Planning voor verplichte meervoudige verificatie voor Azure- en andere beheerportals
Bij Microsoft streven we ernaar om onze klanten het hoogste beveiligingsniveau te bieden. Een van de meest effectieve beveiligingsmaatregelen die voor hen beschikbaar zijn, is meervoudige verificatie (MFA). Onderzoek van Microsoft laat zien dat MFA meer dan 99,2% van de aanvallen met inbreuk op accounts kan blokkeren.
Daarom wordt vanaf 2024 verplichte meervoudige verificatie (MFA) afgedwongen voor alle aanmeldingspogingen van Azure. Bekijk onze blogpost voor meer achtergrondinformatie over deze vereiste. In dit onderwerp wordt beschreven welke toepassingen worden beïnvloed en hoe u zich voorbereidt op verplichte MFA.
Bereik van afdwinging
Het bereik van afdwinging omvat welke toepassingen MFA willen afdwingen, wanneer afdwinging is gepland en welke accounts een verplichte MFA-vereiste hebben.
Toepassingen
Toepassingsnaam | App-id | Afdwingingsfase |
---|---|---|
Azure Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Tweede helft van 2024 |
Microsoft Entra-beheercentrum | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Tweede helft van 2024 |
Microsoft Intune-beheercentrum | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Tweede helft van 2024 |
Azure-opdrachtregelinterface (Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | Begin 2025 |
Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | Begin 2025 |
Mobiele Azure-app | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | Begin 2025 |
Hulpprogramma's voor Infrastructure as Code (IaC) | Azure CLI- of Azure PowerShell-id's gebruiken | Begin 2025 |
Rekeningen
Voor alle gebruikers die zich aanmelden bij de toepassingen die eerder zijn vermeld om een CRUD-bewerking (Create, Read, Update of Delete) uit te voeren, is MFA vereist wanneer de afdwinging wordt gestart. Eindgebruikers die toegang hebben tot toepassingen, websites of services die worden gehost in Azure, maar zich niet aanmelden bij de vermelde toepassingen, zijn niet vereist voor het gebruik van MFA. De verificatievereisten voor eindgebruikers worden beheerd door de toepassing, website of service-eigenaar.
Break glass- of noodtoegangsaccounts zijn ook vereist om u aan te melden met MFA zodra de afdwinging is gestart. U wordt aangeraden deze accounts bij te werken voor het gebruik van een wachtwoordsleutel (FIDO2) of om verificatie op basis van certificaten voor MFA te configureren. Beide methoden voldoen aan de MFA-vereiste.
Workloadidentiteiten, zoals beheerde identiteiten en service-principals, worden niet beïnvloed door beide fasen van deze Azure MFA-afdwinging. Als gebruikersidentiteiten worden gebruikt om zich aan te melden als een serviceaccount om automatisering uit te voeren (inclusief scripts of andere geautomatiseerde taken), moeten deze gebruikersidentiteiten zich aanmelden met MFA zodra de afdwinging is gestart. Gebruikersidentiteiten worden niet aanbevolen voor automatisering. U moet deze gebruikersidentiteiten migreren naar workloadidentiteiten.
Fooi
We raden klanten aan om momenteel gebruikersaccounts te gebruiken als serviceaccounts het proces van detectie en migratie naar workloadidentiteiten starten. Dit vereist vaak het bijwerken van scripts en automatiseringsprocessen voor het gebruik van workloadidentiteiten.
Raadpleeg Voorbereiden voor meervoudige verificatie om alle gebruikersaccounts te identificeren (inclusief gebruikersaccounts die worden gebruikt als serviceaccounts) die zich aanmelden bij de fase 2-toepassingen.
Zie voor hulp bij het migreren van verificatie met deze toepassingen van serviceaccounts op basis van gebruikers naar workloadidentiteiten:
- Aanmelden bij Azure met een beheerde identiteit met behulp van de Azure CLI
- Aanmelden bij Azure met een service-principal met behulp van de Azure CLI
- Meld u niet interactief aan bij Azure PowerShell voor automatiseringsscenario's (bevat richtlijnen voor gebruiksscenario's voor beheerde identiteiten en service-principals)
Klanten die beleid voor voorwaardelijke toegang toepassen op de serviceaccounts op basis van gebruikers, kunnen deze licentie op basis van gebruikers vrijmaken en een licentie voor workloadidentiteiten toepassen om voorwaardelijke toegang toe te passen op workloadidentiteiten.
Implementatie
Deze vereiste voor MFA bij het aanmelden is geïmplementeerd voor beheerportals. Aanmeldingslogboeken van Microsoft Entra ID worden weergegeven als de bron van de MFA-vereiste.
Deze vereiste wordt geïmplementeerd boven op elk toegangsbeleid dat u in uw tenant hebt geconfigureerd. Als uw organisatie er bijvoorbeeld voor kiest om de standaardinstellingen voor beveiliging van Microsoft te behouden en u momenteel de standaardinstellingen voor beveiliging hebt ingeschakeld, zien uw gebruikers geen wijzigingen omdat MFA al is vereist voor Azure-beheer. Als uw tenant gebruikmaakt van beleid voor voorwaardelijke toegang in Microsoft Entra en u al een beleid voor voorwaardelijke toegang hebt waarmee gebruikers zich aanmelden bij Azure met MFA, zien uw gebruikers geen wijziging. Op dezelfde manier worden beperkende beleidsregels voor voorwaardelijke toegang die gericht zijn op Azure en sterkere verificatie vereisen, zoals phishingbestendige MFA, nog steeds afgedwongen. Gebruikers zien geen wijzigingen.
Afdwingingsfasen
De afdwinging van MFA wordt in twee fasen uitgerold:
Fase 1: Vanaf de tweede helft van 2024 moet MFA zich aanmelden bij de Azure-portal, het Microsoft Entra-beheercentrum en het Microsoft Intune-beheercentrum. De afdwinging wordt geleidelijk uitgerold naar alle tenants wereldwijd. Deze fase heeft geen invloed op andere Azure-clients, zoals Azure CLI, Azure PowerShell, mobiele Azure-app of IaC-hulpprogramma's.
Fase 2: Vanaf begin 2025 begint MFA-afdwinging geleidelijk voor aanmelding bij Azure CLI, Azure PowerShell, mobiele Azure-app en IaC-hulpprogramma's. Sommige klanten kunnen een gebruikersaccount gebruiken in Microsoft Entra ID als een serviceaccount. Het is raadzaam om deze op gebruikers gebaseerde serviceaccounts te migreren om cloudserviceaccounts met workloadidentiteiten te beveiligen.
Meldingskanalen
Microsoft informeert alle globale beheerders van Microsoft Entra via de volgende kanalen:
E-mail: Globale beheerders die een e-mailadres hebben geconfigureerd, worden per e-mail geïnformeerd over de aanstaande MFA-afdwinging en de acties die moeten worden voorbereid.
Servicestatus melding: globale beheerders ontvangen een servicestatusmelding via Azure Portal, met de tracerings-id van 4V20-VX0. Deze melding bevat dezelfde informatie als het e-mailbericht. Globale beheerders kunnen zich ook abonneren op het ontvangen van servicestatusmeldingen via e-mail.
Portalmelding: er wordt een melding weergegeven in de Azure-portal, het Microsoft Entra-beheercentrum en het Microsoft Intune-beheercentrum wanneer ze zich aanmelden. De portalmelding is gekoppeld aan dit onderwerp voor meer informatie over de verplichte MFA-afdwinging.
Microsoft 365-berichtencentrum: er wordt een bericht weergegeven in het Microsoft 365-berichtencentrum met dezelfde informatie als de e-mail- en servicestatusmelding.
Voorbereidingen voor meervoudige verificatie
Ongeacht de rollen die ze hebben of niet hebben, moeten alle gebruikers die toegang hebben tot de beheerportals en Azure-clients die worden vermeld in toepassingen , worden ingesteld voor het gebruik van MFA. Alle gebruikers die toegang hebben tot een beheerportal, moeten MFA gebruiken. Gebruik de volgende bronnen om MFA in te stellen voor uw gebruikers.
- Voor een zelfstudie over het instellen van Microsoft Entra MFA raadpleegt u zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Microsoft Entra-meervoudige verificatie.
- Als u momenteel geen MFA in uw tenant nodig hebt, zijn er verschillende opties beschikbaar om deze in te stellen (vermeld in de voorkeursvolgorde):
- Gebruik beleid voor voorwaardelijke toegang . Start in de modus alleen voor rapporten en richt u op alle gebruikers. Configureer geen uitzonderingen in de modus alleen voor rapporten. Deze configuratie weerspiegelt het afdwingingspatroon van het Microsoft Entra MFA-programma.
- Microsoft-beheerportals (inclusief portals binnen het bereik van deze Microsoft Entra MFA-afdwinging)
- Meervoudige verificatie vereisen of als u meer gedetailleerde controle wilt, gebruikt u verificatiesterkten
- Als u zich aanmeldt bij de Microsoft 365-beheercentrum, gebruikt u de MFA-wizard voor Microsoft Entra-id.
- Als u geen Licentie voor Microsoft Entra ID P1 of P2 hebt, kunt u de standaardinstellingen voor beveiliging inschakelen. Gebruikers worden indien nodig om MFA gevraagd, maar u kunt uw eigen regels niet definiëren om het gedrag te beheren.
- Als uw licentie geen voorwaardelijke toegang bevat en u geen standaardinstellingen voor beveiliging wilt gebruiken, kunt u MFA per gebruiker configureren. Wanneer u gebruikers afzonderlijk inschakelt, voeren ze MFA uit telkens wanneer ze zich aanmelden. Een verificatiebeheerder kan enkele uitzonderingen inschakelen.
- Gebruik beleid voor voorwaardelijke toegang . Start in de modus alleen voor rapporten en richt u op alle gebruikers. Configureer geen uitzonderingen in de modus alleen voor rapporten. Deze configuratie weerspiegelt het afdwingingspatroon van het Microsoft Entra MFA-programma.
Gebruik de volgende bronnen om gebruikers te vinden die zich aanmelden met en zonder MFA:
- Gebruik de werkmap Multifactor Authentication Gaps om aanmeldingen van gebruikers te identificeren die niet worden beveiligd door MFA.
- Als u een lijst met gebruikers en hun verificatiemethoden wilt exporteren, gebruikt u PowerShell.
Als u query's uitvoert om aanmeldingen van gebruikers te analyseren, gebruikt u de toepassings-id's van de eerder vermelde toepassingen .
Externe verificatiemethoden en id-providers
Ondersteuning voor externe MFA-oplossingen is in preview met externe verificatiemethoden en kan worden gebruikt om te voldoen aan de MFA-vereiste. De preview van aangepaste besturingselementen voor verouderde voorwaardelijke toegang voldoet niet aan de MFA-vereiste. U moet migreren naar de preview-versie van externe verificatiemethoden om een externe oplossing met Microsoft Entra-id te gebruiken.
Als u een federatieve id-provider (IdP) gebruikt, zoals Active Directory Federation Services, en uw MFA-provider rechtstreeks is geïntegreerd met deze federatieve IdP, moet de federatieve IdP worden geconfigureerd om een MFA-claim te verzenden.
Meer tijd aanvragen om zich voor te bereiden op afdwinging
We begrijpen dat sommige klanten meer tijd nodig hebben om zich voor te bereiden op deze MFA-vereiste. Microsoft staat klanten met complexe omgevingen of technische barrières toe om de handhaving van hun tenants uit te stellen tot 15 maart 2025.
Tussen 15 augustus 2024 en 15 oktober 2024 kunnen globale beheerders naar Azure Portal gaan om de begindatum van afdwinging voor hun tenant uit te stellen tot 15 maart 2025. Globale beheerders moeten verhoogde toegang hebben voordat de begindatum van MFA-afdwinging op deze pagina wordt uitgesteld.
Globale beheerders moeten deze actie uitvoeren voor elke tenant waarvoor ze de begindatum van afdwinging willen uitstellen.
Door de begindatum van afdwinging uit te stellen, neemt u extra risico omdat accounts die toegang hebben tot Microsoft-services, zoals Azure Portal, zeer waardevolle doelen zijn voor bedreigingsactoren. We raden alle tenants aan om MFA nu in te stellen om cloudresources te beveiligen.
Veelgestelde vragen
Vraag: Als de tenant alleen wordt gebruikt voor testen, is MFA vereist?
Antwoord: Ja, voor elke Azure-tenant is MFA vereist. Er zijn geen uitzonderingen.
Vraag: Is MFA verplicht voor alle gebruikers of alleen beheerders?
Antwoord: Alle gebruikers die zich aanmelden bij een van de eerder vermelde toepassingen , moeten MFA voltooien, ongeacht eventuele beheerdersrollen die zijn geactiveerd of in aanmerking komen voor hen, of gebruikersuitsluitingen die voor hen zijn ingeschakeld.
Vraag: Moet ik MFA voltooien als ik de optie kies om aangemeld te blijven?
Antwoord: Ja, zelfs als u Aangemeld blijven kiest, moet u MFA voltooien voordat u zich kunt aanmelden bij deze toepassingen.
Vraag: Is de afdwinging van toepassing op B2B-gastaccounts?
Antwoord: Ja, MFA moet worden nageleefd vanuit de partnerresourcetenant of de thuistenant van de gebruiker als deze juist is ingesteld om MFA-claims naar de resourcetenant te verzenden met behulp van toegang tussen tenants.
Vraag: Hoe kunnen we voldoen als we MFA afdwingen met behulp van een andere id-provider of MFA-oplossing, en we niet afdwingen met Behulp van Microsoft Entra MFA?
Antwoord: De id-provideroplossing moet correct worden geconfigureerd om de claim multipleauthn naar Entra-id te verzenden. Zie de naslaginformatie voor de externe provider van microsoft Entra-verificatie voor meerdere methoden voor meer informatie.
Vraag: Heeft fase 1 of fase 2 van verplichte MFA invloed op mijn mogelijkheid om te synchroniseren met Microsoft Entra Connect of Microsoft Entra Cloud Sync?
Antwoord: Nee. Het synchronisatieserviceaccount wordt niet beïnvloed door de MFA-vereiste voor manadatory. Alleen toepassingen die eerder worden vermeld, vereisen MFA voor aanmelding.
Vraag: Kan ik me afmelden?
U kunt zich niet afmelden. Deze beveiligingsbeweging is essentieel voor alle veiligheid en beveiliging van het Azure-platform en wordt herhaald door cloudleveranciers. Zie bijvoorbeeld Secure by Design: AWS om MFA-vereisten in 2024 te verbeteren.
Er is een optie om de begindatum van afdwinging uit te stellen voor klanten. Tussen 15 augustus 2024 en 15 oktober 2024 kunnen globale beheerders naar Azure Portal gaan om de begindatum van afdwinging voor hun tenant uit te stellen tot 15 maart 2025. Globale beheerders moeten verhoogde toegang hebben voordat de begindatum van MFA-afdwinging op deze pagina wordt uitgesteld en ze moeten deze actie uitvoeren voor elke tenant waarvoor ze de begindatum van afdwinging willen uitstellen.
Vraag: Kan ik MFA testen voordat Azure het beleid afdwingt om ervoor te zorgen dat er niets wordt verbroken?
Antwoord: Ja, u kunt hun MFA testen via het handmatige installatieproces voor MFA. We raden u aan dit in te stellen en te testen. Als u voorwaardelijke toegang gebruikt om MFA af te dwingen, kunt u sjablonen voor voorwaardelijke toegang gebruiken om uw beleid te testen. Zie Meervoudige verificatie vereisen voor beheerders die toegang hebben tot Microsoft-beheerportals voor meer informatie. Als u een gratis versie van Microsoft Entra ID uitvoert, kunt u de standaardinstellingen voor beveiliging inschakelen.
Vraag: Wat gebeurt er als ik MFA al heb ingeschakeld?
Antwoord: Klanten die al MFA vereisen voor hun gebruikers die toegang hebben tot de eerder vermelde toepassingen, zien geen wijzigingen. Als u alleen MFA nodig hebt voor een subset van gebruikers, moeten alle gebruikers die nog geen MFA gebruiken, MFA gebruiken wanneer ze zich aanmelden bij de toepassingen.
Vraag: Hoe kan ik MFA-activiteit controleren in Microsoft Entra ID?
Antwoord: Als u details wilt bekijken over wanneer een gebruiker wordt gevraagd zich aan te melden met MFA, gebruikt u het microsoft Entra-aanmeldingsrapport. Zie voor meer informatie de details van aanmeldingsgebeurtenissen voor Meervoudige Verificatie van Microsoft Entra.
Vraag: Wat als ik een 'break glass'-scenario heb?
Antwoord: Het is raadzaam deze accounts bij te werken voor het gebruik van een wachtwoordsleutel (FIDO2) of om verificatie op basis van certificaten voor MFA te configureren. Beide methoden voldoen aan de MFA-vereiste.
Vraag: Wat als ik geen e-mail ontvang over het inschakelen van MFA voordat deze werd afgedwongen, en dan krijg ik een vergrendeling. Hoe kan ik het oplossen?
Antwoord: Gebruikers mogen niet worden vergrendeld, maar ze krijgen mogelijk een bericht waarin hen wordt gevraagd om MFA in te schakelen zodra de afdwinging voor hun tenant is gestart. Als de gebruiker is vergrendeld, kunnen er andere problemen zijn. Zie Account is vergrendeld voor meer informatie.
Volgende stappen
Raadpleeg de volgende onderwerpen voor meer informatie over het configureren en implementeren van MFA: