Planowanie obowiązkowego uwierzytelniania wieloskładnikowego dla platformy Azure i innych portali administracyjnych
W firmie Microsoft dokładamy wszelkich starań, aby zapewnić naszym klientom najwyższy poziom zabezpieczeń. Jedną z najbardziej skutecznych dostępnych środków zabezpieczeń jest uwierzytelnianie wieloskładnikowe (MFA). Badania przeprowadzone przez firmę Microsoft pokazują, że uwierzytelnianie wieloskładnikowe może zablokować ponad 99,2% ataków na naruszenia zabezpieczeń kont.
Dlatego od 2024 r. wymusimy obowiązkowe uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich prób logowania do platformy Azure. Aby uzyskać więcej informacji na temat tego wymagania, zapoznaj się z naszym wpisem w blogu. W tym temacie opisano, których aplikacji dotyczy problem i jak przygotować się do obowiązkowego uwierzytelniania wieloskładnikowego.
Zakres wymuszania
Zakres wymuszania obejmuje, które aplikacje planują wymuszać uwierzytelnianie wieloskładnikowe, gdy planowane jest wymuszanie, oraz które konta mają obowiązkowe wymaganie uwierzytelniania wieloskładnikowego.
Aplikacji
| Nazwa aplikacji | Identyfikator aplikacji | Faza wymuszania |
|---|---|---|
| Witryna Azure Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Druga połowa 2024 r. |
| Centrum administracyjne firmy Microsoft Entra | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Druga połowa 2024 r. |
| Centrum administracyjne usługi Microsoft Intune | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Druga połowa 2024 r. |
| Interfejs wiersza polecenia platformy Azure (interfejs wiersza polecenia platformy Azure) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | Początek 2025 r. |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | Początek 2025 r. |
| Aplikacja mobilna platformy Azure | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | Początek 2025 r. |
| Narzędzia infrastruktury jako kodu (IaC) | Korzystanie z interfejsu wiersza polecenia platformy Azure lub identyfikatorów programu Azure PowerShell | Początek 2025 r. |
Konta
Wszyscy użytkownicy, którzy logują się do aplikacji wymienionych wcześniej, aby wykonać dowolną operację tworzenia, odczytu, aktualizacji lub usuwania (CRUD) będą wymagać uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania. Użytkownicy końcowi, którzy uzyskują dostęp do aplikacji, witryn internetowych lub usług hostowanych na platformie Azure, ale nie logują się do wymienionych aplikacji, nie muszą używać uwierzytelniania wieloskładnikowego. Wymagania dotyczące uwierzytelniania dla użytkowników końcowych są kontrolowane przez właściciela aplikacji, witryny internetowej lub usługi.
Konta dostępu awaryjnego lub awaryjnego są również wymagane do zalogowania się przy użyciu uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania. Zalecamy zaktualizowanie tych kont w celu używania klucza dostępu (FIDO2) lub skonfigurowania uwierzytelniania opartego na certyfikatach na potrzeby uwierzytelniania wieloskładnikowego . Obie metody spełniają wymagania uwierzytelniania wieloskładnikowego.
Tożsamości obciążeń, takie jak tożsamości zarządzane i jednostki usługi, nie mają wpływu na jedną fazę wymuszania usługi Azure MFA. Jeśli tożsamości użytkowników są używane do logowania się jako konto usługi do uruchamiania automatyzacji (w tym skryptów lub innych zautomatyzowanych zadań), te tożsamości użytkowników muszą się zalogować przy użyciu uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania. Tożsamości użytkowników nie są zalecane do automatyzacji. Należy przeprowadzić migrację tych tożsamości użytkowników do tożsamości obciążeń.
Napiwek
Zalecamy klientom obecnie używanie kont użytkowników jako kont usług, które rozpoczynają proces odnajdywania i migracji do tożsamości obciążeń. Często wymaga to aktualizowania skryptów i procesów automatyzacji w celu korzystania z tożsamości obciążeń.
Zapoznaj się z artykułem Przygotowanie do uwierzytelniania wieloskładnikowego , aby zidentyfikować wszystkie konta użytkowników (w tym konta użytkowników używane jako konta usług) logując się do aplikacji fazy 2.
Aby uzyskać wskazówki dotyczące migrowania uwierzytelniania za pomocą tych aplikacji z kont usług opartych na użytkownikach do tożsamości obciążeń, zobacz:
- Logowanie się do platformy Azure przy użyciu tożsamości zarządzanej przy użyciu interfejsu wiersza polecenia platformy Azure
- Logowanie się do platformy Azure przy użyciu jednostki usługi przy użyciu interfejsu wiersza polecenia platformy Azure
- Logowanie się do programu Azure PowerShell nieinterakcyjnego w scenariuszach automatyzacji (zawiera wskazówki dotyczące przypadków użycia tożsamości zarządzanej i jednostki usługi)
Klienci stosujący zasady dostępu warunkowego do kont usług opartych na użytkownikach mogą odzyskać tę licencję opartą na użytkowniku i zastosować licencję tożsamości obciążeń, aby zastosować dostęp warunkowy dla tożsamości obciążeń.
Implementacja
To wymaganie dotyczące uwierzytelniania wieloskładnikowego podczas logowania jest implementowane dla portali administracyjnych. Dzienniki logowania identyfikatora Entra firmy Microsoft pokazują, że jest źródłem wymagania uwierzytelniania wieloskładnikowego.
To wymaganie jest implementowane na podstawie wszystkich zasad dostępu skonfigurowanych w dzierżawie. Jeśli na przykład organizacja zdecydowała się zachować domyślne ustawienia zabezpieczeń firmy Microsoft i masz włączone wartości domyślne zabezpieczeń, użytkownicy nie widzą żadnych zmian, ponieważ uwierzytelnianie wieloskładnikowe jest już wymagane do zarządzania platformą Azure. Jeśli dzierżawa korzysta z zasad dostępu warunkowego w firmie Microsoft Entra i masz już zasady dostępu warunkowego, za pomocą których użytkownicy logują się do platformy Azure za pomocą usługi MFA, użytkownicy nie widzą zmiany. Podobnie wszelkie restrykcyjne zasady dostępu warunkowego przeznaczone dla platformy Azure i wymagają silniejszego uwierzytelniania, takiego jak uwierzytelnianie wieloskładnikowe odporne na wyłudzenie informacji, nadal będą wymuszane. Użytkownicy nie widzą żadnych zmian.
Fazy wymuszania
Wymuszanie uwierzytelniania wieloskładnikowego jest wdrażane w dwóch fazach:
Faza 1: Począwszy od drugiej połowy 2024 r., uwierzytelnianie wieloskładnikowe będzie wymagane do zalogowania się do witryny Azure Portal, centrum administracyjnego firmy Microsoft Entra i centrum administracyjnego usługi Microsoft Intune. Egzekwowanie przepisów będzie stopniowo wdrażane we wszystkich dzierżawach na całym świecie. Ta faza nie wpłynie na innych klientów platformy Azure, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell, aplikacja mobilna platformy Azure lub narzędzia IaC.
Faza 2: Począwszy od początku 2025 r., wymuszanie uwierzytelniania wieloskładnikowego stopniowo rozpoczyna się od logowania do interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell, aplikacji mobilnej platformy Azure i narzędzi IaC. Niektórzy klienci mogą używać konta użytkownika w usłudze Microsoft Entra ID jako konto usługi. Zaleca się przeprowadzenie migracji tych kont usług opartych na użytkownikach w celu zabezpieczenia kont usług opartych na chmurze przy użyciu tożsamości obciążeń.
Kanały powiadomień
Firma Microsoft powiadomi wszystkich administratorów globalnych firmy Microsoft za pośrednictwem następujących kanałów:
Wiadomość e-mail: Administratorzy globalni, którzy skonfigurowali adres e-mail, zostaną poinformowani pocztą e-mail o nadchodzącym wymuszaniu uwierzytelniania wieloskładnikowego i akcjach wymaganych do przygotowania.
Kondycja usługi powiadomienie: Administratorzy globalni otrzymają powiadomienie o kondycji usługi za pośrednictwem witryny Azure Portal z identyfikatorem śledzenia 4V20-VX0. To powiadomienie zawiera te same informacje co wiadomość e-mail. Administratorzy globalni mogą również subskrybować otrzymywanie powiadomień o kondycji usługi za pośrednictwem poczty e-mail.
Powiadomienie w portalu: po zalogowaniu w witrynie Azure Portal, centrum administracyjnym firmy Microsoft Entra i centrum administracyjnym usługi Microsoft Intune zostanie wyświetlone powiadomienie. Powiadomienie portalu zawiera linki do tego tematu, aby uzyskać więcej informacji na temat obowiązkowego wymuszania uwierzytelniania wieloskładnikowego.
Centrum wiadomości platformy Microsoft 365: w centrum wiadomości platformy Microsoft 365 jest wyświetlana wiadomość z tymi samymi informacjami co powiadomienie o kondycji poczty e-mail i usługi.
Przygotowanie do uwierzytelniania wieloskładnikowego
Niezależnie od ról, które mają lub nie mają, wszyscy użytkownicy, którzy uzyskują dostęp do portali administracyjnych i klientów platformy Azure wymienionych w aplikacjach , muszą być skonfigurowani w celu korzystania z uwierzytelniania wieloskładnikowego. Wszyscy użytkownicy, którzy uzyskują dostęp do dowolnego portalu administracyjnego, powinni używać uwierzytelniania wieloskładnikowego. Użyj następujących zasobów, aby skonfigurować uwierzytelnianie wieloskładnikowe dla użytkowników.
- Aby zapoznać się z samouczkiem dotyczącym konfigurowania uwierzytelniania wieloskładnikowego firmy Microsoft Entra, zobacz Samouczek: zabezpieczanie zdarzeń logowania użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft Entra.
- Jeśli obecnie nie potrzebujesz uwierzytelniania wieloskładnikowego w dzierżawie, dostępnych jest kilka opcji konfiguracji (wymienionych w preferowanej kolejności):
- Użyj zasad dostępu warunkowego. Rozpocznij w trybie tylko do raportu i wybierz pozycję Docelowi wszyscy użytkownicy. W trybie tylko do raportu nie konfiguruj wyjątków. Ta konfiguracja ściślej odzwierciedla wzorzec wymuszania programu Microsoft Entra MFA.
- Portale administracyjne firmy Microsoft (w tym portale w zakresie tego wymuszania uwierzytelniania wieloskładnikowego firmy Microsoft)
- Wymagaj uwierzytelniania wieloskładnikowego lub jeśli chcesz uzyskać bardziej szczegółową kontrolę, użyj sił uwierzytelniania
- Jeśli zalogujesz się do Centrum administracyjne platformy Microsoft 365, użyj kreatora uwierzytelniania wieloskładnikowego dla identyfikatora Entra firmy Microsoft.
- Jeśli nie masz licencji Microsoft Entra ID P1 lub P2, możesz włączyć wartości domyślne zabezpieczeń. Użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe zgodnie z potrzebami, ale nie można zdefiniować własnych reguł w celu kontrolowania zachowania.
- Jeśli licencja nie zawiera dostępu warunkowego i nie chcesz używać domyślnych ustawień zabezpieczeń, możesz skonfigurować uwierzytelnianie wieloskładnikowe dla użytkownika. Po włączeniu użytkowników indywidualnie wykonują uwierzytelnianie wieloskładnikowe za każdym razem, gdy się logują. Administrator uwierzytelniania może włączyć niektóre wyjątki.
- Użyj zasad dostępu warunkowego. Rozpocznij w trybie tylko do raportu i wybierz pozycję Docelowi wszyscy użytkownicy. W trybie tylko do raportu nie konfiguruj wyjątków. Ta konfiguracja ściślej odzwierciedla wzorzec wymuszania programu Microsoft Entra MFA.
Skorzystaj z poniższych zasobów, aby znaleźć użytkowników, którzy logujący się przy użyciu usługi MFA i bez uwierzytelniania wieloskładnikowego:
- Aby zidentyfikować logowania użytkowników, które nie są chronione przez uwierzytelnianie wieloskładnikowe, użyj skoroszytu Luki uwierzytelniania wieloskładnikowego.
- Aby wyeksportować listę użytkowników i ich metody uwierzytelniania, użyj programu PowerShell.
Jeśli uruchamiasz zapytania w celu analizowania logowania użytkowników, użyj identyfikatorów aplikacji wymienionych wcześniej.
Metody uwierzytelniania zewnętrznego i dostawcy tożsamości
Obsługa zewnętrznych rozwiązań uwierzytelniania wieloskładnikowego jest dostępna w wersji zapoznawczej z zewnętrznymi metodami uwierzytelniania i może służyć do spełnienia wymagań uwierzytelniania wieloskładnikowego. Starsza wersja kontroli dostępu warunkowego w wersji zapoznawczej nie spełnia wymagań uwierzytelniania wieloskładnikowego. Należy przeprowadzić migrację do wersji zapoznawczej metod uwierzytelniania zewnętrznego, aby użyć rozwiązania zewnętrznego z identyfikatorem Entra firmy Microsoft.
Jeśli używasz federacyjnego dostawcy tożsamości (IdP), takiego jak usługi Active Directory Federation Services, a dostawca usługi MFA jest zintegrowany bezpośrednio z tym federacyjnym dostawcą tożsamości, należy skonfigurować federacyjny dostawcę tożsamości do wysyłania oświadczenia uwierzytelniania wieloskładnikowego.
Zażądaj więcej czasu, aby przygotować się do wymuszania
Rozumiemy, że niektórzy klienci mogą potrzebować więcej czasu na przygotowanie się do tego wymagania uwierzytelniania wieloskładnikowego. Firma Microsoft umożliwia klientom ze złożonymi środowiskami lub barierami technicznymi odroczenie wymuszania dla swoich dzierżaw do 15 marca 2025 r.
Od 15 sierpnia 2024 r. do 15 października 2024 r. administratorzy globalni mogą przejść do witryny Azure Portal , aby odroczyć datę rozpoczęcia wymuszania dla dzierżawy do 15 marca 2025 r. Administratorzy globalni muszą mieć podwyższony poziom dostępu przed datą rozpoczęcia wymuszania uwierzytelniania wieloskładnikowego na tej stronie.
Administratorzy globalni muszą wykonać tę akcję dla każdej dzierżawy, dla której chcą odroczyć datę rozpoczęcia wymuszania.
Po upływie daty rozpoczęcia wymuszania podejmujesz dodatkowe ryzyko, ponieważ konta, które uzyskują dostęp do usługi firmy Microsoft, takich jak witryna Azure Portal, są bardzo cennymi celami dla podmiotów zagrożeń. Zalecamy, aby wszystkie dzierżawy skonfigurowały teraz uwierzytelnianie wieloskładnikowe w celu zabezpieczenia zasobów w chmurze.
Często zadawane pytania
Pytanie: Czy dzierżawa jest używana tylko do testowania, czy wymagana jest uwierzytelnianie wieloskładnikowe?
Odpowiedź: Tak, każda dzierżawa platformy Azure będzie wymagać uwierzytelniania wieloskładnikowego, nie ma wyjątków.
Pytanie: Czy uwierzytelnianie wieloskładnikowe jest obowiązkowe dla wszystkich użytkowników, czy tylko administratorów?
Odpowiedź: Wszyscy użytkownicy, którzy logują się do dowolnej z wymienionych wcześniej aplikacji , są zobowiązani do ukończenia uwierzytelniania wieloskładnikowego, niezależnie od wszystkich ról administratorów, które są aktywowane lub kwalifikujące się do nich, lub wszystkich wykluczeń użytkowników, które są dla nich włączone.
Pytanie: Czy muszę ukończyć uwierzytelnianie wieloskładnikowe, jeśli wybierzę opcję Pozostanie zalogowanym?
Odpowiedź: Tak, nawet jeśli wybierzesz opcję Nie wylogowuj się, musisz ukończyć uwierzytelnianie wieloskładnikowe przed zalogowaniem się do dowolnych aplikacji.
Pytanie: Czy wymuszanie będzie miało zastosowanie do kont gości B2B?
Odpowiedź: Tak, uwierzytelnianie wieloskładnikowe musi być zgodne z dzierżawą zasobów partnera lub dzierżawą główną użytkownika, jeśli skonfigurowano prawidłowo wysyłanie oświadczeń uwierzytelniania wieloskładnikowego do dzierżawy zasobów przy użyciu dostępu między dzierżawami.
Pytanie: Jak możemy zapewnić zgodność, jeśli wymusimy uwierzytelnianie wieloskładnikowe przy użyciu innego dostawcy tożsamości lub rozwiązania MFA i nie będziemy wymuszać przy użyciu usługi Microsoft Entra MFA?
Odpowiedź: Rozwiązanie dostawcy tożsamości musi być prawidłowo skonfigurowane w celu wysłania oświadczenia multipleauthn do identyfikatora Entra. Aby uzyskać więcej informacji, zobacz Dokumentacja zewnętrznego dostawcy metod uwierzytelniania wieloskładnikowego firmy Microsoft.
Pytanie: Czy faza 1 lub faza 2 obowiązkowej uwierzytelniania wieloskładnikowego wpływa na moją możliwość synchronizacji z usługą Microsoft Entra Connect lub Microsoft Entra Cloud Sync?
Odpowiedź: Nie. Konto usługi synchronizacji nie ma wpływu na wymaganie manadatory uwierzytelniania wieloskładnikowego. Tylko aplikacje wymienione wcześniej wymagają uwierzytelniania wieloskładnikowego na potrzeby logowania.
Pytanie: Czy będę mógł zrezygnować?
Nie ma możliwości rezygnacji. Ten ruch zabezpieczeń ma kluczowe znaczenie dla wszystkich zabezpieczeń i bezpieczeństwa platformy Azure i jest powtarzany przez dostawców usług w chmurze. Na przykład zobacz Zabezpieczanie według projektu: AWS, aby zwiększyć wymagania uwierzytelniania wieloskładnikowego w 2024 roku.
Dla klientów jest dostępna opcja odroczenia daty rozpoczęcia wymuszania. Od 15 sierpnia 2024 r. do 15 października 2024 r. administratorzy globalni mogą przejść do witryny Azure Portal , aby odroczyć datę rozpoczęcia wymuszania dla dzierżawy do 15 marca 2025 r. Administratorzy globalni muszą mieć podwyższony poziom dostępu przed odroczeniem daty rozpoczęcia wymuszania uwierzytelniania wieloskładnikowego na tej stronie i muszą wykonać tę akcję dla każdej dzierżawy, dla której chcą odroczyć datę rozpoczęcia wymuszania.
Pytanie: Czy mogę przetestować uwierzytelnianie wieloskładnikowe, zanim platforma Azure wymusza zasady, aby upewnić się, że nic się nie stanie?
Odpowiedź: Tak, możesz przetestować ich uwierzytelnianie wieloskładnikowe za pomocą ręcznego procesu konfiguracji usługi MFA . Zachęcamy do skonfigurowania i przetestowania. Jeśli używasz dostępu warunkowego do wymuszania uwierzytelniania wieloskładnikowego, możesz przetestować zasady przy użyciu szablonów dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Wymaganie uwierzytelniania wieloskładnikowego dla administratorów, którzy uzyskują dostęp do portali administracyjnych firmy Microsoft. Jeśli uruchamiasz bezpłatną wersję identyfikatora Entra firmy Microsoft, możesz włączyć wartości domyślne zabezpieczeń.
Pytanie: Co się stanie, jeśli mam już włączoną usługę MFA, co się stanie dalej?
Odpowiedź: Klienci, którzy już wymagają uwierzytelniania wieloskładnikowego dla swoich użytkowników, którzy uzyskują dostęp do aplikacji wymienionych wcześniej, nie widzą żadnych zmian. Jeśli potrzebujesz tylko uwierzytelniania wieloskładnikowego dla podzbioru użytkowników, wszyscy użytkownicy, którzy nie korzystają już z uwierzytelniania wieloskładnikowego, będą teraz musieli używać uwierzytelniania wieloskładnikowego podczas logowania się do aplikacji.
Pytanie: Jak mogę przejrzeć działanie uwierzytelniania wieloskładnikowego w identyfikatorze Entra firmy Microsoft?
Odpowiedź: Aby przejrzeć szczegółowe informacje o tym, kiedy użytkownik jest monitowany o zalogowanie się przy użyciu uwierzytelniania wieloskładnikowego, użyj raportu logowania firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Szczegóły zdarzenia logowania dla uwierzytelniania wieloskładnikowego firmy Microsoft.
Pytanie: Co zrobić, jeśli mam scenariusz "szklenia"?
Odpowiedź: Zalecamy zaktualizowanie tych kont w celu używania klucza dostępu (FIDO2) lub skonfigurowania uwierzytelniania opartego na certyfikatach na potrzeby uwierzytelniania wieloskładnikowego . Obie metody spełniają wymagania uwierzytelniania wieloskładnikowego.
Pytanie: Co zrobić, jeśli nie otrzymuję wiadomości e-mail o włączeniu uwierzytelniania wieloskładnikowego przed jej wymuszeniem, a następnie otrzymuję blokadę. Jak należy rozwiązać ten problem?
Odpowiedź: Użytkownicy nie powinni być zablokowani, ale mogą otrzymać komunikat z monitem o włączenie uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania dzierżawy. Jeśli użytkownik jest zablokowany, mogą wystąpić inne problemy. Aby uzyskać więcej informacji, zobacz Konto zostało zablokowane.
Następne kroki
Zapoznaj się z następującymi tematami, aby dowiedzieć się więcej na temat konfigurowania i wdrażania uwierzytelniania wieloskładnikowego:
- Zabezpieczanie zdarzeń logowania za pomocą wieloskładnikowej usługi Microsoft Entra
- Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft
- Metody uwierzytelniania wieloskładnikowego odpornego na wyłudzenie informacji
- Uwierzytelnianie wieloskładnikowe firmy Microsoft
- Metody uwierzytelniania