Delen via

Planning voor verplichte meervoudige verificatie voor Azure- en andere beheerportals

Bij Microsoft streven we ernaar om onze klanten het hoogste beveiligingsniveau te bieden. Een van de meest effectieve beveiligingsmaatregelen die voor hen beschikbaar zijn, is meervoudige verificatie (MFA). Onderzoek van Microsoft laat zien dat MFA meer dan 99.2% van inbreukaanvallen op accounts kan blokkeren.

Daarom dwingt u vanaf 2024 verplichte MFA af voor alle aanmeldingspogingen van Azure. Zie onze blogpost voor meer achtergrondinformatie over deze vereiste. In dit onderwerp wordt beschreven welke toepassingen en accounts worden beïnvloed, hoe afdwinging wordt geïmplementeerd voor tenants en andere veelgestelde vragen en antwoorden.

Belangrijk

Als een gebruiker zich niet kan aanmelden bij Azure en andere beheerportals na de implementatie van verplichte MFA, kan een globale beheerder een script uitvoeren om de MFA-vereiste uit te stellen en gebruikers toe te staan zich aan te melden. Voor meer informatie, zie Hoe u de afdwinging kunt uitstellen voor een tenant waarbij gebruikers zich niet kunnen aanmelden na de implementatie van de verplichte meervoudige verificatie (MFA) vereiste voor de Azure-portal, het Microsoft Entra-beheercentrum of het Microsoft Intune-beheercentrum.

Er is geen wijziging voor gebruikers als uw organisatie MFA al afdwingt, of als ze zich aanmelden met sterkere methoden, zoals wachtwoordloos of wachtwoordsleutel (FIDO2). Als u wilt controleren of MFA is ingeschakeld, raadpleegt u Controleren of gebruikers zijn ingesteld voor verplichte MFA.

Bereik van afdwinging

Het bereik van afdwinging omvat wanneer afdwingen is gepland, welke toepassingen MFA willen afdwingen, toepassingen die buiten het bereik vallen en welke accounts een verplichte MFA-vereiste hebben.

Handhavingsfasen

Notitie

De datum van afdwinging voor fase 2 is gewijzigd in 1 september 2025.

De afdwinging van MFA voor toepassingen wordt in twee fasen geïmplementeerd.

Toepassingen die MFA afdwingen in fase 1

Vanaf oktober 2024 is MFA vereist voor accounts die zich aanmelden bij Azure Portal, het Microsoft Entra-beheercentrum en het Microsoft Intune-beheercentrum om een CRUD-bewerking (Create, Read, Update of Delete) uit te voeren. De afdwinging wordt geleidelijk uitgerold naar alle tenants wereldwijd. Vanaf februari 2025 begint MFA-afdwinging geleidelijk voor aanmelding bij het Microsoft 365-beheercentrum. Fase 1 heeft geen invloed op andere Azure-clients, zoals Azure CLI, Azure PowerShell, mobiele Azure-app of IaC-hulpprogramma's.

Toepassingen die MFA afdwingen in fase 2

Vanaf 1 september 2025 begint het afdwingen van MFA geleidelijk voor accounts die zich aanmelden bij Azure CLI, Azure PowerShell, mobiele Azure-app, IaC-hulpprogramma's en REST API-eindpunten om een bewerking maken, bijwerken of verwijderen uit te voeren. Leesbewerkingen vereisen geen MFA.

Sommige klanten kunnen een gebruikersaccount gebruiken in Microsoft Entra ID als een serviceaccount. Het is aanbevolen om deze gebruikersgebonden serviceaccounts te migreren naar veilige, cloudgebaseerde serviceaccounts met workloadidentiteiten.

Toepassingen

De volgende tabel bevat betrokken apps, app-id's en URL's voor Azure.

Naam van de toepassing App-id Afdwingen begint
Azure Portal c44b4083-3bb0-49c1-b47d-974e53cbdf3c Tweede helft van 2024
Microsoft Entra-beheercentrum c44b4083-3bb0-49c1-b47d-974e53cbdf3c Tweede helft van 2024
Microsoft Intune-beheercentrum c44b4083-3bb0-49c1-b47d-974e53cbdf3c Tweede helft van 2024
Azure-opdrachtregelinterface (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 1 september 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 1 september 2025
Mobiele Azure-app 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa 1 september 2025
Hulpprogramma's voor Infrastructure as Code (IaC) Azure CLI- of Azure PowerShell-id's gebruiken 1 september 2025
REST API (Besturingsvlak) Niet van toepassing. 1 september 2025
Azure SDK Niet van toepassing. 1 september 2025

De volgende tabel bevat betrokken apps en URL's voor Microsoft 365.

Naam van de toepassing URL Afdwingen begint
Microsoft 365-beheercentrum https://portal.office.com/adminportal/home Februari 2025
Microsoft 365-beheercentrum https://admin.cloud.microsoft Februari 2025
Microsoft 365-beheercentrum https://admin.microsoft.com Februari 2025

Rekeningen

Alle accounts die zich aanmelden om bewerkingen uit te voeren die in de sectie toepassingen worden genoemd, moeten MFA voltooien wanneer de afdwinging begint. Gebruikers hoeven MFA niet te gebruiken als ze toegang hebben tot andere toepassingen, websites of services die worden gehost in Azure. Elke toepassing, website of service-eigenaar die eerder wordt vermeld, bepaalt de verificatievereisten voor gebruikers.

Break glass- of noodtoegangsaccounts zijn ook vereist om u aan te melden met MFA zodra de handhaving van kracht wordt. U wordt aangeraden deze accounts bij te werken voor het gebruik van een wachtwoordsleutel (FIDO2) of om verificatie op basis van certificaten voor MFA te configureren. Beide methoden voldoen aan de MFA-vereiste.

Workload-identiteiten, zoals beheerde identiteiten en service-principals, worden niet beïnvloed door geen van beide fasen van deze MFA-afdwinging. Als gebruikersidentiteiten worden gebruikt om zich aan te melden als een serviceaccount om automatisering uit te voeren (inclusief scripts of andere geautomatiseerde taken), moeten deze gebruikersidentiteiten zich aanmelden met MFA zodra de afdwinging is gestart. Gebruikersidentiteiten worden niet aanbevolen voor automatisering. U moet deze gebruikersidentiteiten migreren naar workloadidentiteiten.

Clientbibliotheken

De OAuth 2.0 Resource Owner Password Credentials (ROPC)-tokenverstrekkingsproces is niet compatibel met MFA (Meervoudige Factor Authenticatie). Nadat MFA is ingeschakeld in uw Microsoft Entra-tenant, genereren de ROPC-gebaseerde API's die in uw toepassingen worden gebruikt uitzonderingen. Voor meer informatie over het migreren van op ROPC-gebaseerde API's in Microsoft Authentication Libraries (MSAL), zie Hoe te migreren van ROPC. Zie de volgende tabbladen voor taalspecifieke MSAL-richtlijnen.

Wijzigingen zijn vereist als u het Pakket Microsoft.Identity.Client en een van de volgende API's in uw toepassing gebruikt:

Dezelfde algemene MSAL-richtlijnen zijn van toepassing op de Azure Identity-bibliotheken. De UsernamePasswordCredential-klasse in deze bibliotheken maakt gebruik van OP MSAL ROPC gebaseerde API's. Zie de volgende tabbladen voor taalspecifieke richtlijnen.

Wijzigingen zijn vereist als u het Azure.Identity-pakket gebruikt en een van de volgende dingen in uw toepassing uitvoert:

Serviceaccounts op gebruikersgebaseerde basis migreren naar workload-identiteiten

We raden klanten aan om gebruikersaccounts te identificeren die als serviceaccounts worden gebruikt en deze te beginnen migreren naar workloadidentiteiten. Migratie vereist vaak het bijwerken van scripts en automatiseringsprocessen voor het gebruik van workloadidentiteiten.

Controleer hoe u controleert of gebruikers zijn ingesteld voor verplichte MFA om alle gebruikersaccounts te identificeren, inclusief gebruikersaccounts die worden gebruikt als serviceaccounts, die zich aanmelden bij de toepassingen.

Zie voor meer informatie over het migreren van serviceaccounts op basis van gebruikers naar workloadidentiteiten voor verificatie met deze toepassingen:

Sommige klanten passen beleid voor voorwaardelijke toegang toe op gebruikersgebaseerde serviceaccounts. U kunt de gebruikersgebonden licentie terugvorderen en een workloadidentiteitenlicentie toevoegen om voorwaardelijke toegang voor workloadidentiteiten toe te passen.

Implementatie

Deze vereiste voor MFA bij het aanmelden is geïmplementeerd voor beheerportals en andere toepassingen. Aanmeldingslogboeken van Microsoft Entra ID worden weergegeven als de bron van de MFA-vereiste .

Verplichte MFA kan niet worden geconfigureerd. Het wordt afzonderlijk geïmplementeerd van alle toegangsbeleidsregels die zijn geconfigureerd in de tenant.

Als uw organisatie er bijvoorbeeld voor kiest om de standaardinstellingen voor beveiliging van Microsoft te behouden en u momenteel de standaardinstellingen voor beveiliging hebt ingeschakeld, zien uw gebruikers geen wijzigingen omdat MFA al is vereist voor Azure-beheer. Als uw tenant gebruikmaakt van beleid voor voorwaardelijke toegang in Microsoft Entra en u al een beleid voor voorwaardelijke toegang hebt waarmee gebruikers zich aanmelden bij Azure met MFA, zien uw gebruikers geen wijziging. Op dezelfde manier worden beperkende beleidsregels voor voorwaardelijke toegang die gericht zijn op Azure en sterkere verificatie vereisen, zoals phishingbestendige MFA, nog steeds afgedwongen. Gebruikers zien geen wijzigingen.

Meldingskanalen

Microsoft informeert alle globale beheerders van Microsoft Entra via de volgende kanalen:

  • E-mail: Globale beheerders die een e-mailadres hebben geconfigureerd, worden per e-mail geïnformeerd over de aanstaande MFA-afdwinging en de acties die moeten worden voorbereid.

  • Servicestatusmelding: globale beheerders ontvangen een servicestatusmelding via Azure Portal, met de tracerings-id van 4V20-VX0. Deze melding bevat dezelfde informatie als het e-mailbericht. Globale beheerders kunnen zich ook abonneren op het ontvangen van servicestatusmeldingen via e-mail.

  • Portalmelding: er wordt een melding weergegeven in de Azure-portal, het Microsoft Entra-beheercentrum en het Microsoft Intune-beheercentrum wanneer ze zich aanmelden. De portaalmelding verwijst naar dit onderwerp voor meer informatie over de verplichte handhaving van MFA.

  • Microsoft 365-berichtencentrum: er wordt een bericht weergegeven in het Microsoft 365-berichtencentrum met bericht-id: MC862873. Dit bericht bevat dezelfde informatie als de e-mail- en servicestatusmelding.

Na afdwingen wordt er een banner weergegeven in Azure Portal:

Schermopname van een banner in Microsoft Entra-meervoudige verificatie waarin verplichte MFA wordt afgedwongen.

Externe verificatiemethoden en identiteitsproviders

Ondersteuning voor externe MFA-oplossingen is in de previewfase met externe authenticatiemethoden en kan worden gebruikt om te voldoen aan de MFA-vereiste. De preview van aangepaste besturingselementen voor klassieke voorwaardelijke toegang voldoet niet aan de MFA-vereiste. U moet migreren naar de preview-versie van externe verificatiemethoden om een externe oplossing met Microsoft Entra-id te gebruiken.

Als u een federatieve id-provider (IdP) gebruikt, zoals Active Directory Federation Services, en uw MFA-provider rechtstreeks is geïntegreerd met deze federatieve IdP, moet de federatieve IdP worden geconfigureerd om een MFA-claim te verzenden. Zie Verwachte inkomende asserties voor Microsoft Entra MFA voor meer informatie.

Meer tijd aanvragen om zich voor te bereiden op afdwinging van fase 1 MFA

We begrijpen dat sommige klanten meer tijd nodig hebben om zich voor te bereiden op deze MFA-vereiste. Microsoft stelt klanten met complexe omgevingen of technische barrières in staat om de handhaving van fase 1 voor hun tenants uit te stellen tot 30 september 2025.

Voor elke tenant waarbij ze de begindatum van afdwinging willen uitstellen, kan een Global Administrator naar de https://aka.ms/managemfaforazure gaan om een begindatum te selecteren.

Waarschuwing

Door de begindatum van afdwinging uit te stellen, neemt u extra risico omdat accounts die toegang hebben tot Microsoft-services, zoals Azure Portal, zeer waardevolle doelen zijn voor bedreigingsactoren. We raden alle tenants aan om MFA nu in te stellen om cloudresources te beveiligen.

Als u zich nooit eerder hebt aangemeld bij de Azure portal met MFA, wordt u gevraagd om MFA te voltooien om u aan te melden, of om de handhaving van MFA uit te stellen. Dit scherm wordt slechts eenmaal weergegeven. Voor meer informatie over hoe u MFA instelt, zie Controleren of gebruikers zijn ingesteld voor verplichte MFA.

Schermopname van de prompt om verplichte MFA te bevestigen.

Als u MFA uitstellen selecteert, is de datum waarop MFA wordt afgedwongen één maand in de toekomst of 30 september 2025, afhankelijk van wat eerder is. Nadat u zich hebt aangemeld, kunt u de datum wijzigen op https://aka.ms/managemfaforazure. Klik op Uitstel bevestigen om te bevestigen dat u wilt doorgaan met het uitstelverzoek. Een globale beheerder moet de toegang uitbreiden om de begindatum van MFA-afdwinging uit te stellen.

Schermopname van het uitstellen van verplichte MFA.

Meer tijd aanvragen om zich voor te bereiden op afdwinging van fase 2 MFA

Microsoft stelt klanten met complexe omgevingen of technische barrières in staat om de handhaving van fase 2 voor hun tenants uit te stellen tot 1 juli 2026. U kunt meer tijd aanvragen om u voor te bereiden op fase 2 MFA-afdwinging op https://aka.ms/postponePhase2MFA. Kies een andere begindatum en klik op Toepassen.

Notitie

Als u het begin van fase 1 uitstelt, wordt het begin van fase 2 ook uitgesteld tot dezelfde datum. U kunt een latere begindatum voor fase 2 kiezen.

Schermopname van het uitstellen van verplichte MFA voor fase 2.

Veelgestelde vragen

Vraag: Als de tenant alleen wordt gebruikt voor testen, is MFA vereist?

Antwoord: Ja, elke Azure-tenant vereist MFA, zonder uitzondering voor testomgevingen.

Vraag: Hoe heeft deze vereiste invloed op het Microsoft 365-beheercentrum?

Antwoord: Verplichte MFA wordt vanaf februari 2025 geïmplementeerd in het Microsoft 365-beheercentrum. Meer informatie over de verplichte MFA-vereiste voor het Microsoft 365-beheercentrum in het blogbericht Aankondiging van verplichte meervoudige verificatie voor het Microsoft 365-beheercentrum.

Vraag: Is MFA verplicht voor alle gebruikers of alleen beheerders?

Antwoord: Alle gebruikers die zich aanmelden bij een van de eerder vermelde toepassingen , moeten MFA voltooien, ongeacht eventuele beheerdersrollen die zijn geactiveerd of in aanmerking komen voor hen, of gebruikersuitsluitingen die voor hen zijn ingeschakeld.

Vraag: Moet ik MFA voltooien als ik de optie kies om aangemeld te blijven?

Antwoord: Ja, zelfs als u Aangemeld blijven kiest, moet u MFA voltooien voordat u zich kunt aanmelden bij deze toepassingen.

Vraag: Is de afdwinging van toepassing op B2B-gastaccounts?

Antwoord: Ja, MFA moet worden nageleefd vanuit de partnerresourcetenant of de thuistenant van de gebruiker als deze juist is ingesteld om MFA-claims naar de resourcetenant te verzenden met behulp van toegang tussen tenants.

Vraag: Is de afdwinging van toepassing op Azure voor de Amerikaanse overheid of Azure soevereine clouds?

Antwoord: Microsoft dwingt verplichte MFA alleen af in de openbare Azure-cloud. Microsoft dwingt momenteel geen MFA af in Azure voor de Amerikaanse overheid of andere onafhankelijke Azure-clouds.

Vraag: Hoe kunnen we voldoen als we MFA afdwingen met behulp van een andere id-provider of MFA-oplossing, en we niet afdwingen met Behulp van Microsoft Entra MFA?

Antwoord: MFA van derden kan rechtstreeks worden geïntegreerd met Microsoft Entra ID. Zie de Microsoft Entra multifactorauthenticatie naslaginformatie voor externe methodenproviders voor meer informatie. Microsoft Entra-id kan eventueel worden geconfigureerd met een federatieve id-provider. Zo ja, dan moet de id-provideroplossing correct worden geconfigureerd om de multipleauthn-claim naar Microsoft Entra-id te verzenden. Zie MFA-besturingselementen (MultiFactor Authentication) van Microsoft Entra ID voldoen aan MFA-claims van een federatieve IdP voor meer informatie.

Vraag: Heeft verplichte MFA invloed op mijn mogelijkheid om te synchroniseren met Microsoft Entra Connect of Microsoft Entra Cloud Sync?

Antwoord: Nee. Het synchronisatieserviceaccount wordt niet beïnvloed door de verplichte MFA-vereiste. Alleen toepassingen die eerder vermeld zijn, vereisen MFA voor inloggen.

Vraag: Kan ik me afmelden?

Antwoord: U kunt zich niet afmelden. Deze beveiligingsbeweging is essentieel voor alle veiligheid en beveiliging van het Azure-platform en wordt herhaald door cloudleveranciers. Zie bijvoorbeeld Secure by Design: AWS om MFA-vereisten in 2024 te verbeteren.

Er is een optie om de begindatum van afdwinging uit te stellen voor klanten. Globale beheerders kunnen naar Azure Portal gaan om de begindatum van afdwinging voor hun tenant uit te stellen. Globale beheerders moeten verhoogde toegang hebben voordat ze de begindatum van MFA-afdwinging op deze pagina uitstellen. Ze moeten deze actie uitvoeren voor elke tenant die uitstel nodig heeft.

Vraag: Kan ik MFA testen voordat Azure het beleid afdwingt om ervoor te zorgen dat er niets wordt verbroken?

Antwoord: Ja, u kunt hun MFA testen via het handmatige installatieproces voor MFA. We raden u aan dit in te stellen en te testen. Als u voorwaardelijke toegang gebruikt om MFA af te dwingen, kunt u sjablonen voor voorwaardelijke toegang gebruiken om uw beleid te testen. Zie Meervoudige verificatie vereisen voor beheerders die toegang hebben tot Microsoft-beheerportals voor meer informatie. Als u een gratis versie van Microsoft Entra ID uitvoert, kunt u de standaardinstellingen voor beveiliging inschakelen.

Vraag: Wat gebeurt er als ik MFA al heb ingeschakeld?

Antwoord: Klanten die al MFA vereisen voor hun gebruikers die toegang hebben tot de eerder vermelde toepassingen, zien geen wijzigingen. Als u alleen MFA nodig hebt voor een subset van gebruikers, moeten alle gebruikers die nog geen MFA gebruiken, MFA gebruiken wanneer ze zich aanmelden bij de toepassingen.

Vraag: Hoe kan ik MFA-activiteit controleren in Microsoft Entra ID?

Antwoord: Als u details wilt bekijken over wanneer een gebruiker wordt gevraagd zich aan te melden met MFA, gebruikt u de aanmeldingslogboeken van Microsoft Entra. Zie de aanmeldingsdetails voor Microsoft Entra meervoudige verificatie voor meer informatie.

Vraag: Wat als ik een 'break glass'-scenario heb?

Antwoord: Het is raadzaam deze accounts bij te werken voor het gebruik van een wachtwoordsleutel (FIDO2) of om verificatie op basis van certificaten voor MFA te configureren. Beide methoden voldoen aan de MFA-vereiste.

Vraag: Wat als ik geen e-mail ontvang over het inschakelen van MFA voordat deze werd afgedwongen, en dan krijg ik een vergrendeling. Hoe kan ik het oplossen?

Antwoord: Gebruikers mogen niet worden vergrendeld, maar ze krijgen mogelijk een bericht waarin hen wordt gevraagd om MFA in te schakelen zodra de afdwinging voor hun tenant is gestart. Als de gebruiker is vergrendeld, kunnen er andere problemen zijn. Zie Account is vergrendeld voor meer informatie.

Gerelateerde inhoud

Raadpleeg de volgende onderwerpen voor meer informatie over het configureren en implementeren van MFA: