Megosztás a következőn keresztül:

Kötelező többtényezős hitelesítés tervezése az Azure-hoz és más felügyeleti portálokhoz

A Microsoftnál elkötelezettek vagyunk abban, hogy ügyfeleink számára a legmagasabb szintű biztonságot nyújtsuk. A számukra elérhető egyik leghatékonyabb biztonsági intézkedés a többtényezős hitelesítés (MFA). A Microsoft által végzett kutatások azt mutatják, hogy az MFA több mint 99,2% letilthatja a fiókok feltörése elleni támadásokat.

Ezért 2024-től kezdve minden Azure-beli bejelentkezési kísérlethez kötelező MFA-t kényszerítünk ki. A követelménysel kapcsolatos további háttérért tekintse meg az Azure-beli kötelező többtényezős hitelesítésről szóló blogbejegyzésünket: 2. fázis 2025 októberétől, és a kötelező többtényezős hitelesítés bejelentése az Azure-bejelentkezéshez. Ez a témakör ismerteti, hogy mely alkalmazásokra és fiókokra van hatással, hogyan kerül végrehajtásra a bérlők számára, valamint egyéb gyakori kérdéseket és válaszokat.

Nincs változás a felhasználók számára, ha a szervezet már kikényszeríti számukra az MFA-t, vagy ha erősebb módszerekkel jelentkeznek be, például jelszó nélküli vagy jelszókulcs (FIDO2). Ha ellenőrizni szeretné, hogy az MFA engedélyezve van-e, tekintse meg, hogy a felhasználók be vannak-e állítva a kötelező MFA-hoz.

A végrehajtás hatóköre

A végrehajtás hatóköre magában foglalja a végrehajtás tervezett végrehajtását, az MFA kikényszerítését, a hatókörön kívüli alkalmazásokat, valamint azokat a fiókokat, amelyek kötelező MFA-követelményt tartalmaznak.

Végrehajtási fázisok

Note

A 2. fázis végrehajtási dátuma 2025. október 1-ére módosult.

Az MFA alkalmazásokra történő bevezetése két fázisban történik.

1. fázisú alkalmazások

2024 októberétől kezdve az Azure Portalra, a Microsoft Entra felügyeleti központba és a Microsoft Intune felügyeleti központba bejelentkező fiókokhoz MFA szükséges a létrehozási, olvasási, frissítési vagy törlési (CRUD) műveletek végrehajtásához. A kikényszerítés fokozatosan fog majd hatályba lépni az összes bérlőre világszerte. 2025 februárjától kezdve az MFA-kényszerítés fokozatosan megkezdődik a Microsoft 365 Felügyeleti központba való bejelentkezéshez. Az 1. fázis nem lesz hatással más Azure-ügyfelekre, például az Azure CLI-re, az Azure PowerShellre, az Azure-mobilalkalmazásra vagy az IaC-eszközökre.

2. fázisú alkalmazások

2025. október 1-jétől az MFA-kényszerítés fokozatosan megkezdődik az Azure CLI-be, az Azure PowerShellbe, az Azure-mobilalkalmazásba, az IaC-eszközökbe és a REST API-végpontokba bejelentkező fiókok esetében a létrehozási, frissítési vagy törlési műveletek végrehajtásához. Az olvasási műveletekhez nincs szükség MFA-ra.

Egyes ügyfelek szolgáltatásfiókként használhatják a Microsoft Entra ID-ban található felhasználói fiókot. Javasoljuk, hogy migrálja ezeket a felhasználói szolgáltatásfiókokat, hogy biztonságossá tegye a felhőalapú szolgáltatásfiókokatszámítási feladatok identitásával.

Alkalmazásazonosítók és URL-címek

Az alábbi táblázat az Azure-hoz készült érintett alkalmazásokat, alkalmazásazonosítókat és URL-címeket sorolja fel.

Alkalmazás neve alkalmazásazonosító A végrehajtás megkezdődik
Azure Portál c44b4083-3bb0-49c1-b47d-974e53cbdf3c 2024 második fele
Microsoft Entra Felügyeleti központ c44b4083-3bb0-49c1-b47d-974e53cbdf3c 2024 második fele
Microsoft Intune Felügyeleti központ c44b4083-3bb0-49c1-b47d-974e53cbdf3c 2024 második fele
Azure parancssori felület (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 2025. október 1.
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 2025. október 1.
Azure-mobilalkalmazás 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa 2025. október 1.
Infrastruktúra mint kód (IaC) eszközök Azure CLI vagy Azure PowerShell-azonosítók használata 2025. október 1.
REST API (vezérlősík) N/A 2025. október 1.
Azure SDK N/A 2025. október 1.

Az alábbi táblázat a Microsoft 365-höz készült érintett alkalmazásokat és URL-címeket sorolja fel.

Alkalmazás neve URL A végrehajtás megkezdődik
Microsoft 365 Felügyeleti központ https://portal.office.com/adminportal/home 2025. február
Microsoft 365 Felügyeleti központ https://admin.cloud.microsoft 2025. február
Microsoft 365 Felügyeleti központ https://admin.microsoft.com 2025. február

Accounts

Az alkalmazások szakaszban idézett műveletek végrehajtására bejelentkező összes fióknak be kell fejeznie az MFA-t a végrehajtás megkezdésekor. A felhasználóknak nem kell MFA-t használniuk, ha más, Az Azure-ban üzemeltetett alkalmazásokhoz, webhelyekhez vagy szolgáltatásokhoz férnek hozzá. A felhasználók hitelesítési követelményeit minden korábban felsorolt alkalmazás, webhely vagy szolgáltatástulajdonos szabályozza.

A biztonsági mentési vagy vészhozzáférési fiókoknak is be kell jelentkezniük az MFA-val a kényszerítés megkezdése után. Javasoljuk, hogy frissítse ezeket a fiókokat a hozzáférési kulcs (FIDO2) használatára vagy az MFA tanúsítványalapú hitelesítésének konfigurálására. Mindkét módszer megfelel az MFA-követelménynek.

A számítási feladatok identitásait, például a felügyelt identitásokat és a szolgáltatásneveket az MFA-kényszerítés egyik fázisa sem érinti. Ha a felhasználói identitások szolgáltatásfiókként való bejelentkezésre szolgálnak az automatizálás futtatásához (beleértve a szkripteket vagy más automatizált feladatokat), ezeknek a felhasználói identitásoknak be kell jelentkeznie az MFA-val a kényszerítés megkezdése után. A felhasználói identitások automatizáláshoz nem ajánlottak. Ezeket a felhasználói identitásokat át kell telepítenie a számítási feladatok identitásaiba.

Ügyfélkönyvtárak

Az OAuth 2.0 erőforrástulajdonosi jelszó hitelesítő adatai (ROPC) jogkivonat-engedélyezési folyamata nem kompatibilis az MFA-val. Miután az MFA engedélyezve van a Microsoft Entra-bérlőben, az alkalmazásokban használt ROPC-alapú API-k kivételeket vetnek ki. További információért arról, hogyan lehet migrálni a ROPC-alapú API-król a Microsoft Authentication Libraries (MSAL) keretein belül, lásd: Hogyan migrálhat a ROPC-tól. A nyelvspecifikus MSAL-útmutatásért tekintse meg az alábbi lapokat.

Ha a Microsoft.Identity.Client csomagot és az alábbi API-k egyikét használja az alkalmazásban, módosításokra van szükség. A nyilvános ügyfél API elavult a4.73.1-es kiadástól:

Ugyanez az általános MSAL-útmutató vonatkozik az Azure Identity-kódtárakra is. Az ezekben a kódtárakban megadott UsernamePasswordCredential osztály MSAL ROPC-alapú API-kat használ. A nyelvspecifikus útmutatásért tekintse meg az alábbi lapokat.

Ha az Azure.Identity-csomagot használja, és az alábbi műveletek egyikét hajtja végre az alkalmazásban, módosításokra van szükség:

Felhasználó-alapú szolgáltatásfiókok migrálása munkaterhelési azonosítókra

Azt javasoljuk, hogy az ügyfelek azonosítsák a szolgáltatásfiókként használt felhasználói fiókokat, és kezdjék el migrálni őket a munkaterhelési identitásokra. A migráláshoz gyakran szükség van szkriptek és automatizálási folyamatok frissítésére a számítási feladatok identitásainak használatához.

Tekintse át , hogyan ellenőrizheti, hogy a felhasználók be vannak-e állítva a kötelező MFA-hoz az összes olyan felhasználói fiók azonosításához, beleértve a szolgáltatásfiókként használt felhasználói fiókokat is, amelyek bejelentkeznek az alkalmazásokba.

További információért arról, hogyan migrálhat a felhasználóalapú szolgáltatási fiókokról a munkamenet identitásokra az alkalmazások hitelesítéséhez, lásd:

Egyes ügyfelek feltételes hozzáférési szabályzatokat alkalmaznak a felhasználóalapú szolgáltatásfiókokra. Visszaigényelheti a felhasználóalapú licencet, és hozzáadhat egy számítási feladatidentitás-licencet a feltételes hozzáférés alkalmazásához a számítási feladatok identitásaihoz.

Összevont identitásszolgáltató áttelepítése külső hitelesítési módszerekre

A külső MFA-megoldások támogatása előzetes verzióban érhető el külső hitelesítési módszerekkel, és az MFA-követelmények teljesítésére használható. Az örökölt feltételes hozzáférés egyéni vezérlőinek előzetes verziója nem felel meg az MFA-követelménynek. A külső hitelesítési módszerek előzetes verziójára kell migrálnia, hogy külső megoldást használjon a Microsoft Entra-azonosítóval.

Ha federált identitásszolgáltatót (IdP-t) használ, például Active Directory Federation Services-t (AD FS-t), és az MFA-szolgáltató közvetlenül ezzel a federált IdP-vel van integrálva, a federált IdP-t úgy kell konfigurálni, hogy MFA-igényt küldjön. További információ: A Microsoft Entra MFA várható bejövő állításai.

Felkészülés az MFA kötelező érvényesítésére

Az MFA-kényszerítés előkészítéséhez konfiguráljon egy feltételes hozzáférési szabályzatot , amely megköveteli, hogy a felhasználók jelentkezzenek be az MFA-val. Ha kivételeket vagy kizárásokat konfigurált a szabályzatban, azok már nem érvényesek. Ha szigorúbb feltételes hozzáférési szabályzatokkal rendelkezik, amelyek az Azure-t célják, és erősebb hitelesítést igényelnek, például az adathalászatnak ellenálló MFA-t, azok továbbra is érvényben maradnak.

A feltételes hozzáféréshez P1 vagy P2 Microsoft Entra-azonosítójú licenc szükséges. Ha nem tudja használni a feltételes hozzáférést, engedélyezze a biztonsági beállításokat.

Az MFA önerősítését az Azure Policy beépített definícióinak használatával végezheti el. Ha többet szeretne megtudni, és lépésenkénti áttekintést szeretne követni a szabályzat-hozzárendelések környezetbeli alkalmazásához, tekintse meg az oktatóanyagot: MFA önérvényesítés alkalmazása az Azure Policy használatával.

A legjobb kompatibilitás érdekében győződjön meg arról, hogy a bérlő felhasználói az Azure CLI 2.76-os és az Azure PowerShell 14.3-as vagy újabb verzióját használják. Ellenkező esetben a következő témakörökben ismertetett hibaüzenetek várhatók:

Note

Azok a felhasználók, akik MFA nélkül jelentkeznek be, használhatnak 2. fázisú alkalmazást. Ha azonban megpróbálnak létrehozni, frissíteni vagy törölni egy erőforrást, az alkalmazás hibát ad vissza, amely szerint be kell jelentkezniük az MFA-val és egy jogcímekkel kapcsolatos kihívással. Egyes ügyfelek a jogcímekkel kapcsolatos kihívással kérik a felhasználót, hogy lépjen fel és hajtsa végre az MFA-t. Más ügyfelek csak MFA-kérés nélkül adják vissza a hibát. A feltételes hozzáférési szabályzatok vagy biztonsági alapértékek használata javasolt, hogy a felhasználók a hiba észlelése előtt segítsenek kielégíteni az MFA-t.

Több idő kérése az 1. fázisú MFA-kényszerítéshez való felkészüléshez

Tisztában vagyunk azzal, hogy egyes ügyfeleknek több időre lehet szükségük ahhoz, hogy felkészüljenek erre az MFA-követelményre. A Microsoft 2025. szeptember 30-ig lehetővé teszi az összetett környezetekkel vagy technikai akadályokkal rendelkező ügyfelek számára az 1. fázis kikényszerítésének elhalasztását a bérlőik számára.

Minden olyan bérlő esetében, ahol el szeretnék halasztani a végrehajtás kezdő dátumát, a globális rendszergazda a https://aka.ms/managemfaforazure lehetőségnél választhatja ki a kezdési dátumot.

Caution

A kényszerítés kezdő dátumának elhalasztásával extra kockázatot vállal, mivel az Azure Portalhoz hasonló Microsoft-szolgáltatások hozzáféréssel rendelkező fiókok rendkívül értékes célpontok a fenyegetést okozó szereplők számára. Javasoljuk, hogy most minden bérlő állítsa be az MFA-t a felhőbeli erőforrások védelme érdekében.

Több idő kérése a 2. fázis MFA-kényszerítésére való felkészüléshez

A Microsoft lehetővé teszi, hogy az összetett környezetekkel vagy technikai akadályokkal rendelkező ügyfelek 2026. július 1-ig elhalaszthassák a 2. fázis kikényszerítését a bérlőik számára. Több időt kérhet a 2. fázisÚ MFA-kényszerítés előkészítésére a következő helyen https://aka.ms/postponePhase2MFA: . Válasszon másik kezdési dátumot, és kattintson az Alkalmaz gombra.

Note

Ha elhalasztotta az 1. fázis kezdetét, a 2. fázis kezdete is ugyanarra a dátumra lesz elhalasztva. A 2. fázishoz megadhat egy későbbi kezdési dátumot.

Képernyőkép a második fázis kötelező MFA-jának elhalasztásáról.

Kötelező MFA-kényszerítés megerősítése

Kényszerítés után egy banner jelenik meg az Azure Portalon.

Képernyőkép a Microsoft Entra többtényezős hitelesítés reklámszalagjáról, amely azt mutatja, hogy a kötelező MFA érvényesítve van.

A Microsoft Entra ID bejelentkezési naplói az MFA-követelmény forrásaként az MFA-t kikényszerítő alkalmazást jelenítik meg.

FAQs

Kérdés: Ha a bérlőt csak tesztelésre használják, szükség van az MFA-ra?

Válasz: Igen, minden Azure-bérlőhöz MFA szükséges, a tesztkörnyezetek kivétel nélkül.

Kérdés: Hogyan befolyásolja ez a követelmény a Microsoft 365 Felügyeleti központot?

Válasz: A kötelező MFA 2025 februárjától kezdve megjelenik a Microsoft 365 Felügyeleti központban. A Microsoft 365 felügyeleti központ kötelező MFA-követelményéről a Microsoft 365 Felügyeleti központ kötelező többtényezős hitelesítésének bejelentése című blogbejegyzésben talál további információt.

Kérdés: Az MFA kötelező minden felhasználó vagy csak a rendszergazdák számára?

Válasz: A korábban felsorolt alkalmazások bármelyikére bejelentkező összes felhasználónak be kell fejeznie az MFA-t, függetlenül attól, hogy a rendszergazdai szerepkörök aktiválva vannak vagy jogosultak-e rájuk, vagy az általuk engedélyezett felhasználói kizárásokra .

Kérdés: Be kell fejeznem az MFA-t, ha a bejelentkezést választom?

Válasz: Igen, még ha úgy is dönt, hogy bejelentkezik, akkor is be kell fejeznie az MFA-t, mielőtt bejelentkezhet ezekbe az alkalmazásokba.

Kérdés: A végrehajtás a B2B-vendégfiókokra vonatkozik?

Válasz: Igen, az MFA-t be kell tartani vagy a partner erőforrás-környezetéből, vagy a felhasználó saját környezetéből, ha az MFA követelések környezetközi hozzáféréssel megfelelően be vannak állítva az erőforrás-környezethez való továbbításra.

Kérdés: Vonatkozik-e a végrehajtás az Azure for US Governmentre vagy az Azure szuverén felhőkre?

Válasz: A Microsoft csak a nyilvános Azure-felhőben kényszeríti ki a kötelező MFA-t. A Microsoft jelenleg nem kényszeríti ki az MFA-t az Azure-ban az EGYESÜLT Államok kormánya vagy más független Azure-felhők esetében.

Kérdés: Hogyan teljesíthetjük az MFA-t, ha egy másik identitásszolgáltatóval vagy MFA-megoldással kényszerítjük ki az MFA-t, és nem kényszerítjük ki a Microsoft Entra MFA-t?

Válasz: A külső MFA közvetlenül integrálható a Microsoft Entra-azonosítóval. További információért lásd: Microsoft Entra többfaktoros hitelesítés külső módszerszolgáltató hivatkozása. A Microsoft Entra ID opcionálisan konfigurálható összevont identitásszolgáltatóval. Ha igen, az identitásszolgáltatói megoldást megfelelően kell konfigurálni ahhoz, hogy a multipleauthn-jogcímet elküldje a Microsoft Entra-azonosítónak. További információért lásd: Hogyan lehet kielégíteni a Microsoft Entra ID többtényezős hitelesítési (MFA) követelményeit egy összevont identitásszolgáltatótól származó MFA-jogcímekkel.

Kérdés: Befolyásolja-e a kötelező MFA a Microsoft Entra Connect vagy a Microsoft Entra Cloud Sync szinkronizálási képességét?

Válasz: Nem. A szinkronizálási szolgáltatásfiókot nem érinti a kötelező MFA-követelmény. Csak a korábban felsorolt alkalmazások igényelnek MFA-t a bejelentkezéshez.

Kérdés: Le tudom-e tiltani?

Válasz: Nem lehet lemondani. Ez a biztonsági mozgás kritikus fontosságú az Azure-platform biztonsága és biztonsága szempontjából, és a felhőgyártók között ismétlődik. Lásd például a Biztonságos tervezés: AWS című témakört, amely 2024-ben javítja az MFA követelményeit.

Az ügyfelek számára elérhető a kényszerítési kezdési dátum elhalasztásának lehetősége. A globális rendszergazdák megnyithatják az Azure Portalt , hogy elhalaszthassák a bérlőjükre vonatkozó kényszerítés kezdő dátumát. A globális rendszergazdáknak emelt szintű hozzáféréssel kell rendelkezniük, mielőtt elhalasztanák az MFA-kényszerítés kezdő dátumát ezen a lapon. Ezt a műveletet minden olyan bérlőnél el kell végezniük, akinek el kell halasztania.

Kérdés: Tesztelhetem az MFA-t, mielőtt az Azure kikényszeríti a szabályzatot, hogy ne legyen törés?

Válasz: Igen, az MFA manuális beállítási folyamatával tesztelheti az MFA-t . Javasoljuk, hogy ezt állítsa be és tesztelje. Ha feltételes hozzáféréssel kényszeríti az MFA-t, feltételes hozzáférési sablonokkal tesztelheti a szabályzatot. További információ: Többtényezős hitelesítés megkövetelése a Microsoft felügyeleti portálokhoz hozzáférő rendszergazdák számára. Ha a Microsoft Entra ID ingyenes kiadását futtatja, engedélyezheti a biztonsági alapértékeket.

Kérdés: Mi történik, ha már engedélyezve van az MFA?

Válasz: Azok az ügyfelek, akik már igényelnek MFA-t a korábban felsorolt alkalmazásokhoz hozzáférő felhasználóik számára, nem tapasztalnak semmilyen változást. Ha csak a felhasználók egy részhalmazához van szüksége MFA-ra, akkor az MFA-t még nem használó felhasználóknak mostantól MFA-t kell használniuk az alkalmazásokba való bejelentkezéskor.

Kérdés: Hogyan tekinthetem át az MFA-tevékenységet a Microsoft Entra ID-ban?

Válasz: A Microsoft Entra bejelentkezési naplóival áttekintheti, hogy a rendszer mikor kéri a felhasználótól a bejelentkezést az MFA-val. További információkért tekintse meg a Microsoft Entra többtényezős hitelesítés bejelentkezési eseményeinek részleteit.

Kérdés: Mi van, ha van egy "törésüveg" forgatókönyv?

Válasz: Javasoljuk, hogy frissítse ezeket a fiókokat a hozzáférési kulcs (FIDO2) használatára vagy az MFA tanúsítványalapú hitelesítésének konfigurálására. Mindkét módszer megfelel az MFA-követelménynek.

Kérdés: Mi történik, ha nem kapok e-mailt az MFA engedélyezéséről a kényszerítés előtt, majd kizárnak. Hogyan oldhatom meg?

Válasz: A felhasználókat nem szabad kizárni, de előfordulhat, hogy kapnak egy üzenetet, amely arra kéri őket, hogy engedélyezzenek MFA-t, miután a bérlőjükre vonatkozó kényszerítés elkezdődött. Ha a felhasználó ki van zárva, más problémák is előfordulhatnak. További információ: A fiók zárolva lett.

Kapcsolódó tartalom

Az MFA konfigurálásáról és üzembe helyezéséről az alábbi témakörökben olvashat bővebben:

  • Last updated on