Planowanie obowiązkowego uwierzytelniania wieloskładnikowego dla platformy Azure i innych portali administracyjnych

W firmie Microsoft dokładamy wszelkich starań, aby zapewnić naszym klientom najwyższy poziom zabezpieczeń. Jedną z najbardziej skutecznych dostępnych środków zabezpieczeń jest uwierzytelnianie wieloskładnikowe (MFA). Badania przeprowadzone przez firmę Microsoft pokazują, że uwierzytelnianie wieloskładnikowe może zablokować ponad 99,2% ataków zabezpieczeń kont.

Dlatego od 2024 r. wymusimy obowiązkowe uwierzytelnianie wieloskładnikowe dla wszystkich prób logowania do platformy Azure. Aby uzyskać więcej informacji na temat tego wymagania, zobacz nasz wpis w blogu . W tym temacie opisano, których aplikacji i kont dotyczy, sposób wprowadzania egzekwowania w najemcach oraz inne typowe pytania i odpowiedzi.

Ważne

Jeśli użytkownik nie może zalogować się do platformy Azure i innych portali administracyjnych po wdrożeniu obowiązkowej uwierzytelniania wieloskładnikowego, administrator globalny może uruchomić skrypt, aby odroczyć wymaganie uwierzytelniania wieloskładnikowego i zezwolić użytkownikom na logowanie. Aby uzyskać więcej informacji, zobacz Jak odroczyć wymuszanie zasad dla dzierżawcy, w którym użytkownicy nie mogą się zalogować po wdrożeniu obowiązkowego uwierzytelniania wieloskładnikowego (MFA) dla portalu Azure, centrum administracyjnego Microsoft Entra lub centrum administracyjnego Microsoft Intune.

Nie ma żadnych zmian dla użytkowników, jeśli organizacja już wymusza uwierzytelnianie wieloskładnikowe dla nich lub jeśli logują się za pomocą silniejszych metod, takich jak bez hasła lub klucz dostępu (FIDO2). Aby sprawdzić, czy uwierzytelnianie wieloskładnikowe jest włączone, zobacz Jak sprawdzić, czy użytkownicy są skonfigurowani pod kątem obowiązkowej uwierzytelniania wieloskładnikowego.

Zakres wymuszania

Zakres wymuszania obejmuje planowanie wymuszania, które aplikacje planują wymuszać uwierzytelnianie wieloskładnikowe, aplikacje, które są poza zakresem i które konta mają obowiązkowe wymaganie uwierzytelniania wieloskładnikowego.

Fazy wymuszania

Uwaga

Data wymuszania fazy 2 zmieniła się na 1 września 2025 r.

Wymuszanie uwierzytelniania wieloskładnikowego dla aplikacji jest wdrażane w dwóch fazach.

Aplikacje egzekwujące uwierzytelnianie wieloskładnikowe w fazie 1

Począwszy od października 2024 r., uwierzytelnianie wieloskładnikowe jest wymagane w przypadku kont logujących się do witryny Azure Portal, centrum administracyjnego firmy Microsoft Entra i centrum administracyjnego usługi Microsoft Intune w celu wykonania dowolnej operacji tworzenia, odczytu, aktualizacji lub usuwania (CRUD). Egzekwowanie będzie stopniowo wdrażane we wszystkich dzierżawach na całym świecie. Począwszy od lutego 2025 r., wymuszanie uwierzytelniania wieloskładnikowego stopniowo rozpoczyna się od logowania do centrum administracyjnego platformy Microsoft 365. Faza 1 nie wpłynie na innych klientów platformy Azure, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell, aplikacja mobilna platformy Azure lub narzędzia IaC.

Aplikacje wymuszające uwierzytelnianie wieloskładnikowe w fazie 2

Od 1 września 2025 r. egzekwowanie MFA rozpocznie się stopniowo dla kont logujących się do Azure CLI, Azure PowerShell, aplikacji mobilnej Azure, narzędzi IaC i punktów końcowych interfejsu API REST w celu wykonania dowolnej operacji tworzenia, aktualizacji lub usuwania. Operacje odczytu nie będą wymagać MFA.

Niektórzy klienci mogą używać kont użytkowników w usłudze Microsoft Entra ID jako konta usługowego. Zaleca się migrację tych kont usług opartych na użytkownikach do bezpiecznych kont usług w chmurze z tożsamościami dla obciążeń roboczych.

Aplikacje

W poniższej tabeli wymieniono aplikacje, identyfikatory aplikacji i adresy URL platformy Azure.

Nazwa aplikacji	identyfikator aplikacji	Wymuszanie rozpoczyna się
Portal Azure	c44b4083-3bb0-49c1-b47d-974e53cbdf3c	Druga połowa 2024 r.
Centrum administracyjne firmy Microsoft Entra	c44b4083-3bb0-49c1-b47d-974e53cbdf3c	Druga połowa 2024 r.
Centrum administracyjne usługi Microsoft Intune	c44b4083-3bb0-49c1-b47d-974e53cbdf3c	Druga połowa 2024 r.
Interfejs wiersza polecenia Azure (Azure CLI)	04b07795-8ddb-461a-bbee-02f9e1bf7b46	1 września 2025 r.
Azure PowerShell	1950a258-227b-4e31-a9cf-717495945fc2	1 września 2025 r.
Aplikacja mobilna platformy Azure	0c1307d4-29d6-4389-a11c-5cbe7f65d7fa	1 września 2025 r.
Narzędzia infrastruktury jako kodu (IaC)	Użyj Azure CLI lub Azure PowerShell IDs	1 września 2025 r.
Interfejs API REST (płaszczyzna sterowania)	N/A	1 września 2025 r.
Azure SDK	N/A	1 września 2025 r.

W poniższej tabeli wymieniono aplikacje i adresy URL, których dotyczy rozwiązanie Microsoft 365.

Nazwa aplikacji	adres URL	Wymuszanie rozpoczyna się
Centrum administracyjne platformy Microsoft 365	https://portal.office.com/adminportal/home	Luty 2025 rok
Centrum administracyjne platformy Microsoft 365	https://admin.cloud.microsoft	Luty 2025 rok
Centrum administracyjne platformy Microsoft 365	https://admin.microsoft.com	Luty 2025 rok

Konta

Wszystkie konta, które logują się do wykonywania operacji wymienionych w sekcji aplikacji, muszą ukończyć uwierzytelnianie wieloskładnikowe, gdy zacznie się egzekwowanie. Użytkownicy nie są zobowiązani do korzystania z uwierzytelniania wieloskładnikowego, jeśli uzyskują dostęp do innych aplikacji, witryn internetowych lub usług hostowanych na platformie Azure. Każda aplikacja, witryna internetowa lub właściciel usługi wymienione wcześniej kontroluje wymagania dotyczące uwierzytelniania użytkowników.

Konta dostępu awaryjnego lub konta alarmowe są również wymagane do zalogowania się przy użyciu uwierzytelniania wieloskładnikowego (MFA) po rozpoczęciu egzekwowania zasad. Zalecamy zaktualizowanie tych kont w celu używania klucza dostępu (FIDO2) lub skonfigurowania uwierzytelniania opartego na certyfikatach na potrzeby uwierzytelniania wieloskładnikowego . Obie metody spełniają wymóg MFA.

Tożsamości obciążeń, takie jak tożsamości zarządzane i jednostki usługi, nie mają wpływu na jedną fazę wymuszania uwierzytelniania wieloskładnikowego. Jeśli konta użytkowników są używane do logowania się jako konta usługowe w celu uruchamiania automatyzacji (w tym skryptów lub innych zautomatyzowanych zadań), te konta użytkowników muszą się zalogować przy użyciu uwierzytelniania wieloskładnikowego, gdy wymóg zostanie wprowadzony. Tożsamości użytkowników nie są zalecane do używania w automatyzacji. Należy przeprowadzić migrację tych tożsamości użytkowników do tożsamości obciążeń.

Biblioteki klienckie

Przepływ uzyskiwania tokenów OAuth 2.0 za pomocą poświadczeń hasła właściciela zasobu (ROPC) jest niezgodny z wieloskładnikowym uwierzytelnianiem (MFA). Po włączeniu MFA w dzierżawie Microsoft Entra, interfejsy API bazujące na ROPC używane w aplikacjach zgłaszają wyjątki. Aby uzyskać więcej informacji na temat migrowania z interfejsów API opartych na ROPC w bibliotekach uwierzytelniania firmy Microsoft (MSAL), zobacz How to migrate away from ROPC (Jak migrować z ROPC). Aby uzyskać wskazówki dotyczące biblioteki MSAL dla konkretnego języka, zobacz następujące karty.

.SIEĆ

Zmiany są wymagane, jeśli używasz pakietu Microsoft.Identity.Client i jednego z następujących interfejsów API w aplikacji:

• IByUsernameAndPassword.AcquireTokenByUsernamePassword (poufny interfejs API klienta)
• PublicClientApplication.AcquireTokenByUsernamePassword (publiczny interfejs API klienta)

Idź

Zmiany są wymagane, jeśli używasz modułu microsoft-authentication-library-for-go i jednego z następujących interfejsów API w aplikacji:

• Client.AcquireTokenByUsernamePassword (poufny interfejs API klienta)
• Client.AcquireTokenByUsernamePassword (publiczny interfejs API klienta)

Jawa

Zmiany są wymagane, jeśli używasz pakietu msal4j i następującego interfejsu API w aplikacji:

PublicClientApplication.acquireToken(UserNamePasswordParameters)

Node.js

Zmiany są wymagane, jeśli używasz pakietu @azure/msal-node i jednego z następujących interfejsów API w aplikacji. Te interfejsy API są przestarzałe od wydania3.2.3.

• ClientApplication.acquireTokenByUsernamePassword
• IConfidentialClientApplication.acquireTokenByUsernamePassword (pobierz token za pomocą nazwy użytkownika i hasła)
• IPublicClientApplication.acquireTokenByUsernamePassword - metoda do pozyskiwania tokenu przez nazwę użytkownika i hasło

Pyton

Zmiany są wymagane, jeśli używasz pakietu msal i następującego interfejsu API w aplikacji:

ClientApplication uzyskaj_token_przez_nazwę_użytkownika_hasło

Te same ogólne wskazówki dotyczące bibliotek MSAL dotyczą bibliotek tożsamości platformy Azure. Klasa UsernamePasswordCredential podana w tych bibliotekach używa interfejsów API opartych na protokole ROPC biblioteki MSAL. Aby uzyskać wskazówki specyficzne dla języka, zobacz następujące karty.

.SIEĆ

Zmiany są wymagane, jeśli używasz pakietu Azure.Identity i wykonaj jedną z następujących czynności w aplikacji:

• Użyj DefaultAzureCredential lub EnvironmentCredential z następującymi dwiema zmiennymi środowiskowymi:
  • AZURE_USERNAME
  • AZURE_PASSWORD
• Używanie UsernamePasswordCredential ()

Idź

Zmiany są wymagane, jeśli używasz modułu azidentity i wykonaj jedną z następujących czynności w aplikacji:

• Użyj DefaultAzureCredential lub EnvironmentCredential z następującymi dwiema zmiennymi środowiskowymi:
  • AZURE_USERNAME
  • AZURE_PASSWORD
• Korzystanie z elementu UsernamePasswordCredential (przestarzałe w 1.9.0 wersji)

Jawa

Zmiany są wymagane, jeśli używasz pakietu azure-identity i wykonaj jedną z następujących czynności w aplikacji:

• Użyj DefaultAzureCredential lub EnvironmentCredential z następującymi dwiema zmiennymi środowiskowymi:
  • AZURE_USERNAME
  • AZURE_PASSWORD
• Korzystanie z elementu UsernamePasswordCredential (przestarzałe w 1.16.0-beta.1 wersji)

Node.js

Zmiany są wymagane, jeśli używasz pakietu @azure/identity i wykonujesz jedną z następujących czynności w aplikacji:

• Użyj DefaultAzureCredential lub EnvironmentCredential z następującymi dwiema zmiennymi środowiskowymi:
  • AZURE_USERNAME
  • AZURE_PASSWORD
• Korzystanie z elementu UsernamePasswordCredential (przestarzałe w 4.8.0 wersji)

Pyton

Zmiany są wymagane, jeśli używasz pakietu azure-identity i wykonaj jedną z następujących czynności w aplikacji:

• Użyj DefaultAzureCredential lub EnvironmentCredential z następującymi dwiema zmiennymi środowiskowymi:
  • AZURE_USERNAME
  • AZURE_PASSWORD
• Korzystanie z elementu UsernamePasswordCredential (przestarzałe w 1.21.0 wersji)

Migrowanie kont usługowych opartych na użytkownikach do tożsamości roboczych

Zalecamy klientom odnalezienie kont użytkowników używanych jako konta usług i rozpoczęcie ich migracji do tożsamości obciążeń. Migracja często wymaga aktualizowania skryptów i procesów automatyzacji w celu korzystania z tożsamości środowisk obciążeniowych.

Zapoznaj się z artykułem jak sprawdzić, czy użytkownicy są skonfigurowani do obowiązkowego uwierzytelniania wieloskładnikowego, aby zidentyfikować wszystkie konta użytkowników, w tym konta używane jako usługi, które logują się do aplikacji.

Aby uzyskać więcej informacji na temat migrowania z kont usług opartych na użytkownikach do tożsamości roboczych w celu uwierzytelniania tych aplikacji, zobacz:

• Logowanie się do platformy Azure przy użyciu tożsamości zarządzanej przy użyciu interfejsu wiersza polecenia platformy Azure
• Zaloguj się do Azure jako service principal za pomocą Azure CLI
• Nieinterakcyjne logowanie do programu Azure PowerShell w scenariuszach automatyzacji zawiera porady dotyczące przypadków użycia tożsamości zarządzanej i jednostki usługi.

Niektórzy klienci stosują zasady dostępu warunkowego do kont usług opartych na użytkownikach. Możesz odzyskać licencję opartą na użytkowniku i dodać licencję tożsamości obciążeń , aby zastosować dostęp warunkowy dla tożsamości obciążeń.

Implementacja

To wymaganie dotyczące uwierzytelniania wieloskładnikowego podczas logowania jest implementowane dla portali administracyjnych i innych aplikacji . Dzienniki logowania Microsoft Entra ID pokazują, że stanowią źródło wymogu uwierzytelniania wieloskładnikowego.

Obowiązkowe MFA nie jest konfigurowalne. Jest implementowany oddzielnie od wszystkich zasad dostępu skonfigurowanych dla klienta.

Jeśli na przykład organizacja zdecydowała się zachować domyślne ustawienia zabezpieczeń firmy Microsoft i masz włączone wartości domyślne zabezpieczeń, użytkownicy nie widzą żadnych zmian, ponieważ uwierzytelnianie wieloskładnikowe jest już wymagane do zarządzania platformą Azure. Jeśli twój dzierżawca korzysta z zasad dostępu warunkowego w Microsoft Entra i masz już skonfigurowane zasady dostępu warunkowego, za pomocą których użytkownicy logują się do platformy Azure za pomocą usługi MFA, użytkownicy nie widzą zmiany. Podobnie wszelkie restrykcyjne zasady dostępu warunkowego przeznaczone dla platformy Azure i wymagają silniejszego uwierzytelniania, takiego jak uwierzytelnianie wieloskładnikowe odporne na wyłudzenie informacji, nadal będą wymuszane. Użytkownicy nie widzą żadnych zmian.

Kanały powiadomień

Firma Microsoft powiadomi wszystkich administratorów globalnych firmy Microsoft za pośrednictwem następujących kanałów:

• Administratorzy globalni, którzy skonfigurowali adres e-mail, otrzymają informację drogą mailową o nadchodzącym wprowadzaniu obowiązkowego uwierzytelniania wieloskładnikowego i niezbędnych działaniach przygotowawczych.

• Powiadomienie o kondycji usługi: Administratorzy globalni otrzymują powiadomienie o kondycji usługi za pośrednictwem witryny Azure Portal z identyfikatorem śledzenia 4V20-VX0. To powiadomienie zawiera te same informacje co wiadomość e-mail. Administratorzy globalni mogą również subskrybować otrzymywanie powiadomień o kondycji usługi za pośrednictwem poczty e-mail.

• Powiadomienie w portalu: po zalogowaniu w witrynie Azure Portal, centrum administracyjnym firmy Microsoft Entra i centrum administracyjnym usługi Microsoft Intune zostanie wyświetlone powiadomienie. Powiadomienie portalu zawiera odnośnik do tego tematu, aby uzyskać więcej informacji na temat obowiązkowego stosowania uwierzytelniania wieloskładnikowego.

• Centrum wiadomości platformy Microsoft 365: w centrum wiadomości platformy Microsoft 365 zostanie wyświetlony komunikat o identyfikatorze komunikatu: MC862873. Ta wiadomość zawiera te same informacje co wiadomość e-mail i powiadomienie o kondycji usługi.

Po wymuszeniu w portalu Azure pojawi się baner:

Metody uwierzytelniania zewnętrznego i dostawcy tożsamości

Obsługa zewnętrznych rozwiązań uwierzytelniania wieloskładnikowego jest dostępna w wersji zapoznawczej z zewnętrznymi metodami uwierzytelniania i może służyć do spełnienia wymogu uwierzytelniania wieloskładnikowego. Starsze niestandardowe kontrolki dostępu warunkowego w wersji zapoznawczej nie spełniają wymogu MFA. Należy przeprowadzić migrację do wersji zapoznawczej metod uwierzytelniania zewnętrznego, aby użyć rozwiązania zewnętrznego z identyfikatorem Entra firmy Microsoft.

Jeśli używasz federacyjnego dostawcy tożsamości (IdP), takiego jak Active Directory Federation Services, a dostawca uwierzytelniania wieloskładnikowego (MFA) jest zintegrowany bezpośrednio z tym IdP, federacyjny dostawca tożsamości musi być skonfigurowany do wysyłania roszczenia uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Oczekiwane wnioski przychodzące dla Microsoft Entra MFA.

Zażądaj więcej czasu na przygotowanie do wdrożenia wieloskładnikowego uwierzytelniania Fazy 1

Rozumiemy, że niektórzy klienci mogą potrzebować więcej czasu na przygotowanie się do tego wymagania uwierzytelniania wieloskładnikowego. Firma Microsoft umożliwia klientom ze złożonymi środowiskami lub barierami technicznymi odroczenie egzekwowania Fazy 1 dla swoich najemców do 30 września 2025 r.

Dla każdego najemcy, dla którego chce odroczyć datę rozpoczęcia wymuszania, globalny administrator może przejść do https://aka.ms/managemfaforazure, aby wybrać datę rozpoczęcia.

Ostrzeżenie

Po upływie daty rozpoczęcia wymuszania podejmujesz dodatkowe ryzyko, ponieważ konta, które uzyskują dostęp do usługi firmy Microsoft, takich jak witryna Azure Portal, są bardzo cennymi celami dla podmiotów zagrożeń. Zalecamy, aby wszyscy użytkownicy skonfigurowali teraz uwierzytelnianie wieloskładnikowe w celu zabezpieczenia zasobów w chmurze.

Jeśli nigdy wcześniej się nie logowałeś do portalu Azure przy użyciu uwierzytelniania wieloskładnikowego, zostaniesz poproszony o jego ukończenie, aby się zalogować, lub odroczyć wymuszanie jego użycia. Ten ekran jest wyświetlany tylko raz. Aby uzyskać więcej informacji na temat konfigurowania uwierzytelniania wieloskładnikowego, zobacz Jak sprawdzić, czy użytkownicy są skonfigurowani pod kątem obowiązkowej uwierzytelniania wieloskładnikowego.

Jeśli wybierzesz opcję Odrocz uwierzytelnianie wieloskładnikowe, data wymuszania uwierzytelniania wieloskładnikowego będzie miesiącem w przyszłości lub 30 września 2025 r., w zależności od tego, która z nich jest wcześniejsza. Po zalogowaniu możesz zmienić datę na https://aka.ms/managemfaforazure. Aby potwierdzić, że chcesz kontynuować żądanie odroczenia, kliknij przycisk Potwierdź odroczenie. Administrator globalny musi podnieść poziom dostępu , aby odroczyć datę rozpoczęcia wymuszania uwierzytelniania wieloskładnikowego.

Poproś o więcej czasu na przygotowanie do wdrożenia fazy 2 uwierzytelniania wieloskładnikowego.

Firma Microsoft umożliwia klientom ze złożonymi środowiskami lub barierami technicznymi odroczenie egzekwowania drugiej fazy dla ich dzierżaw do 1 lipca 2026 r. Możesz poprosić o więcej czasu, aby przygotować się na wdrożenie uwierzytelniania wieloskładnikowego fazy drugiej na stronie https://aka.ms/postponePhase2MFA. Wybierz inną datę rozpoczęcia, a następnie kliknij przycisk Zastosuj.

Uwaga

W przypadku odroczenia rozpoczęcia fazy 1 początek fazy 2 jest również odroczony do tej samej daty. Możesz wybrać późniejszą datę rozpoczęcia fazy 2.

Często zadawane pytania

Pytanie: Czy jeśli dzierżawca jest używany tylko do testowania, wymagana jest uwierzytelnianie wieloskładnikowe?

Odpowiedź: Tak, każda dzierżawa Azure będzie wymagać MFA bez wyjątku dla środowisk testowych.

Pytanie: Jak to wymaganie ma wpływ na centrum administracyjne platformy Microsoft 365?

Odpowiedź: Obowiązkowe uwierzytelnianie wieloskładnikowe zostanie wdrożone w centrum administracyjnym platformy Microsoft 365 od lutego 2025 r. Dowiedz się więcej o obowiązkowym wymaganiu uwierzytelniania wieloskładnikowego dla centrum administracyjnego platformy Microsoft 365 w wpisie w blogu Ogłoszenie obowiązkowego uwierzytelniania wieloskładnikowego dla centrum administracyjnego platformy Microsoft 365.

Pytanie: Czy uwierzytelnianie wieloskładnikowe jest obowiązkowe dla wszystkich użytkowników, czy tylko administratorów?

Odpowiedź: Wszyscy użytkownicy, którzy logują się do dowolnej z wymienionych wcześniej aplikacji , są zobowiązani do ukończenia uwierzytelniania wieloskładnikowego, niezależnie od wszystkich ról administratora, które są aktywowane lub kwalifikujące się do nich, lub wszystkich wykluczeń użytkowników , które są dla nich włączone.

Pytanie: Czy muszę przejść MFA, jeśli wybiorę opcję Pozostanie zalogowanym?

Odpowiedź: Tak, nawet jeśli wybierzesz opcję Nie wylogowuj się, musisz ukończyć uwierzytelnianie wieloskładnikowe przed zalogowaniem się do tych aplikacji.

Pytanie: Czy wymuszanie ma zastosowanie do kont gości B2B?

Odpowiedź: Tak, uwierzytelnianie wieloskładnikowe musi odbywać się w dzierżawie zasobów partnera lub dzierżawie głównej użytkownika, jeśli prawidłowo skonfigurowano przesyłanie oświadczeń uwierzytelniania wieloskładnikowego do dzierżawy zasobów za pomocą dostępu międzydzierżawowego.

Pytanie: Czy wymuszanie ma zastosowanie do platformy Azure dla instytucji rządowych USA lub suwerennych chmur platformy Azure?

Odpowiedź: Firma Microsoft wymusza obowiązkowe uwierzytelnianie wieloskładnikowe tylko w publicznej chmurze platformy Azure. Firma Microsoft obecnie nie wymusza uwierzytelniania wieloskładnikowego na platformie Azure dla instytucji rządowych USA ani innych suwerennych chmur platformy Azure.

Pytanie: Jak możemy zapewnić zgodność, jeśli wymusimy uwierzytelnianie wieloskładnikowe przy użyciu innego dostawcy tożsamości lub rozwiązania MFA i nie będziemy wymuszać przy użyciu usługi Microsoft Entra MFA?

Odpowiedź: Uwierzytelnianie wieloskładnikowe innej firmy można bezpośrednio zintegrować z Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz odniesienie do zewnętrznego dostawcy metod uwierzytelniania wieloskładnikowego Microsoft Entra. Identyfikator Entra firmy Microsoft można opcjonalnie skonfigurować za pomocą dostawcy tożsamości federacyjnej. Jeśli tak, należy prawidłowo skonfigurować rozwiązanie dostawcy tożsamości w celu wysłania oświadczenia multipleauthn do identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz, jak zaspokoić kontrole uwierzytelniania wieloskładnikowego (MFA) Microsoft Entra ID za pomocą oświadczeń MFA od federacyjnego dostawcy tożsamości.

Pytanie: Czy obowiązkowy uwierzytelnianie wieloskładnikowe będzie miało wpływ na moją możliwość synchronizacji z usługą Microsoft Entra Connect lub Microsoft Entra Cloud Sync?

Odpowiedź: Nie. Konto usługi synchronizacji nie podlega obowiązkowemu wymaganiu używania uwierzytelniania wieloskładnikowego. Tylko aplikacje wymienione wcześniej wymagają uwierzytelniania wieloskładnikowego na potrzeby logowania.

Pytanie: Czy będę mógł zrezygnować?

Odpowiedź: Nie ma możliwości rezygnacji. Ten ruch zabezpieczeń ma kluczowe znaczenie dla wszystkich zabezpieczeń i bezpieczeństwa platformy Azure i jest powtarzany przez dostawców usług w chmurze. Na przykład zobacz Bezpieczeństwo od podstaw: AWS zwiększy wymagania dotyczące uwierzytelniania wieloskładnikowego w 2024 roku.

Dla klientów jest dostępna opcja odroczenia daty rozpoczęcia wymuszania. Administratorzy globalni mogą zalogować się do portalu Azure, aby odroczyć datę wdrożenia dla swojej dzierżawy. Administratorzy globalni muszą mieć podwyższony poziom dostępu przed odroczeniem daty rozpoczęcia wymuszania uwierzytelniania wieloskładnikowego na tej stronie. Muszą wykonać tę czynność dla każdego lokatora, który wymaga odroczenia.

Pytanie: Czy mogę przetestować uwierzytelnianie wieloskładnikowe, zanim platforma Azure wymusza zasady, aby upewnić się, że nic się nie stanie?

Odpowiedź: Tak, możesz przetestować ich uwierzytelnianie wieloskładnikowe za pomocą ręcznego procesu konfiguracji usługi MFA. Zachęcamy do skonfigurowania i przetestowania. Jeśli używasz dostępu warunkowego do wymuszania uwierzytelniania wieloskładnikowego, możesz przetestować zasady przy użyciu szablonów dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Wymaganie uwierzytelniania wieloskładnikowego dla administratorów, którzy uzyskują dostęp do portali administracyjnych firmy Microsoft. Jeśli uruchamiasz bezpłatną wersję identyfikatora Entra firmy Microsoft, możesz włączyć wartości domyślne zabezpieczeń.

Pytanie: Co się stanie, jeśli mam już włączoną usługę MFA, co się stanie dalej?

Odpowiedź: Klienci, którzy już wymagają uwierzytelniania wieloskładnikowego dla swoich użytkowników, którzy uzyskują dostęp do wymienionych wcześniej aplikacji, nie widzą żadnych zmian. Jeśli potrzebujesz tylko uwierzytelniania wieloskładnikowego dla podzbioru użytkowników, wszyscy użytkownicy, którzy nie korzystają już z uwierzytelniania wieloskładnikowego, będą teraz musieli używać uwierzytelniania wieloskładnikowego podczas logowania się do aplikacji.

Pytanie: Jak mogę przejrzeć działanie uwierzytelniania wieloskładnikowego w identyfikatorze Entra firmy Microsoft?

Odpowiedź: Aby przejrzeć szczegółowe informacje o tym, kiedy użytkownik jest monitowany o zalogowanie się przy użyciu uwierzytelniania wieloskładnikowego, użyj dzienników logowania firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Szczegóły zdarzenia logowania dla uwierzytelniania wieloskładnikowego firmy Microsoft.

Pytanie: Co zrobić, jeśli mam scenariusz awaryjny "break glass"?

Odpowiedź: Zalecamy zaktualizowanie tych kont w celu używania klucza dostępu (FIDO2) lub skonfigurowania uwierzytelniania opartego na certyfikatach na potrzeby uwierzytelniania wieloskładnikowego . Obie metody spełniają wymóg MFA.

Pytanie: Co zrobić, jeśli nie otrzymuję wiadomości e-mail o włączeniu uwierzytelniania wieloskładnikowego przed jej wymuszeniem, a następnie otrzymuję blokadę. Jak należy rozwiązać ten problem?

Odpowiedź: Użytkownicy nie powinni być zablokowani, ale mogą otrzymać komunikat zachęcający do włączenia uwierzytelniania wieloskładnikowego, gdy zostanie wprowadzone wymuszanie dla ich konta. Jeśli użytkownik jest zablokowany, mogą wystąpić inne problemy. Aby uzyskać więcej informacji, zobacz Konto zostało zablokowane.

Powiązana zawartość

Zapoznaj się z następującymi tematami, aby dowiedzieć się więcej na temat konfigurowania i wdrażania uwierzytelniania wieloskładnikowego:

• Jak odroczyć egzekwowanie dla dzierżawcy, w przypadku gdy użytkownicy nie mogą się zalogować po wdrożeniu obowiązkowego uwierzytelniania wieloskładnikowego (MFA) dla portalu Azure, centrum administracji Microsoft Entra lub centrum administracji Microsoft Intune
• Jak sprawdzić, czy użytkownicy są przygotowani do obsługi obowiązkowego uwierzytelniania wieloskładnikowego
• Samouczek: zabezpieczanie zdarzeń logowania użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft
• Zabezpieczanie zdarzeń logowania za pomocą uwierzytelniania wieloskładnikowego Microsoft Entra
• Zaplanuj wdrożenie uwierzytelniania wieloskładnikowego Microsoft Entra
• Metody uwierzytelniania wieloskładnikowego odpornego na wyłudzenie informacji
• Uwierzytelnianie wieloskładnikowe Microsoft Entra
• Metody uwierzytelniania