規劃 Azure 和其他系統管理入口網站的強制多重要素驗證
在 Microsoft,我們致力於為客戶提供最高層級的安全性。 其中一個最有效的安全措施是多重要素驗證 (MFA)。 Microsoft 的研究顯示,MFA 可封鎖超過 99.2% 的帳戶入侵攻擊。
這正是我們從 2024 年開始,對所有 Azure 登入嘗試執行強制性多重要素驗證 (MFA) 的原因。 如需此需求的其他背景資訊,請參閱我們的部落格文章。 本主題涵蓋哪些應用程式會受到影響,以及如何準備強制性 MFA。
強制執行範圍
強制執行範圍包括哪些應用程式計劃強制執行 MFA、計劃強制執行的時間,以及哪些帳戶具有強制性 MFA 需求。
應用程式
| 應用程式名稱 | 應用程式識別碼 | 強制執行階段 |
|---|---|---|
| Azure 入口網站 | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024 年下半年 |
| Microsoft Entra 系統管理中心 | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024 年下半年 |
| Microsoft Intune 系統管理中心 | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024 年下半年 |
| Azure 命令列介面 (Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | 2025 年初 |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | 2025 年初 |
| Azure 行動應用程式 | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | 2025 年初 |
| 基礎結構即程式碼 (IaC) 工具 | 使用 Azure CLI 或 Azure PowerShell ID | 2025 年初 |
帳戶
登入先前所列應用程式,以執行任何建立、讀取、更新或刪除 (CRUD) 作業的使用者,在強制執行開始時都需要 MFA。 存取 Azure 上託管之應用程式、網站或服務,但不需要登入所列應用程式的終端使用者,不需要使用 MFA。 終端使用者的驗證需求由應用程式、網站或服務擁有者控制。
強制執行開始後,還必須使用 MFA 登入急用或緊急存取帳戶。 建議您更新這些帳戶,以使用複雜密鑰 (FIDO2) 或設定 MFA 的憑證式驗證。 這兩種方法都滿足 MFA 需求。
工作負載身分識別,例如受控識別和服務主體,不受 MFA 強制執行任一階段的影響。 如果使用者身分識別用於以服務帳戶身分登入來執行自動化 (包括指令碼或其他自動化工作),這些使用者身分識別必須在強制執行開始後使用 MFA 登入。 不建議自動化使用者身分識別。 您應將這些使用者身分識別移轉至工作負載身分識別。
提示
建議目前使用使用者帳戶作為服務帳戶的客戶開始探索和移轉至工作負載身分識別的過程。 這通常需要更新指令碼和自動化程式,才能使用工作負載身分識別。
檢閱準備多重要素驗證,以識別登入階段 2 應用程式的所有使用者帳戶 (包括作為服務帳戶使用的使用者帳戶)。
如需有關將這些應用程式從使用者型服務帳戶移轉至工作負載身分識別的指引,請參閱:
- 使用 Azure CLI 透過受控識別登入 Azure
- 使用 Azure CLI 透過服務主體登入 Azure
- 針對自動化案例以非互動方式登入 Azure PowerShell (包含受控識別和服務主體使用案例的指引)
將條件式存取原則套用至使用者型服務帳戶的客戶可以回收此使用者型授權,並套用工作負載身分識別授權,以套用工作負載身分識別的條件式存取。
實作
用於管理入口網站實作登入時的 MFA 需求。 Microsoft Entra ID 登入記錄會顯示為 MFA 需求的來源。
您對租用戶進行設定時,此需求會在任何存取原則之上實作。 例如,如果您的組織選擇保留 Microsoft 的安全性預設值,而且您目前已啟用安全性預設值,您的使用者不會看到任何變更,因為 Azure 管理已經需要 MFA。 如果您的租用戶在 Microsoft Entra 中使用條件式存取原則,而且您已經有條件式存取原則,則使用者使用 MFA 登入 Azure 時,不會看到變更。 同樣,任何針對 Azure 且需要更強身分驗證的條件式存取原則,例如網路釣魚防護 MFA,都會繼續強制執行。 使用者不會看到任何變更。
強制執行階段
MFA 的強制執行會在兩個階段推出:
階段 1:從 2024 年下半年開始,將需要 MFA 才能登入 Azure 入口網站、Microsoft Entra 系統管理中心和 Intune 系統管理中心。 該強制執行措施將逐步推廣至全球所有租用戶。 此階段不會影響其他 Azure 用戶端,例如 Azure CLI、Azure PowerShell、Azure 行動應用程式和 IaC 工具。
階段 2:從 2025 年初開始,在登入 Azure CLI、Azure PowerShell、Azure 行動應用程式和 IaC 工具時逐步強制執行 MFA。 某些客戶可能會使用 Microsoft Entra ID 中的使用者帳戶作為服務帳戶。 建議移轉這些使用者型服務帳戶,以保護具有工作負載身分識別的雲端式服務帳戶。
通知通道
Microsoft 會透過下列通道,通知所有 Microsoft Entra 全域系統管理員:
電子郵件:已設定電子郵件地址的全域系統管理員會透過電子郵件,通知即將強制執行的 MFA,以及準備所需的動作。
服務健康情況通知:全域系統管理員會透過 Azure 入口網站,接收服務健康情況通知,且追蹤 ID 為 4V20-VX0。 此通知包含與電子郵件相同的資訊。 全域系統管理員還可訂閱透過電子郵件接收服務健康情況通知。
入口網站通知:登入時,Azure 入口網站、Microsoft Entra 系統管理中心和 Microsoft Intune 系統管理中心會出現通知。 入口網站通知會連結至本主題,以取得強制性 MFA 執行的詳細資訊。
Microsoft 365 訊息中心:Microsoft 365 訊息中心中出現的訊息與電子郵件和服務健康情況通知相同的資訊相同。
準備多重要素驗證
無論是否擁有任何角色,存取應用程式中所列管理員入口網站和 Azure 用戶端的所有使用者,都必須設定為使用 MFA。 所有存取任何管理入口網站的使用者都應使用 MFA。 使用下列資源為您的使用者設定 MFA。
- 如需如何設定 Microsoft Entra MFA 的教學課程,請參閱教學課程:使用 Microsoft Entra 多重要素驗證維護使用者登入事件的安全。
- 如果您的租用戶中目前不需要 MFA,可使用多個選項來設定 (依偏好順序列出):
- 使用條件式存取原則。 以報告專用模式啟動,並針對所有使用者。 在報告專用模式中,請勿設定例外。 此設定會更密切地鏡像 Microsoft Entra MFA 程式的強制模式。
- Microsoft 管理入口網站 (包括此 Microsoft Entra MFA 強制執行範圍內的入口網站)
- 需要多重要素驗證,或如果您想要更細微的控制,請使用驗證強度
- 如果您登入 Microsoft 365 系統管理中心,請使用 MFA 精靈設定 Microsoft Entra ID。
- 如果您沒有 Microsoft Entra ID P1 或 P2 授權,可啟用安全性預設值。 系統會視需要提示使用者進行 MFA,但您無法定義自己的規則來控制行為。
- 如果您的授權不包含條件式存取,而且您不想使用安全性預設值,可設定每位使用者的 MFA。 當您個別啟用使用者時,使用者每次登入時都要執行 MFA。 驗證系統管理員可啟用一些例外。
- 使用條件式存取原則。 以報告專用模式啟動,並針對所有使用者。 在報告專用模式中,請勿設定例外。 此設定會更密切地鏡像 Microsoft Entra MFA 程式的強制模式。
使用下列資源來尋找使用和不使用 MFA 登入的使用者:
- 若要識別不受 MFA 保護的使用者登入,請使用多重要素驗證差距活頁簿。
- 若要匯出使用者及其驗證方法清單,請使用 PowerShell。
如果您執行查詢來分析使用者登入,請使用先前所列應用程式的應用程式 ID。
外部驗證方法和識別提供者
外部 MFA 解決方案支援在使用外部驗證方法的預覽版中提供,而且可用戶滿足 MFA 需求。 舊版條件式存取自動控件預覽版無法滿足 MFA 需求。 您應移轉至外部驗證方法預覽版,以使用具有 Microsoft Entra ID 的外部解決方案。
如果您使用同盟識別提供者 (IdP),例如 Active Directory 同盟服務,且您的 MFA 提供者直接與此同盟 IdP 整合,必須設定同盟 IdP 設定以傳送 MFA 宣告。
要求更多時間來準備強制執行
我們了解某些客戶可能需要更多時間來準備此 MFA 需求。 Microsoft 允許具有複雜環境或技術障礙的客戶,將其租用戶的強制執行延後到 2025 年 3 月 15 日。
在 2024 年 8 月 15 日至 2024 年 10 月 15 日之間,全域系統管理員可移至 Azure 入口網站,將其租用戶的強制執行開始日期延後到 2025 年 3 月 15 日。 全域系統管理員必須先擁有提高的存取權,然後才能延後此頁面的 MFA 強制執行開始日期。
針對每個想要延後強制執行開始日期的租用戶,全域系統管理員必須執行此動作。
延後強制執行的開始日期,您將承擔額外的風險,因為存取 Azure 入口網站等 Microsoft 服務的帳戶對於威脅行為者而言是非常有價值的目標。 建議所有租用戶現在都設定 MFA 來保護雲端資源。
常見問題集
問題:如果租用戶僅用於測試,是否需要 MFA?
回答:是,每個 Azure 租用戶都需要 MFA,沒有任何例外。
問題:所有使用者還是僅系統管理員需要 MFA?
回答:登入任何所列應用程式的所有使用者都必須完成 MFA,無論是否為啟用或符合資格的任何系統管理員角色,或是為其啟用了任何 使用者排除。
請問:如果我選擇 [保持登入] 選項,是否需要完成 MFA?
回答:是,即使您選擇 [保持登入],您仍須先完成 MFA,才能登入任何 應用程式。
請問:強制執行是否會套用至 B2B 來賓帳戶?
回答:是,如果已正確設定 MFA,則必須從合作夥伴資源租用戶或使用者的主租用戶遵守 MFA 聲明,才能使用跨租用戶存取來將 MFA 聲明傳送給資源租用戶。
請問:如果我們使用另一個識別提供者或 MFA 解決方案來強制執行 MFA,我們該如何遵守,以及若我們不使用 Microsoft Entra MFA 來強制執行?
回答:識別提供者解決方案必須正確設定,才能將多重驗證聲明傳送至 Entra ID。 如需其他資訊,請參與《Microsoft Entra 多重要素驗證外部方法供應商參考》。
請問:強制 MFA 階段 1 或階段 2 會影響我與 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 同步的功能嗎?
回答:否。 同步處理服務帳戶不會受到強制 MFA 需求的影響。 只有先前列出的應用程式需要 MFA 才能登入。
問題:是否可以選擇退出?
無法選擇退出。此安全性動作對於 Azure 平台的所有安全和保障都至關重要,而且會在雲端廠商之間重複執行。 例如,請參閱透過設計確保安全:AWS 於 2024 年增強 MFA 需求。
客戶可選擇延後強制開始日期。 在 2024 年 8 月 15 日至 2024 年 10 月 15 日之間,全域系統管理員可移至 Azure 入口網站,將其租用戶的強制執行開始日期延後到 2025 年 3 月 15 日。 全域系統管理員必須先升級存取,才能延後此頁面的 MFA 強制執行開始日期,而且必須針對想要延後強制執行開始日期的每位租用戶執行此動作。
問題:在 Azure 強制執行原則以確保沒有任何中斷之前,是否可以測試 MFA?
回答:是,您可透過手動設定 MFA 程序來測試其 MFA。 我們鼓勵您設定並進行測試。 如果您使用條件式存取來強制執行 MFA,您可以使用條件式存取範本來測試您的原則。 如需其他資訊,請參閱《管理員需要多重要素驗證才能存取 Microsoft 系統管理入口網站》。 如果您執行免費版本的 Microsoft Entra ID,您可以啟用安全性預設值。
問題:如果我已啟用 MFA,接下來會發生什麼情況?
回答:已經要求 MFA 的客戶,其使用者若存取先前列出的應用程式,則看不到任何變更。 如果您只需要使用者子集的 MFA,則任何尚未使用 MFA 的使用者,現在都必須在登入應用程式時使用 MFA。
請問:如何在 Microsoft Entra ID 中檢閱 MFA 活動?
回答:若要檢閱使用者何時提示使用 MFA 登入的詳細資料,請使用 Microsoft Entra 登入報告。 如需其他資訊,請參閱《Microsoft Entra 多重要素驗證的 Microsoft 登入事件詳細資料》。
問題:如果我有「急用」案例,該怎麼辦?
回答:建議更新這些帳戶,以使用密鑰 (FIDO2) 或設定 MFA 的憑證式驗證。 這兩種方法都滿足 MFA 需求。
問題:如果我在強制執行 MFA 之前,未收到有關啟用 MFA 的電子郵件,然後遭到鎖定該怎麼辦。如何解決?
回答:使用者不應遭到鎖定,但對其租用戶啟動強制執行後,他們可能會收到訊息,提示他們啟用 MFA。 如果使用者遭到鎖定,可能會有其他問題。 如需詳細資訊,請參閱帳戶已鎖定。
下一步
請檢閱下列主題,以深入了解如何設定及部署 MFA: