Delen via


Planning voor verplichte meervoudige verificatie voor Azure- en andere beheerportals

Bij Microsoft streven we ernaar om onze klanten het hoogste beveiligingsniveau te bieden. Een van de meest effectieve beveiligingsmaatregelen die voor hen beschikbaar zijn, is meervoudige verificatie (MFA). Onderzoek van Microsoft laat zien dat MFA meer dan 99,2% van de aanvallen met inbreuk op accounts kan blokkeren.

Daarom wordt vanaf 2024 verplichte meervoudige verificatie (MFA) afgedwongen voor alle aanmeldingspogingen van Azure. Bekijk onze blogpost voor meer achtergrondinformatie over deze vereiste. In dit onderwerp wordt beschreven welke toepassingen worden beïnvloed en hoe u zich voorbereidt op verplichte MFA.

Bereik van afdwinging

Het bereik van afdwinging omvat welke toepassingen MFA willen afdwingen, wanneer afdwinging is gepland en welke accounts een verplichte MFA-vereiste hebben.

Toepassingen

Toepassingsnaam App-id Afdwingingsfase
Azure Portal c44b4083-3bb0-49c1-b47d-974e53cbdf3c Tweede helft van 2024
Microsoft Entra-beheercentrum c44b4083-3bb0-49c1-b47d-974e53cbdf3c Tweede helft van 2024
Microsoft Intune-beheercentrum c44b4083-3bb0-49c1-b47d-974e53cbdf3c Tweede helft van 2024
Azure-opdrachtregelinterface (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 Begin 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 Begin 2025
Mobiele Azure-app 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa Begin 2025
Hulpprogramma's voor Infrastructure as Code (IaC) Azure CLI- of Azure PowerShell-id's gebruiken Begin 2025

Rekeningen

Voor alle gebruikers die zich aanmelden bij de toepassingen die eerder zijn vermeld om een CRUD-bewerking (Create, Read, Update of Delete) uit te voeren, is MFA vereist wanneer de afdwinging wordt gestart. Eindgebruikers die toegang hebben tot toepassingen, websites of services die worden gehost in Azure, maar zich niet aanmelden bij de vermelde toepassingen, zijn niet vereist voor het gebruik van MFA. De verificatievereisten voor eindgebruikers worden beheerd door de toepassing, website of service-eigenaar.

Break glass- of noodtoegangsaccounts zijn ook vereist om u aan te melden met MFA zodra de afdwinging is gestart. U wordt aangeraden deze accounts bij te werken voor het gebruik van een wachtwoordsleutel (FIDO2) of om verificatie op basis van certificaten voor MFA te configureren. Beide methoden voldoen aan de MFA-vereiste.

Workloadidentiteiten, zoals beheerde identiteiten en service-principals, worden niet beïnvloed door beide fasen van deze Azure MFA-afdwinging. Als gebruikersidentiteiten worden gebruikt om zich aan te melden als een serviceaccount om automatisering uit te voeren (inclusief scripts of andere geautomatiseerde taken), moeten deze gebruikersidentiteiten zich aanmelden met MFA zodra de afdwinging is gestart. Gebruikersidentiteiten worden niet aanbevolen voor automatisering. U moet deze gebruikersidentiteiten migreren naar workloadidentiteiten.

Fooi

We raden klanten aan om momenteel gebruikersaccounts te gebruiken als serviceaccounts het proces van detectie en migratie naar workloadidentiteiten starten. Dit vereist vaak het bijwerken van scripts en automatiseringsprocessen voor het gebruik van workloadidentiteiten.

Raadpleeg Voorbereiden voor meervoudige verificatie om alle gebruikersaccounts te identificeren (inclusief gebruikersaccounts die worden gebruikt als serviceaccounts) die zich aanmelden bij de fase 2-toepassingen.

Zie voor hulp bij het migreren van verificatie met deze toepassingen van serviceaccounts op basis van gebruikers naar workloadidentiteiten:

Klanten die beleid voor voorwaardelijke toegang toepassen op de serviceaccounts op basis van gebruikers, kunnen deze licentie op basis van gebruikers vrijmaken en een licentie voor workloadidentiteiten toepassen om voorwaardelijke toegang toe te passen op workloadidentiteiten.

Implementatie

Deze vereiste voor MFA bij het aanmelden is geïmplementeerd voor beheerportals. Aanmeldingslogboeken van Microsoft Entra ID worden weergegeven als de bron van de MFA-vereiste.

Deze vereiste wordt geïmplementeerd boven op elk toegangsbeleid dat u in uw tenant hebt geconfigureerd. Als uw organisatie er bijvoorbeeld voor kiest om de standaardinstellingen voor beveiliging van Microsoft te behouden en u momenteel de standaardinstellingen voor beveiliging hebt ingeschakeld, zien uw gebruikers geen wijzigingen omdat MFA al is vereist voor Azure-beheer. Als uw tenant gebruikmaakt van beleid voor voorwaardelijke toegang in Microsoft Entra en u al een beleid voor voorwaardelijke toegang hebt waarmee gebruikers zich aanmelden bij Azure met MFA, zien uw gebruikers geen wijziging. Op dezelfde manier worden beperkende beleidsregels voor voorwaardelijke toegang die gericht zijn op Azure en sterkere verificatie vereisen, zoals phishingbestendige MFA, nog steeds afgedwongen. Gebruikers zien geen wijzigingen.

Afdwingingsfasen

De afdwinging van MFA wordt in twee fasen uitgerold:

  • Fase 1: Vanaf de tweede helft van 2024 moet MFA zich aanmelden bij de Azure-portal, het Microsoft Entra-beheercentrum en het Microsoft Intune-beheercentrum. De afdwinging wordt geleidelijk uitgerold naar alle tenants wereldwijd. Deze fase heeft geen invloed op andere Azure-clients, zoals Azure CLI, Azure PowerShell, mobiele Azure-app of IaC-hulpprogramma's. 

  • Fase 2: Vanaf begin 2025 begint MFA-afdwinging geleidelijk voor aanmelding bij Azure CLI, Azure PowerShell, mobiele Azure-app en IaC-hulpprogramma's. Sommige klanten kunnen een gebruikersaccount gebruiken in Microsoft Entra ID als een serviceaccount. Het is raadzaam om deze op gebruikers gebaseerde serviceaccounts te migreren om cloudserviceaccounts met workloadidentiteiten te beveiligen.

Meldingskanalen

Microsoft informeert alle globale beheerders van Microsoft Entra via de volgende kanalen:

  • E-mail: Globale beheerders die een e-mailadres hebben geconfigureerd, worden per e-mail geïnformeerd over de aanstaande MFA-afdwinging en de acties die moeten worden voorbereid.

  • Servicestatus melding: globale beheerders ontvangen een servicestatusmelding via Azure Portal, met de tracerings-id van 4V20-VX0. Deze melding bevat dezelfde informatie als het e-mailbericht. Globale beheerders kunnen zich ook abonneren op het ontvangen van servicestatusmeldingen via e-mail.

  • Portalmelding: er wordt een melding weergegeven in de Azure-portal, het Microsoft Entra-beheercentrum en het Microsoft Intune-beheercentrum wanneer ze zich aanmelden. De portalmelding is gekoppeld aan dit onderwerp voor meer informatie over de verplichte MFA-afdwinging.

  • Microsoft 365-berichtencentrum: er wordt een bericht weergegeven in het Microsoft 365-berichtencentrum met dezelfde informatie als de e-mail- en servicestatusmelding.

Voorbereidingen voor meervoudige verificatie

Ongeacht de rollen die ze hebben of niet hebben, moeten alle gebruikers die toegang hebben tot de beheerportals en Azure-clients die worden vermeld in toepassingen , worden ingesteld voor het gebruik van MFA. Alle gebruikers die toegang hebben tot een beheerportal, moeten MFA gebruiken. Gebruik de volgende bronnen om MFA in te stellen voor uw gebruikers.

Gebruik de volgende bronnen om gebruikers te vinden die zich aanmelden met en zonder MFA:

  • Gebruik de werkmap Multifactor Authentication Gaps om aanmeldingen van gebruikers te identificeren die niet worden beveiligd door MFA.
  • Als u een lijst met gebruikers en hun verificatiemethoden wilt exporteren, gebruikt u PowerShell.

Als u query's uitvoert om aanmeldingen van gebruikers te analyseren, gebruikt u de toepassings-id's van de eerder vermelde toepassingen .

Externe verificatiemethoden en id-providers

Ondersteuning voor externe MFA-oplossingen is in preview met externe verificatiemethoden en kan worden gebruikt om te voldoen aan de MFA-vereiste. De preview van aangepaste besturingselementen voor verouderde voorwaardelijke toegang voldoet niet aan de MFA-vereiste. U moet migreren naar de preview-versie van externe verificatiemethoden om een externe oplossing met Microsoft Entra-id te gebruiken. 

Als u een federatieve id-provider (IdP) gebruikt, zoals Active Directory Federation Services, en uw MFA-provider rechtstreeks is geïntegreerd met deze federatieve IdP, moet de federatieve IdP worden geconfigureerd om een MFA-claim te verzenden.

Meer tijd aanvragen om zich voor te bereiden op afdwinging

We begrijpen dat sommige klanten meer tijd nodig hebben om zich voor te bereiden op deze MFA-vereiste. Microsoft staat klanten met complexe omgevingen of technische barrières toe om de handhaving van hun tenants uit te stellen tot 15 maart 2025.

Tussen 15 augustus 2024 en 15 oktober 2024 kunnen globale beheerders naar Azure Portal gaan om de begindatum van afdwinging voor hun tenant uit te stellen tot 15 maart 2025. Globale beheerders moeten verhoogde toegang hebben voordat de begindatum van MFA-afdwinging op deze pagina wordt uitgesteld.

Globale beheerders moeten deze actie uitvoeren voor elke tenant waarvoor ze de begindatum van afdwinging willen uitstellen.

Door de begindatum van afdwinging uit te stellen, neemt u extra risico omdat accounts die toegang hebben tot Microsoft-services, zoals Azure Portal, zeer waardevolle doelen zijn voor bedreigingsactoren. We raden alle tenants aan om MFA nu in te stellen om cloudresources te beveiligen. 

Veelgestelde vragen

Vraag: Als de tenant alleen wordt gebruikt voor testen, is MFA vereist?

Antwoord: Ja, voor elke Azure-tenant is MFA vereist. Er zijn geen uitzonderingen.

Vraag: Is MFA verplicht voor alle gebruikers of alleen beheerders?

Antwoord: Alle gebruikers die zich aanmelden bij een van de eerder vermelde toepassingen , moeten MFA voltooien, ongeacht eventuele beheerdersrollen die zijn geactiveerd of in aanmerking komen voor hen, of gebruikersuitsluitingen die voor hen zijn ingeschakeld.

Vraag: Moet ik MFA voltooien als ik de optie kies om aangemeld te blijven?

Antwoord: Ja, zelfs als u Aangemeld blijven kiest, moet u MFA voltooien voordat u zich kunt aanmelden bij deze toepassingen.

Vraag: Is de afdwinging van toepassing op B2B-gastaccounts?

Antwoord: Ja, MFA moet worden nageleefd vanuit de partnerresourcetenant of de thuistenant van de gebruiker als deze juist is ingesteld om MFA-claims naar de resourcetenant te verzenden met behulp van toegang tussen tenants.

Vraag: Hoe kunnen we voldoen als we MFA afdwingen met behulp van een andere id-provider of MFA-oplossing, en we niet afdwingen met Behulp van Microsoft Entra MFA?

Antwoord: De id-provideroplossing moet correct worden geconfigureerd om de claim multipleauthn naar Entra-id te verzenden. Zie de naslaginformatie voor de externe provider van microsoft Entra-verificatie voor meerdere methoden voor meer informatie.

Vraag: Heeft fase 1 of fase 2 van verplichte MFA invloed op mijn mogelijkheid om te synchroniseren met Microsoft Entra Connect of Microsoft Entra Cloud Sync?

Antwoord: Nee. Het synchronisatieserviceaccount wordt niet beïnvloed door de MFA-vereiste voor manadatory. Alleen toepassingen die eerder worden vermeld, vereisen MFA voor aanmelding.

Vraag: Kan ik me afmelden?

U kunt zich niet afmelden. Deze beveiligingsbeweging is essentieel voor alle veiligheid en beveiliging van het Azure-platform en wordt herhaald door cloudleveranciers. Zie bijvoorbeeld Secure by Design: AWS om MFA-vereisten in 2024 te verbeteren.

Er is een optie om de begindatum van afdwinging uit te stellen voor klanten. Tussen 15 augustus 2024 en 15 oktober 2024 kunnen globale beheerders naar Azure Portal gaan om de begindatum van afdwinging voor hun tenant uit te stellen tot 15 maart 2025. Globale beheerders moeten verhoogde toegang hebben voordat de begindatum van MFA-afdwinging op deze pagina wordt uitgesteld en ze moeten deze actie uitvoeren voor elke tenant waarvoor ze de begindatum van afdwinging willen uitstellen.

Vraag: Kan ik MFA testen voordat Azure het beleid afdwingt om ervoor te zorgen dat er niets wordt verbroken?

Antwoord: Ja, u kunt hun MFA testen via het handmatige installatieproces voor MFA. We raden u aan dit in te stellen en te testen. Als u voorwaardelijke toegang gebruikt om MFA af te dwingen, kunt u sjablonen voor voorwaardelijke toegang gebruiken om uw beleid te testen. Zie Meervoudige verificatie vereisen voor beheerders die toegang hebben tot Microsoft-beheerportals voor meer informatie. Als u een gratis versie van Microsoft Entra ID uitvoert, kunt u de standaardinstellingen voor beveiliging inschakelen.

Vraag: Wat gebeurt er als ik MFA al heb ingeschakeld?

Antwoord: Klanten die al MFA vereisen voor hun gebruikers die toegang hebben tot de eerder vermelde toepassingen, zien geen wijzigingen. Als u alleen MFA nodig hebt voor een subset van gebruikers, moeten alle gebruikers die nog geen MFA gebruiken, MFA gebruiken wanneer ze zich aanmelden bij de toepassingen.

Vraag: Hoe kan ik MFA-activiteit controleren in Microsoft Entra ID?

Antwoord: Als u details wilt bekijken over wanneer een gebruiker wordt gevraagd zich aan te melden met MFA, gebruikt u het microsoft Entra-aanmeldingsrapport. Zie voor meer informatie de details van aanmeldingsgebeurtenissen voor Meervoudige Verificatie van Microsoft Entra.

Vraag: Wat als ik een 'break glass'-scenario heb?

Antwoord: Het is raadzaam deze accounts bij te werken voor het gebruik van een wachtwoordsleutel (FIDO2) of om verificatie op basis van certificaten voor MFA te configureren. Beide methoden voldoen aan de MFA-vereiste.

Vraag: Wat als ik geen e-mail ontvang over het inschakelen van MFA voordat deze werd afgedwongen, en dan krijg ik een vergrendeling. Hoe kan ik het oplossen? 

Antwoord: Gebruikers mogen niet worden vergrendeld, maar ze krijgen mogelijk een bericht waarin hen wordt gevraagd om MFA in te schakelen zodra de afdwinging voor hun tenant is gestart. Als de gebruiker is vergrendeld, kunnen er andere problemen zijn. Zie Account is vergrendeld voor meer informatie. 

Volgende stappen

Raadpleeg de volgende onderwerpen voor meer informatie over het configureren en implementeren van MFA: