Sdílet prostřednictvím

Plánování povinného vícefaktorového ověřování pro Azure a další portály pro správu

  • Článek

V Microsoftu se zavazujeme poskytovat našim zákazníkům nejvyšší úroveň zabezpečení. Jedním z nejúčinnějších dostupných bezpečnostních opatření je vícefaktorové ověřování (MFA). Výzkum od Microsoftu ukazuje, že vícefaktorové ověřování může blokovat více než 99,2 % útoků na ohrožení účtu.

Proto od roku 2024 vynutíme povinné vícefaktorové ověřování (MFA) pro všechny pokusy o přihlášení k Azure. Další informace o tomto požadavku najdete v našem blogovém příspěvku. Toto téma popisuje, které aplikace a účty jsou ovlivněné, jak se vynucuje tenantům, a další běžné otázky a odpovědi.

Pokud už vaše organizace vynucuje vícefaktorové ověřování pro ně, nebo pokud se přihlašují pomocí silnějších metod, jako je bez hesla nebo klíč (FIDO2), neexistuje žádná změna. Pokud chcete ověřit, že je vícefaktorové ověřování povolené, přečtěte si, jak ověřit, jestli jsou uživatelé nastaveni pro povinné vícefaktorové ověřování.

Rozsah vynucování

Rozsah vynucování zahrnuje, které aplikace plánují vynucovat vícefaktorové ověřování, kdy se má vynucovat, a které účty mají povinný požadavek na vícefaktorové ověřování.

Aplikace

Název aplikace ID aplikace Fáze vynucení
Azure Portal c44b4083-3bb0-49c1-b47d-974e53cbdf3c Druhá polovina roku 2024
Centrum pro správu Microsoft Entra c44b4083-3bb0-49c1-b47d-974e53cbdf3c Druhá polovina roku 2024
Centrum pro správu Microsoft Intune c44b4083-3bb0-49c1-b47d-974e53cbdf3c Druhá polovina roku 2024
Centrum pro správu Microsoftu 365 00000006-0000-0ff1-ce00-000000000000 Začátkem roku 2025
Rozhraní příkazového řádku Azure (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 Začátkem roku 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 Začátkem roku 2025
Mobilní aplikace Azure 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa Začátkem roku 2025
Nástroje infrastruktury jako kódu (IaC) Použití AZURE CLI nebo ID Azure PowerShellu Začátkem roku 2025

Účty

Všichni uživatelé, kteří se přihlašují k dříve uvedeným aplikacím , aby provedli jakoukoli operaci vytvoření, čtení, aktualizace nebo odstranění (CRUD), musí po zahájení vynucení dokončit vícefaktorové ověřování. Uživatelé nemusí používat vícefaktorové ověřování, pokud přistupují k jiným aplikacím, webům nebo službám hostovaným v Azure. Každá aplikace, web nebo vlastník služby uvedené výše řídí požadavky na ověřování pro uživatele.

Po zahájení vynucování se k přihlášení pomocí vícefaktorového ověřování vyžadují také účty pro přerušení nebo nouzový přístup. Doporučujeme, abyste tyto účty aktualizovali tak, aby používaly klíč (FIDO2) nebo nakonfigurovali ověřování na základě certifikátů pro vícefaktorové ověřování . Obě metody splňují požadavek vícefaktorového ověřování.

Na identity úloh, jako jsou spravované identity a instanční objekty, nemá vliv ani jedna fáze tohoto vynucení vícefaktorového ověřování. Pokud se identity uživatelů používají k přihlášení jako účet služby ke spuštění automatizace (včetně skriptů nebo jiných automatizovaných úloh), musí se tyto identity uživatelů po zahájení vynucení přihlásit pomocí vícefaktorového ověřování. Pro automatizaci se nedoporučují identity uživatelů. Tyto identity uživatelů byste měli migrovat do identit úloh.

Migrace uživatelských účtů služeb do identit úloh

Doporučujeme zákazníkům zjistit uživatelské účty, které se používají jako účty služeb, a začít je migrovat do identit úloh. Migrace často vyžaduje aktualizaci skriptů a procesů automatizace pro použití identit úloh.

Přečtěte si, jak ověřit, že jsou uživatelé nastaveni pro povinné vícefaktorové ověřování k identifikaci všech uživatelských účtů, včetně uživatelských účtů používaných jako účty služeb, které se přihlašují k aplikacím.

Další informace o tom, jak migrovat z uživatelských účtů služeb na identity úloh pro ověřování pomocí těchto aplikací, najdete tady:

Někteří zákazníci používají zásady podmíněného přístupu u účtů služeb založených na uživatelích. Licenci založenou na uživatelích můžete uvolnit a přidat licenci identit úloh pro použití podmíněného přístupu pro identity úloh.

Implementace

Tento požadavek na vícefaktorové ověřování při přihlašování se implementuje pro portály pro správu. Protokoly přihlášení k ID Microsoft Entra se zobrazují jako zdroj požadavku na vícefaktorové ověřování.

Povinné vícefaktorové ověřování pro portály pro správu není možné konfigurovat. Implementuje se odděleně od všech zásad přístupu, které jste nakonfigurovali ve svém tenantovi.

Pokud se například vaše organizace rozhodla zachovat výchozí nastavení zabezpečení Microsoftu a v současné době máte povolené výchozí nastavení zabezpečení, neuvidí vaši uživatelé žádné změny, protože pro správu Azure už je potřeba vícefaktorové ověřování. Pokud váš tenant používá zásady podmíněného přístupu v Microsoft Entra a už máte zásady podmíněného přístupu, pomocí kterých se uživatelé přihlašují k Azure pomocí MFA, neuvidí vaši uživatelé změnu. Podobně platí, že všechny omezující zásady podmíněného přístupu, které cílí na Azure, a vyžadují silnější ověřování, jako je například vícefaktorové ověřování odolné proti útokům phishing, se budou dál vynucovat. Uživatelé nevidí žádné změny.

Fáze vynucení

Vynucení vícefaktorového ověřování se provádí ve dvou fázích:

  • Fáze 1: Od druhé poloviny roku 2024 se vícefaktorové ověřování bude vyžadovat pro přihlášení k webu Azure Portal, Centru pro správu Microsoft Entra a Centru pro správu Microsoft Intune. Vynucování se postupně zavede do všech tenantů po celém světě. Tato fáze nebude mít vliv na ostatní klienty Azure, jako jsou Azure CLI, Azure PowerShell, mobilní aplikace Azure nebo nástroje IaC. 

  • Fáze 2: Počínaje začátkem roku 2025 začne vynucování vícefaktorového ověřování postupně přihlašovat k Azure CLI, Azure PowerShellu, mobilní aplikaci Azure a nástrojům IaC. Někteří zákazníci můžou jako účet služby použít uživatelský účet v Microsoft Entra ID. Doporučujeme migrovat tyto uživatelské účty služeb na zabezpečení cloudových účtů služeb s identitami úloh.

Kanály oznámení

Microsoft upozorní všechny globální správce Microsoft Entra prostřednictvím následujících kanálů:

  • E-mail: Globální správci, kteří nakonfigurovali e-mailovou adresu, budou informováni e-mailem o nadcházejícím vynucení vícefaktorového ověřování a akcích, které je potřeba připravit.

  • Stav služby oznámení: Globální správci obdrží oznámení o stavu služby prostřednictvím webu Azure Portal s ID sledování 4V20-VX0. Toto oznámení obsahuje stejné informace jako e-mail. Globální správci se také můžou přihlásit k odběru oznámení o stavu služby prostřednictvím e-mailu.

  • Oznámení portálu: Oznámení se zobrazí na webu Azure Portal, v Centru pro správu Microsoft Entra a v Centru pro správu Microsoft Intune, když se přihlásí. Odkazy na oznámení na portálu najdete v tomto tématu, kde najdete další informace o povinném vynucení vícefaktorového ověřování.

  • Centrum zpráv Microsoftu 365: V Centru zpráv Microsoftu 365 se zobrazí zpráva s ID zprávy: MC862873. Tato zpráva obsahuje stejné informace jako e-mail a oznámení o stavu služby.

Po vynucování se ve vícefaktorovém ověřování Microsoftu zobrazí banner:

Snímek obrazovky s bannerem v vícefaktorovém ověřování Microsoft Entra, který ukazuje, že se vynucuje povinné vícefaktorové ověřování

Metody externího ověřování a zprostředkovatelé identity

Podpora externích řešení vícefaktorového ověřování je ve verzi Preview s metodami externího ověřování a dá se použít ke splnění požadavků na vícefaktorové ověřování. Starší verze vlastních ovládacích prvků podmíněného přístupu ve verzi Preview nevyhovuje požadavkům vícefaktorového ověřování. Pokud chcete použít externí řešení s ID Microsoft Entra, měli byste provést migraci na metody externího ověřování ve verzi Preview. 

Pokud používáte federovaného zprostředkovatele identity (IDP), jako je Active Directory Federation Services (AD FS), a váš zprostředkovatel MFA je integrovaný přímo s tímto federovaným zprostředkovatelem identity, musí být federovaný zprostředkovatele identity nakonfigurovaný tak, aby odeslal deklaraci vícefaktorového ověřování. Další informace naleznete v části Očekávané příchozí kontrolní výroky pro Microsoft Entra MFA.

Požádat o další čas na přípravu na vynucování

Chápeme, že někteří zákazníci můžou potřebovat více času na přípravu na tento požadavek vícefaktorového ověřování. Microsoft umožňuje zákazníkům se složitými prostředími nebo technickými překážkami odložit vynucení pro své tenanty do 15. března 2025.

Od 15. srpna 2024 do 15. října 2024 můžou globální správci přejít na azure Portal a odložit počáteční datum vynucení tenanta na 15. března 2025. Před odložením počátečního data vynucování vícefaktorového ověřování na této stránce musí mít globální správci přístup se zvýšenými oprávněními.

Globální správci musí tuto akci provést pro každého tenanta, u kterého chtějí odložit počáteční datum vynucení.

Když odložíte počáteční datum vynucování, riskujete, protože účty, které přistupují k služby Microsoft, jako je Azure Portal, jsou vysoce cenné cíle pro aktéry hrozeb. Doporučujeme, aby všichni tenanti nastavili vícefaktorové ověřování pro zabezpečení cloudových prostředků. 

Nejčastější dotazy

Otázka: Pokud se tenant používá jenom k testování, vyžaduje se vícefaktorové ověřování?

Odpověď: Ano, každý tenant Azure bude vyžadovat vícefaktorové ověřování, neexistují žádné výjimky.

Otázka: Jaký vliv má tento požadavek na Centrum pro správu Microsoftu 365?

Odpověď: Povinné vícefaktorové ověřování se zavede do Centrum pro správu Microsoftu 365 počínaje začátkem roku 2025. Přečtěte si další informace o povinném požadavku vícefaktorového ověřování pro Centrum pro správu Microsoftu 365 v blogovém příspěvku s oznámením povinného vícefaktorového ověřování pro Centrum pro správu Microsoftu 365.

Otázka: Je vícefaktorové ověřování povinné pro všechny uživatele nebo jenom správce?

Odpověď: Všichni uživatelé, kteří se přihlašují k některé z dříve uvedených aplikací , musí dokončit vícefaktorové ověřování bez ohledu na všechny role správce, které jsou pro ně aktivované nebo způsobilé, nebo všechna vyloučení uživatelů, která jsou pro ně povolená.

Otázka: Budu muset dokončit vícefaktorové ověřování, pokud zvolím možnost Zůstat přihlášeni?

Odpověď: Ano, i když zvolíte Zůstat přihlášeni, musíte před přihlášením k těmto aplikacím dokončit vícefaktorové ověřování.

Otázka: Bude se vynucení vztahovat na účty hostů B2B?

Odpověď: Ano, vícefaktorové ověřování musí být dodrženo buď z tenanta partnerského prostředku, nebo z domovského tenanta uživatele, pokud je správně nastavené odesílání deklarací vícefaktorového ověřování do tenanta prostředku pomocí přístupu mezi tenanty.

Otázka: Jak můžeme dodržovat, pokud vícefaktorové ověřování vynucujeme pomocí jiného zprostředkovatele identity nebo řešení MFA a nevynucujeme ho pomocí Microsoft Entra MFA?

Odpověď: Řešení zprostředkovatele identity musí být správně nakonfigurované tak, aby se deklarace identity multipleauthn odeslala do Microsoft Entra ID. Další informace naleznete v tématu Microsoft Entra multifactor authentication external method provider reference.

Otázka: Ovlivní fáze 1 nebo fáze 2 povinného vícefaktorového ověřování moji schopnost synchronizovat se službou Microsoft Entra Connect nebo Microsoft Entra Cloud Sync?

Odpověď: Ne. Povinný požadavek na vícefaktorové ověřování nemá vliv na účet synchronizační služby. Pro přihlášení vyžadují vícefaktorové ověřování jenom aplikace uvedené výše.

Otázka: Můžu se odhlásit?

Neexistuje způsob, jak se odhlásit. Tento pohyb zabezpečení je důležitý pro veškerou bezpečnost a zabezpečení platformy Azure a opakuje se napříč dodavateli cloudu. Podívejte se například na téma Zabezpečení podle návrhu: AWS pro vylepšení požadavků na vícefaktorové ověřování v roce 2024.

Pro zákazníky je k dispozici možnost odložit počáteční datum vynucení. Od 15. srpna 2024 do 15. října 2024 můžou globální správci přejít na azure Portal a odložit počáteční datum vynucení tenanta na 15. března 2025. Globální správci musí mít zvýšenou úroveň přístupu , než odloží počáteční datum vynucení vícefaktorového ověřování na této stránce. Musí provést tuto akci pro každého tenanta, který potřebuje odložit.

Otázka: Můžu mfaktorové ověřování otestovat předtím, než Azure vynutí zásadu, aby se zajistilo, že se nic nepokazí?

Odpověď: Ano, vícefaktorové ověřování můžete otestovat prostřednictvím ručního procesu nastavení vícefaktorového ověřování. Doporučujeme vám toto nastavení a testování. Pokud k vynucení vícefaktorového ověřování používáte podmíněný přístup, můžete k otestování zásad použít šablony podmíněného přístupu. Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro správce přistupující k portálům pro správu Microsoftu. Pokud spustíte bezplatnou edici Microsoft Entra ID, můžete povolit výchozí nastavení zabezpečení.

Otázka: Co když už mám povolené vícefaktorové ověřování, co se stane dál?

Odpověď: Zákazníci, kteří už vyžadují vícefaktorové ověřování pro své uživatele, kteří přistupují k dříve uvedeným aplikacím, nevidí žádnou změnu. Pokud vyžadujete vícefaktorové ověřování jenom pro podmnožinu uživatelů, budou teď muset všichni uživatelé, kteří vícefaktorové ověřování nepoužívají, používat vícefaktorové ověřování, když se přihlásí k aplikacím.

Otázka: Jak můžu zkontrolovat aktivitu vícefaktorového ověřování v Microsoft Entra ID?

Odpověď: Pokud chcete zkontrolovat podrobnosti o tom, kdy se uživateli zobrazí výzva k přihlášení pomocí vícefaktorového ověřování, použijte sestavu přihlášení Microsoft Entra. Další informace naleznete v tématu Podrobnosti o události přihlášení pro vícefaktorové ověřování Microsoft Entra.

Otázka: Co když mám scénář "rozbitého skla"?

Odpověď: Doporučujeme tyto účty aktualizovat tak, aby používaly klíč (FIDO2) nebo pro vícefaktorové ověřování konfigurovali ověřování na základě certifikátů. Obě metody splňují požadavek vícefaktorového ověřování.

Otázka: Co když nedostanu e-mail o povolení vícefaktorového ověřování dřív, než se vynutí, a pak se uzamknu. Jak to mám vyřešit? 

Odpověď: Uživatelé by neměli být uzamčeni, ale můžou se jim zobrazit zpráva s výzvou k povolení vícefaktorového ověřování po spuštění vynucení tenanta. Pokud je uživatel uzamčený, můžou se zde vyskytovat další problémy. Další informace najdete v tématu Uzamčení účtu. 

Související obsah

Další informace o konfiguraci a nasazení vícefaktorového ověřování najdete v následujících tématech: