detailliertere Kontrolle wünschen
- Wenn Sie sich beim Microsoft 365 Admin Center anmelden, verwenden Sie den MFA-Assistenten für Microsoft Entra ID.
- Wenn Sie nicht über eine Microsoft Entra ID P1- oder P2-Lizenz verfügen, können Sie Sicherheitsstandards aktivieren. Benutzer werden ggf. zur Durchführung von MFA aufgefordert. Sie können jedoch keine eigenen Regeln definieren, um das Verhalten zu steuern.
- Wenn Ihre Lizenz keinen bedingten Zugriff enthält und Sie keine Sicherheitsstandards verwenden möchten, können Sie die MFA pro Benutzer konfigurieren. Wenn Sie Benutzerinnen und Benutzer einzeln aktivieren, führen sie bei jeder Anmeldung MFA durch. Ein Authentifizierungsadministrator kann einige Ausnahmen aktivieren.
- Verwenden Sie Richtlinien für bedingten Zugriff. Starten Sie im Modus Nur Bericht und richten Sie Alle Benutzer ein. Konfigurieren Sie im reinen Berichtsmodus keine Ausnahmen. Diese Konfiguration spiegelt das Durchsetzungsmuster des Microsoft Entra MFA-Programms genauer wider.
Verwenden Sie die folgenden Ressourcen, um Benutzer zu finden, die sich mit und ohne MFA anmelden:
- Verwenden Sie die Arbeitsmappe Mehrstufige Authentifizierungslücken, um Benutzeranmeldungen zu identifizieren, die nicht durch MFA geschützt sind.
- Zum Exportieren einer Liste von Benutzenden und deren Authentifizierungsmethoden verwenden Sie PowerShell.
Wenn Sie Abfragen zum Analysieren von Benutzeranmeldungen ausführen, verwenden Sie die Anwendungs-IDs der zuvor aufgeführten Anwendungen.
Externe Authentifizierungsmethoden und Identitätsanbieter
Die Unterstützung externer MFA-Lösungen ist in der Vorschau mit externen Authentifizierungsmethoden und kann zur Erfüllung der MFA-Anforderung verwendet werden. Die Vorschau der benutzerdefinierten Steuerelemente für den älteren bedingten Zugriff erfüllt die MFA-Anforderung nicht. Sie sollten zur Vorschau der externen Authentifizierungsmethoden migrieren, um eine externe Lösung mit Microsoft Entra ID zu verwenden.
Wenn Sie einen Verbundidentitätsanbieter (Federated Identity Provider, IdP) wie Active Directory-Verbunddienste (AD FS) verwenden und Ihr MFA-Anbieter direkt in diesen Verbund-IdP integriert ist, muss der Verbund-IdP so konfiguriert werden, dass er einen MFA-Anspruch sendet.
Anfordern von mehr Zeit für die Vorbereitung der Durchsetzung
Wir verstehen, dass einige Kundinnen und Kunden möglicherweise mehr Zeit benötigen, um sich auf diese MFA-Anforderung vorzubereiten. Microsoft ermöglicht es Kunden mit komplexen Umgebungen oder technischen Hindernissen, die Durchsetzung für ihre Mandanten bis zum 15. März 2025 zu verschieben.
Zwischen dem 15. August 2024 und dem 15. Oktober 2024 können globale Administrierende das Azure-Portal aufrufen, um das Startdatum der Durchsetzung für ihren Mandanten auf den 15. März 2025 zu verschieben. Global Administrierende müssen über erweiterten Zugriff verfügen, bevor sie das Startdatum der MFA-Durchsetzung auf dieser Seite verschieben können.
Global Administrierende müssen diese Aktion für jeden Mandanten ausführen, für den sie das Startdatum der Durchsetzung verschieben möchten.
Durch die Verschiebung des Beginns der Durchsetzung gehen Sie ein zusätzliches Risiko ein, da Konten, die auf Microsoft-Dienste wie das Azure-Portal zugreifen, äußerst wertvolle Ziele für Bedrohungsakteure darstellen. Wir empfehlen allen Mandanten, MFA jetzt einzurichten, um Cloudressourcen zu sichern.
Häufig gestellte Fragen
Frage: Wenn der Mandant nur zum Testen verwendet wird, ist MFA erforderlich?
Antwort: Ja, jeder Azure-Mandant erfordert MFA, es gibt keine Ausnahmen.
Frage: Ist MFA für alle Benutzer oder nur für Administratoren obligatorisch?
Antwort: Alle Benutzer, die sich bei einer der zuvor aufgeführten Anwendungen anmelden, müssen MFA abschließen, unabhängig von allen Administratorrollen, die für sie aktiviert oder berechtigt sind, oder von allen Benutzerausschlüsse, die für sie aktiviert sind.
Frage: Muss ich MFA abschließen, wenn ich die Option zum Anmelden auswählen möchte?
Antwort: Ja, selbst wenn Sie Angemeldet bleiben auswählen, müssen Sie MFA abschließen, bevor Sie sich bei diesen Anwendungen anmelden können.
Frage: Gilt die Durchsetzung für B2B-Gastkonten?
Antwort: Ja, MFA muss entweder vom Partnerressourcenmandanten oder dem Privaten Mandanten des Benutzers eingehalten werden, wenn er ordnungsgemäß eingerichtet ist, um MFA-Ansprüche mithilfe des mandantenübergreifenden Zugriffs an den Ressourcenmandanten zu senden.
Frage: Wie können wir uns daran halten, wenn wir MFA mithilfe eines anderen Identitätsanbieters oder einer anderen MFA-Lösung durchsetzen, und wir nicht mit Microsoft Entra MFA durchsetzen?
Antwort: Die Lösung des Identitätsanbieters muss ordnungsgemäß konfiguriert werden, um den multipleauthn-Anspruch an Entra ID zu senden. Weitere Informationen finden Sie unter Referenz für externe Methodenanbieter für die mehrstufige Microsoft Entra-Authentifizierung (Vorschau).
Frage: Wird sich Phase 1 oder Phase 2 der obligatorischen MFA auf meine Fähigkeit auswirken, mit Microsoft Entra Connect oder Microsoft Entra Cloud Sync zu synchronisieren?
Antwort: Nein. Das Syncronisierungsdienstkonto ist von der obligatorischen MFA-Anforderung nicht betroffen. Nur Anwendungen, die zuvor aufgeführt wurden, erfordern MFA für die Anmeldung.
Frage: Kann ich mich dagegen entscheiden?
Es gibt keine Möglichkeit, sich dagegen zu entscheiden. Diese Sicherheitsmaßnahme ist für die gesamte Sicherheit der Azure-Plattform von entscheidender Bedeutung und wird von allen Cloud-Anbietern übernommen. Siehe zum Beispiel „Secure by Design“: AWS zur Verbesserung der MFA-Anforderungen im Jahr 2024.
Eine Option zum Verschieben des Startdatums der Durchsetzung ist für Kunden verfügbar. Zwischen dem 15. August 2024 und dem 15. Oktober 2024 können globale Administrierende das Azure-Portal aufrufen, um das Startdatum der Durchsetzung für ihren Mandanten auf den 15. März 2025 zu verschieben. Globale Administratoren müssen über erweiterte Zugriffsrechte verfügen, bevor Sie das Startdatum der MFA-Durchsetzung auf dieser Seite verschieben, und sie müssen diese Aktion für jeden Mandanten ausführen, für den sie den Starttermin der Durchsetzung verschieben möchten.
Frage: Kann ich MFA testen, bevor Azure die Richtlinie durchsetzt, um sicherzustellen, dass nichts unterbrochen wird?
Antwort: Ja, Sie können seine MFA über den manuellen Einrichtungsprozess für MFA testen. Wir empfehlen Ihnen, dies einzurichten und zu testen. Wenn Sie den bedingten Zugriff verwenden, um MFA durchzusetzen, können Sie Vorlagen für bedingten Zugriff verwenden, um Ihre Richtlinie zu testen. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung für Administratoren anfordern, die auf Microsoft-Verwaltungsportale zugreifen. Wenn Sie eine kostenlose Edition von Microsoft Entra ID ausführen, können Sie Sicherheitsstandards aktivieren.
Frage: Was passiert, wenn ich MFA bereits aktiviert habe?
Antwort: Kunden, die bereits MFA für ihre Benutzer*innen benötigen, die auf die zuvor aufgeführten Anwendungen zugreifen, sehen keine Änderung. Wenn Sie nur MFA für eine Teilmenge von Benutzern benötigen, müssen alle Benutzer, die MFA noch nicht verwenden, jetzt MFA verwenden, wenn sie sich bei den Anwendungen anmelden.
Frage: Wie kann ich die MFA-Aktivität in Microsoft Entra ID überprüfen?
Antwort: Um Details zu überprüfen, wann ein Benutzer zur Anmeldung mit MFA aufgefordert wird, verwenden Sie den Microsoft Entra-Anmeldebericht. Weitere Informationen finden Sie unter: Details zu Anmeldeereignissen für Microsoft Entra Multi-Faktor-Authentifizierung.
Frage: Was geschieht, wenn ich ein Notfall-Szenario habe?
Antwort: Wir empfehlen, diese Konten auf Passkey (FIDO2) umzustellen oder eine zertifikatsbasierte Authentifizierung für MFA zu konfigurieren. Beide Methoden erfüllen die MFA-Anforderung.
Frage: Was geschieht, wenn ich keine E-Mail zur Aktivierung der MFA erhalte, bevor sie durchgesetzt wird und dann gesperrt werde. Wie kann ich dies lösen?
Antwort: Benutzer sollten nicht gesperrt werden, aber sie erhalten möglicherweise eine Meldung, die sie auffordert, MFA zu aktivieren, sobald die Durchsetzung für ihren Mandanten gestartet wurde. Wenn der Benutzer gesperrt ist, gibt es möglicherweise andere Probleme. Weitere Informationen finden Sie unter Konto wurde gesperrt.
Nächste Schritte
Lesen Sie die folgenden Themen, um mehr über die Konfiguration und Bereitstellung von MFA zu erfahren: