Kötelező többtényezős hitelesítés tervezése az Azure-hoz és más felügyeleti portálokhoz
A Microsoftnál elkötelezettek vagyunk abban, hogy ügyfeleink számára a legmagasabb szintű biztonságot nyújtsuk. A számukra elérhető egyik leghatékonyabb biztonsági intézkedés a többtényezős hitelesítés (MFA). A Microsoft kutatásai azt mutatják, hogy az MFA a fiókok feltörése elleni támadások több mint 99,2%-át blokkolhatja.
Ezért 2024-től kezdve minden Azure-beli bejelentkezési kísérlethez kötelező MFA-t kényszerítünk ki. További részletek erről a követelményről a blogbejegyzésünkbentalálhatók. Ez a témakör ismerteti, hogy mely alkalmazásokra és fiókokra van hatással, hogyan kerül végrehajtásra a bérlők számára, valamint egyéb gyakori kérdéseket és válaszokat.
A felhasználók nem változnak, ha a szervezet már kikényszeríti számukra az MFA-t, vagy ha erősebb módszerekkel jelentkeznek be, például jelszó nélküli vagy jelszó nélküli (FIDO2). Ha ellenőrizni szeretné, hogy az MFA engedélyezve van-e, tekintse meg , hogy a felhasználók be vannak-e állítva a kötelező MFA-hoz.
A végrehajtás hatóköre
A végrehajtás hatóköre magában foglalja, hogy mely alkalmazások tervezik az MFA kikényszerítését, a hatókörön kívüli alkalmazásokat, amikor végrehajtást terveznek, és mely fiókokra vonatkozik a kötelező MFA-követelmény.
Alkalmazások
Az alábbi táblázat az Azure-hoz készült érintett alkalmazásokat, alkalmazásazonosítókat és URL-címeket sorolja fel.
Alkalmazásnév | Alkalmazásazonosító | A végrehajtás megkezdődik |
---|---|---|
Azure Portalra | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024 második fele |
Microsoft Entra Felügyeleti központ | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024 második fele |
Microsoft Intune Felügyeleti központ | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024 második fele |
Azure parancssori felület (Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | 2025 elején |
Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | 2025 elején |
Azure-mobilalkalmazás | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | 2025 elején |
Infrastruktúra kódként (IaC) eszközök | Azure CLI vagy Azure PowerShell-azonosítók használata | 2025 elején |
Az alábbi táblázat a Microsoft 365-höz készült érintett alkalmazásokat és URL-címeket sorolja fel.
Alkalmazásnév | URL-cím | A végrehajtás megkezdődik |
---|---|---|
Microsoft 365 Felügyeleti központ | https://portal.office.com/adminportal/home |
2025. február |
Microsoft 365 Felügyeleti központ | https://admin.cloud.microsoft |
2025. február |
Microsoft 365 Felügyeleti központ | https://admin.microsoft.com |
2025. február |
Számlák
Minden felhasználónak, aki a korábban felsorolt alkalmazásokba bejelentkezve végez bármilyen létrehozási, olvasási, frissítési vagy törlési (CRUD) műveletet, be kell fejeznie az MFA-t a kényszerítés megkezdésekor. A felhasználóknak nem kell MFA-t használniuk, ha más, Az Azure-ban üzemeltetett alkalmazásokhoz, webhelyekhez vagy szolgáltatásokhoz férnek hozzá. A felhasználók hitelesítési követelményeit minden korábban felsorolt alkalmazás, webhely vagy szolgáltatástulajdonos szabályozza.
A biztonsági mentési vagy vészhozzáférési fiókoknak is be kell jelentkezniük az MFA-val a kényszerítés megkezdése után. Javasoljuk, hogy frissítse ezeket a fiókokat a hozzáférési kulcs (FIDO2) használatára vagy az MFA tanúsítványalapú hitelesítésének konfigurálására. Mindkét módszer megfelel az MFA-követelménynek.
A számítási feladatok identitásait, például a felügyelt identitásokat és a szolgáltatásneveket az MFA-kényszerítés egyik fázisa sem érinti. Ha a felhasználói identitások szolgáltatásfiókként való bejelentkezésre szolgálnak az automatizálás futtatásához (beleértve a szkripteket vagy más automatizált feladatokat), ezeknek a felhasználói identitásoknak be kell jelentkeznie az MFA-val a kényszerítés megkezdése után. A felhasználói identitások automatizáláshoz nem ajánlottak. Ezeket a felhasználói identitásokat át kell telepítenie a számítási feladatok identitásaiba.
Ügyfélkönyvtárak
Az OAuth 2.0 erőforrástulajdonosi jelszó hitelesítő adatai (ROPC) jogkivonat-engedélyezési folyamata nem kompatibilis az MFA-val. Ha az MFA engedélyezve van az Entra-bérlőben, az alkalmazásokban használt ROPC-alapú API-k kivételeket vetnek ki. Útmutató a ROPC-alapú API-któl való migráláshoz Microsoft Authentication Libraries (MSAL)Útmutató a ROPC--ról való migráláshoz.
Ugyanez az általános MSAL-útmutató vonatkozik az Azure Identity-kódtárakra .NET, Java, JavaScriptés Python. Az e nyelvek kódtáraiban megadott UsernamePasswordCredential
osztály MSAL ROPC-alapú API-kat használ. A módosításokra akkor van szükség, ha az alábbi műveletek valamelyikét végzi az alkalmazásban:
-
DefaultAzureCredential
vagyEnvironmentCredential
használata a következő két környezeti változóval:AZURE_USERNAME
AZURE_PASSWORD
- A
UsernamePasswordCredential
használata
Felhasználói szolgáltatásfiókok migrálása számítási feladatok identitásaiba
Azt javasoljuk, hogy az ügyfelek felfedezzék a szolgáltatásfiókokként használt felhasználói fiókokat, és elkezdik áttelepíteni őket a számítási feladatok identitásaiba. A migráláshoz gyakran szükség van szkriptek és automatizálási folyamatok frissítésére a számítási feladatok identitásainak használatához.
Tekintse át , hogyan ellenőrizheti, hogy a felhasználók be vannak-e állítva a kötelező MFA-hoz az összes olyan felhasználói fiók azonosításához, beleértve a szolgáltatásfiókként használt felhasználói fiókokat is, amelyek bejelentkeznek az alkalmazásokba.
További információ arról, hogyan migrálhat a felhasználóalapú szolgáltatásfiókokról a számítási feladatok identitásaiba az alkalmazásokkal való hitelesítéshez:
- Jelentkezzen be az Azure-ba felügyelt identitással az Azure CLI használatával
- Bejelentkezés az Azure-ba szolgáltatásnévvel az Azure CLI használatával
- Az Azure PowerShellbe való bejelentkezés nem interaktív módon automatizálási forgatókönyvekhez tartalmaz útmutatást a felügyelt identitás- és szolgáltatásnév-használati esetekhez
Egyes ügyfelek feltételes hozzáférési szabályzatokat alkalmaznak a felhasználóalapú szolgáltatásfiókokra. Visszaigényelheti a felhasználóalapú licencet, és hozzáadhat egy számítási feladatidentitás-licencet a feltételes hozzáférés alkalmazásához a számítási feladatok identitásaihoz.
Megvalósítás
Ez az MFA-ra vonatkozó követelmény a bejelentkezéskor implementálva van a felügyeleti portálokon. A Microsoft Entra ID bejelentkezési naplói az MFA-követelmény forrásaként jelenítik meg.
A rendszergazdai portálok kötelező MFA-jának megadása nem konfigurálható. A rendszer a bérlőben konfigurált hozzáférési szabályzatoktól függetlenül implementálva van.
Ha például a szervezete úgy döntött, hogy megtartja a Microsoft biztonsági alapértelmezéseit, és jelenleg engedélyezve van a biztonsági alapértelmezés, a felhasználók nem látnak semmilyen módosítást, mivel az Azure-felügyelethez már szükség van az MFA-ra. Ha a bérlő feltételes hozzáférési szabályzatokat használ a Microsoft Entra-ban, és már rendelkezik feltételes hozzáférési szabályzattal, amelyen keresztül a felhasználók MFA-val jelentkeznek be az Azure-ba, akkor a felhasználók nem látnak változást. Hasonlóképpen minden olyan korlátozó feltételes hozzáférési szabályzatot, amely az Azure-t célozza, és erősebb hitelesítést igényel, például az adathalászatnak ellenálló MFA-t, továbbra is érvényesíteni kell. A felhasználók nem látják a módosításokat.
Végrehajtási fázisok
Az MFA érvényesítése két fázisban történik:
1. fázis: 2024 októberétől az MFA-nak be kell jelentkeznie az Azure Portalra, a Microsoft Entra felügyeleti központba és a Microsoft Intune felügyeleti központba. A kikényszerítés fokozatosan fog majd hatályba lépni az összes bérlőre világszerte. 2025 februárjától kezdve az MFA-kényszerítés fokozatosan megkezdődik a Microsoft 365 Felügyeleti központba való bejelentkezéshez. Ez a fázis nem lesz hatással más Azure-ügyfelekre, például az Azure CLI-re, az Azure PowerShellre, az Azure-mobilalkalmazásra vagy az IaC-eszközökre.
2. fázis: 2025 későbbi részében az MFA-kényszerítés fokozatosan megkezdődik az Azure CLI, az Azure PowerShell, az Azure mobilalkalmazás és az IaC-eszközök esetében. Egyes ügyfelek szolgáltatásfiókként használhatják a Microsoft Entra ID-ban található felhasználói fiókot. Javasoljuk, hogy migrálja ezeket a felhasználói szolgáltatásfiókokat, hogy biztonságossá tegye a felhőalapú szolgáltatásfiókokat számítási feladatok identitásaival.
Értesítési csatornák
A Microsoft az alábbi csatornákon értesíti az összes Microsoft Entra globális rendszergazdát:
E-mail: Az e-mail-címet konfiguráló globális rendszergazdák e-mailben értesítést kapnak a közelgő MFA-kényszerítésről és az előkészítéshez szükséges műveletekről.
Szolgáltatásállapot értesítés: A globális rendszergazdák szolgáltatásállapot-értesítést kapnak az Azure Portalon, 4V20-VX0 nyomkövetési azonosítóval. Ez az értesítés ugyanazokat az információkat tartalmazza, mint az e-mail. A globális rendszergazdák e-mailben is feliratkozhatnak a szolgáltatásállapot-értesítések fogadására.
Portálértesítés: Bejelentkezéskor megjelenik egy értesítés az Azure Portalon, a Microsoft Entra felügyeleti központban és a Microsoft Intune felügyeleti központban. A portál értesítési hivatkozásai erre a témakörre mutatnak, és további információt talál a kötelező MFA-kényszerítésről.
Microsoft 365 üzenetközpont: Megjelenik egy üzenet a Microsoft 365 üzenetközpontjában, üzenetazonosító: MC862873. Ez az üzenet ugyanazokat az információkat tartalmazza, mint az e-mail és a szolgáltatás állapotáról szóló értesítés.
A kényszerítés után megjelenik egy szalagcím a Microsoft Entra többtényezős hitelesítésében:
Külső hitelesítési módszerek és identitásszolgáltatók
A külső MFA-megoldások támogatása előzetes verzióban érhető el külső hitelesítési módszerekkel, és az MFA-követelmények teljesítésére használható. Az örökölt feltételes hozzáférés egyéni vezérlőinek előzetes verziója nem felel meg az MFA-követelménynek. A külső hitelesítési módszerek előzetes verziójára kell migrálnia, hogy külső megoldást használjon a Microsoft Entra-azonosítóval.
Ha összevont identitásszolgáltatót (idP-t) használ, például Active Directory összevonási szolgáltatások (AD FS), és az MFA-szolgáltató közvetlenül ezzel az összevont identitásszolgáltatóval van integrálva, az összevont identitásszolgáltatót úgy kell konfigurálni, hogy MFA-jogcímet küldjön. További információkért lásd: A Microsoft Entra MFAvárható bejövő állításai.
Több idő kérése a végrehajtásra való felkészüléshez
Tisztában vagyunk azzal, hogy egyes ügyfeleknek több időre lehet szükségük ahhoz, hogy felkészüljenek erre az MFA-követelményre. A Microsoft 2025. szeptember 30-ig engedélyezi az összetett környezetekkel vagy technikai akadályokkal rendelkező ügyfelek számára a bérlőkre vonatkozó kényszerítés elhalasztását.
2025. február második felétől kezdve a globális rendszergazdák megnyithatják az Azure Portal, hogy kiválaszthassák az adminisztrátori portálok 1. fázisában a bérlőjükre vonatkozó érvényesítés kezdő dátumát. A globális rendszergazdáknak hozzáférést kell emelniük, mielőtt elhalaszthatnák az MFA alkalmazásának kezdő dátumát.
A globális rendszergazdáknak minden olyan bérlőnél végre kell hajtaniuk ezt a műveletet, ahol el szeretné halasztani a végrehajtás kezdő dátumát.
A kényszerítés kezdő dátumának elhalasztásával extra kockázatot vállal, mivel az Azure Portalhoz hasonló Microsoft-szolgáltatások hozzáféréssel rendelkező fiókok rendkívül értékes célpontok a fenyegetést okozó szereplők számára. Javasoljuk, hogy most minden bérlő állítsa be az MFA-t a felhőbeli erőforrások védelme érdekében.
GYIK
Kérdés: Ha a bérlőt csak tesztelésre használják, szükség van az MFA-ra?
Válasz: Igen, minden Azure-bérlőhöz MFA szükséges, nincsenek kivételek.
Kérdés: Hogyan befolyásolja ez a követelmény a Microsoft 365 Felügyeleti központ?
Válasz: A kötelező MFA 2025 februárjától megjelenik a Microsoft 365 Felügyeleti központban. További információ a Microsoft 365 Felügyeleti központ kötelező MFA-követelményéről a Microsoft 365 Felügyeleti központ kötelező többtényezős hitelesítésének bejelentéséről szóló blogbejegyzésben.
Kérdés: Az MFA kötelező minden felhasználó vagy csak a rendszergazdák számára?
Válasz: A korábban felsorolt alkalmazások bármelyikére bejelentkező összes felhasználónak be kell fejeznie az MFA-t, függetlenül attól, hogy a rendszergazdai szerepkörök aktiválva vannak vagy jogosultak-e rájuk, vagy az általuk engedélyezett felhasználói kizárásokra.
Kérdés: Be kell fejeznem az MFA-t, ha azt választom, hogy bejelentkezve maradjak?
Válasz: Igen, még ha úgy is dönt , hogy bejelentkezik, akkor is be kell fejeznie az MFA-t, mielőtt bejelentkezhet ezekbe az alkalmazásokba.
Kérdés: A végrehajtás a B2B-vendégfiókokra is érvényes lesz?
Válasz: Igen, az MFA-t vagy a partner erőforrás-bérlőjétől, vagy a felhasználó otthoni bérlőjétől kell betartani, ha megfelelően van beállítva az MFA-jogcímek az erőforrás-bérlőnek való elküldéséhez bérlőközi hozzáféréssel.
Kérdés: Hogyan teljesíthetjük az MFA-t, ha egy másik identitásszolgáltatóval vagy MFA-megoldással kényszerítjük ki az MFA-t, és nem kényszerítjük ki a Microsoft Entra MFA-t?
Válasz: Az identitásszolgáltatói megoldást megfelelően kell konfigurálni ahhoz, hogy a multipleauthn-jogcímet elküldje a Microsoft Entra-azonosítónak. További információ: Microsoft Entra multifactor authentication external method provider reference.
Kérdés: Befolyásolja-e a kötelező MFA 1. vagy 2. fázisa a Microsoft Entra Connect vagy a Microsoft Entra Cloud Sync szinkronizálási képességét?
Válasz: Nem A szinkronizálási szolgáltatásfiókot nem érinti a kötelező MFA-követelmény. Csak a korábban felsorolt alkalmazások igényelnek MFA-t a bejelentkezéshez.
Kérdés: Le tudom-e tiltani?
Nem lehet lemondani. Ez a biztonsági mozgás kritikus fontosságú az Azure-platform minden biztonsága és biztonsága szempontjából, és a felhőgyártók között ismétlődik. Lásd például a Biztonságos tervezés: AWS című témakört , amely 2024-ben javítja az MFA követelményeit.
Az ügyfelek számára elérhető a kényszerítési kezdési dátum elhalasztásának lehetősége. 2024. augusztus 15. és 2024. október 15. között a globális rendszergazdák az Azure Portalra léphetnek, hogy 2025. március 15-re halasztsák a bérlőjükre vonatkozó kényszerítés kezdő dátumát. A globális rendszergazdáknak emelt szintű hozzáféréssel kell rendelkezniük, mielőtt elhalasztanák az MFA-kényszerítés kezdő dátumát ezen a lapon. Ezt a műveletet minden olyan bérlőnél el kell végezniük, akinek el kell halasztania.
Kérdés: Tesztelhetem az MFA-t, mielőtt az Azure kikényszeríti a szabályzatot, hogy ne legyen törés?
Válasz: Igen, az MFA manuális beállítási folyamatával tesztelheti az MFA-t . Javasoljuk, hogy ezt állítsa be és tesztelje. Ha feltételes hozzáféréssel kényszeríti az MFA-t, feltételes hozzáférési sablonokkal tesztelheti a szabályzatot. További információ: Többtényezős hitelesítés megkövetelése a Microsoft felügyeleti portálokhoz hozzáférő rendszergazdák számára. Ha a Microsoft Entra ID ingyenes kiadását futtatja, engedélyezheti a biztonsági alapértékeket.
Kérdés: Mi történik, ha már engedélyezve van az MFA?
Válasz: Azok az ügyfelek, akik már igényelnek MFA-t a korábban felsorolt alkalmazásokhoz hozzáférő felhasználóik számára, nem jelennek meg semmilyen változás. Ha csak a felhasználók egy részhalmazához van szüksége MFA-ra, akkor az MFA-t még nem használó felhasználóknak mostantól MFA-t kell használniuk az alkalmazásokba való bejelentkezéskor.
Kérdés: Hogyan tekinthetem át az MFA-tevékenységet a Microsoft Entra ID-ban?
Válasz: A Microsoft Entra bejelentkezési naplóival áttekintheti, hogy a rendszer mikor kéri a felhasználó bejelentkezését az MFA-val. További információkért tekintse meg a Microsoft Entra többtényezős hitelesítés bejelentkezési eseményeinek részleteit.
Kérdés: Mi van, ha van egy "törésüveg" forgatókönyv?
Válasz: Javasoljuk, hogy frissítse ezeket a fiókokat a hozzáférési kulcs (FIDO2) használatára vagy az MFA tanúsítványalapú hitelesítésének konfigurálására. Mindkét módszer megfelel az MFA-követelménynek.
Kérdés: Mi történik, ha nem kapok e-mailt az MFA engedélyezéséről a kényszerítés előtt, majd kizárnak. Hogyan oldhatom meg?
Válasz: A felhasználókat nem szabad kizárni, de előfordulhat, hogy kapnak egy üzenetet, amely arra kéri őket, hogy engedélyezzenek MFA-t, miután a bérlőjükre vonatkozó kényszerítés elkezdődött. Ha a felhasználó ki van zárva, más problémák is előfordulhatnak. További információ: A fiók zárolva lett.
Kapcsolódó tartalom
Az MFA konfigurálásáról és üzembe helyezéséről az alábbi témakörökben olvashat bővebben:
- Annak ellenőrzése, hogy a felhasználók be vannak-e állítva a kötelező MFA-hoz
- Oktatóanyag: Felhasználói bejelentkezési események biztonságossá tétele a Microsoft Entra többtényezős hitelesítésével
- Biztonságos bejelentkezési események a Microsoft Entra multifaktorral
- A Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése
- Adathalászatnak ellenálló MFA-módszerek
- Microsoft Entra többtényezős hitelesítés
- Hitelesítési módszerek