Delen via

Planning voor verplichte meervoudige verificatie voor Azure- en andere beheerportals

  • Artikel

Bij Microsoft streven we ernaar om onze klanten het hoogste beveiligingsniveau te bieden. Een van de meest effectieve beveiligingsmaatregelen die voor hen beschikbaar zijn, is meervoudige verificatie (MFA). Onderzoek van Microsoft laat zien dat MFA meer dan 99,2% van de aanvallen met inbreuk op accounts kan blokkeren.

Daarom wordt vanaf 2024 verplichte meervoudige verificatie (MFA) afgedwongen voor alle aanmeldingspogingen van Azure. Bekijk onze blogpost voor meer achtergrondinformatie over deze vereiste. In dit onderwerp wordt beschreven welke toepassingen en accounts worden beïnvloed, hoe afdwinging wordt geïmplementeerd voor tenants en andere veelgestelde vragen en antwoorden.

Er is geen wijziging voor gebruikers als uw organisatie MFA al afdwingt, of als ze zich aanmelden met sterkere methoden, zoals wachtwoordloos of wachtwoordsleutel (FIDO2). Als u wilt controleren of MFA is ingeschakeld, raadpleegt u Controleren of gebruikers zijn ingesteld voor verplichte MFA.

Bereik van afdwinging

Het bereik van afdwinging omvat welke toepassingen MFA willen afdwingen, wanneer afdwinging is gepland en welke accounts een verplichte MFA-vereiste hebben.

Toepassingen

Naam van de toepassing App-id Afdwingingsfase
Azure-portal c44b4083-3bb0-49c1-b47d-974e53cbdf3c Tweede helft van 2024
Microsoft Entra-beheercentrum c44b4083-3bb0-49c1-b47d-974e53cbdf3c Tweede helft van 2024
Microsoft Intune-beheercentrum c44b4083-3bb0-49c1-b47d-974e53cbdf3c Tweede helft van 2024
Microsoft 365-beheercentrum 00000006-0000-0ff1-ce00-00000000000000000 Begin 2025
Azure-opdrachtregelinterface (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 Begin 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 Begin 2025
Mobiele Azure-app 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa Begin 2025
Hulpprogramma's voor Infrastructure as Code (IaC) Azure CLI- of Azure PowerShell-id's gebruiken Begin 2025

Accounts

Alle gebruikers die zich eerder aanmelden bij de toepassingen die eerder worden vermeld om een CRUD-bewerking (Create, Read, Update of Delete) uit te voeren, moeten MFA voltooien wanneer de afdwinging begint. Gebruikers hoeven MFA niet te gebruiken als ze toegang hebben tot andere toepassingen, websites of services die worden gehost in Azure. Elke toepassing, website of service-eigenaar die eerder wordt vermeld, bepaalt de verificatievereisten voor gebruikers.

Break glass- of noodtoegangsaccounts zijn ook vereist om u aan te melden met MFA zodra de afdwinging is gestart. U wordt aangeraden deze accounts bij te werken voor het gebruik van een wachtwoordsleutel (FIDO2) of om verificatie op basis van certificaten voor MFA te configureren. Beide methoden voldoen aan de MFA-vereiste.

Workloadidentiteiten, zoals beheerde identiteiten en service-principals, worden niet beïnvloed door een van beide fasen van deze MFA-afdwinging. Als gebruikersidentiteiten worden gebruikt om zich aan te melden als een serviceaccount om automatisering uit te voeren (inclusief scripts of andere geautomatiseerde taken), moeten deze gebruikersidentiteiten zich aanmelden met MFA zodra de afdwinging is gestart. Gebruikersidentiteiten worden niet aanbevolen voor automatisering. U moet deze gebruikersidentiteiten migreren naar workloadidentiteiten.

Serviceaccounts op basis van gebruikers migreren naar workloadidentiteiten

We raden klanten aan gebruikersaccounts te detecteren die worden gebruikt als serviceaccounts beginnen met het migreren naar workloadidentiteiten. Migratie vereist vaak het bijwerken van scripts en automatiseringsprocessen voor het gebruik van workloadidentiteiten.

Controleer hoe u controleert of gebruikers zijn ingesteld voor verplichte MFA om alle gebruikersaccounts te identificeren, inclusief gebruikersaccounts die worden gebruikt als serviceaccounts, die zich aanmelden bij de toepassingen.

Zie voor meer informatie over het migreren van serviceaccounts op basis van gebruikers naar workloadidentiteiten voor verificatie met deze toepassingen:

Sommige klanten passen beleid voor voorwaardelijke toegang toe op serviceaccounts op basis van gebruikers. U kunt de licentie op basis van de gebruiker vrijmaken en een licentie voor workloadidentiteiten toevoegen om voorwaardelijke toegang toe te passen voor workloadidentiteiten.

Implementatie

Deze vereiste voor MFA bij het aanmelden is geïmplementeerd voor beheerportals. Aanmeldingslogboeken van Microsoft Entra ID worden weergegeven als de bron van de MFA-vereiste.

Verplichte MFA voor beheerportals kan niet worden geconfigureerd. Deze wordt afzonderlijk geïmplementeerd van alle toegangsbeleidsregels die u in uw tenant hebt geconfigureerd.

Als uw organisatie er bijvoorbeeld voor kiest om de standaardinstellingen voor beveiliging van Microsoft te behouden en u momenteel de standaardinstellingen voor beveiliging hebt ingeschakeld, zien uw gebruikers geen wijzigingen omdat MFA al is vereist voor Azure-beheer. Als uw tenant gebruikmaakt van beleid voor voorwaardelijke toegang in Microsoft Entra en u al een beleid voor voorwaardelijke toegang hebt waarmee gebruikers zich aanmelden bij Azure met MFA, zien uw gebruikers geen wijziging. Op dezelfde manier worden beperkende beleidsregels voor voorwaardelijke toegang die gericht zijn op Azure en sterkere verificatie vereisen, zoals phishingbestendige MFA, nog steeds afgedwongen. Gebruikers zien geen wijzigingen.

Afdwingingsfasen

De afdwinging van MFA wordt in twee fasen uitgerold:

  • Fase 1: Vanaf de tweede helft van 2024 moet MFA zich aanmelden bij de Azure-portal, het Microsoft Entra-beheercentrum en het Microsoft Intune-beheercentrum. De afdwinging wordt geleidelijk uitgerold naar alle tenants wereldwijd. Deze fase heeft geen invloed op andere Azure-clients, zoals Azure CLI, Azure PowerShell, mobiele Azure-app of IaC-hulpprogramma's. 

  • Fase 2: Vanaf begin 2025 begint MFA-afdwinging geleidelijk voor aanmelding bij Azure CLI, Azure PowerShell, mobiele Azure-app en IaC-hulpprogramma's. Sommige klanten kunnen een gebruikersaccount gebruiken in Microsoft Entra ID als een serviceaccount. Het is raadzaam om deze op gebruikers gebaseerde serviceaccounts te migreren om cloudserviceaccounts met workloadidentiteiten te beveiligen.

Meldingskanalen

Microsoft informeert alle globale beheerders van Microsoft Entra via de volgende kanalen:

  • E-mail: Globale beheerders die een e-mailadres hebben geconfigureerd, worden per e-mail geïnformeerd over de aanstaande MFA-afdwinging en de acties die moeten worden voorbereid.

  • Servicestatus melding: globale beheerders ontvangen een servicestatusmelding via Azure Portal, met de tracerings-id van 4V20-VX0. Deze melding bevat dezelfde informatie als het e-mailbericht. Globale beheerders kunnen zich ook abonneren op het ontvangen van servicestatusmeldingen via e-mail.

  • Portalmelding: er wordt een melding weergegeven in de Azure-portal, het Microsoft Entra-beheercentrum en het Microsoft Intune-beheercentrum wanneer ze zich aanmelden. De portalmelding is gekoppeld aan dit onderwerp voor meer informatie over de verplichte MFA-afdwinging.

  • Microsoft 365-berichtencentrum: er wordt een bericht weergegeven in het Microsoft 365-berichtencentrum met bericht-id: MC862873. Dit bericht bevat dezelfde informatie als de e-mail- en servicestatusmelding.

Na afdwingen wordt er een banner weergegeven in Meervoudige Verificatie van Microsoft Entra:

Schermopname van een banner in Microsoft Entra-meervoudige verificatie waarin verplichte MFA wordt afgedwongen.

Externe verificatiemethoden en id-providers

Ondersteuning voor externe MFA-oplossingen is in preview met externe verificatiemethoden en kan worden gebruikt om te voldoen aan de MFA-vereiste. De preview van aangepaste besturingselementen voor verouderde voorwaardelijke toegang voldoet niet aan de MFA-vereiste. U moet migreren naar de preview-versie van externe verificatiemethoden om een externe oplossing met Microsoft Entra-id te gebruiken. 

Als u een federatieve id-provider (IdP) gebruikt, zoals Active Directory Federation Services, en uw MFA-provider rechtstreeks is geïntegreerd met deze federatieve IdP, moet de federatieve IdP worden geconfigureerd om een MFA-claim te verzenden.

Meer tijd aanvragen om zich voor te bereiden op afdwinging

We begrijpen dat sommige klanten meer tijd nodig hebben om zich voor te bereiden op deze MFA-vereiste. Microsoft staat klanten met complexe omgevingen of technische barrières toe om de handhaving van hun tenants uit te stellen tot 15 maart 2025.

Tussen 15 augustus 2024 en 15 oktober 2024 kunnen globale beheerders naar Azure Portal gaan om de begindatum van afdwinging voor hun tenant uit te stellen tot 15 maart 2025. Globale beheerders moeten verhoogde toegang hebben voordat de begindatum van afdwinging van Assistent voor beheerde mappen op deze pagina wordt uitgesteld.

Globale beheerders moeten deze actie uitvoeren voor elke tenant waar ze de begindatum van afdwinging willen uitstellen.

Door de begindatum van afdwinging uit te stellen, neemt u extra risico omdat accounts die toegang hebben tot Microsoft-services, zoals Azure Portal, zeer waardevolle doelen zijn voor bedreigingsactoren. We raden alle tenants aan om MFA nu in te stellen om cloudresources te beveiligen. 

Veelgestelde vragen

Vraag: Als de tenant alleen wordt gebruikt voor testen, is MFA vereist?

Antwoord: Ja, voor elke Azure-tenant is MFA vereist. Er zijn geen uitzonderingen.

Vraag: Hoe heeft deze vereiste invloed op de Microsoft 365-beheercentrum?

Antwoord: Verplichte MFA wordt vanaf begin 2025 geïmplementeerd in de Microsoft 365-beheercentrum. Meer informatie over de verplichte MFA-vereiste voor de Microsoft 365-beheercentrum in het blogbericht Aankondiging van verplichte meervoudige verificatie voor de Microsoft 365-beheercentrum.

Vraag: Is MFA verplicht voor alle gebruikers of alleen beheerders?

Antwoord: Alle gebruikers die zich aanmelden bij een van de eerder vermelde toepassingen , moeten MFA voltooien, ongeacht eventuele beheerdersrollen die zijn geactiveerd of in aanmerking komen voor hen, of gebruikersuitsluitingen die voor hen zijn ingeschakeld.

Vraag: Moet ik MFA voltooien als ik de optie kies om aangemeld te blijven?

Antwoord: Ja, zelfs als u Aangemeld blijven kiest, moet u MFA voltooien voordat u zich kunt aanmelden bij deze toepassingen.

Vraag: Is de afdwinging van toepassing op B2B-gastaccounts?

Antwoord: Ja, MFA moet worden nageleefd vanuit de partnerresourcetenant of de thuistenant van de gebruiker als deze juist is ingesteld om MFA-claims naar de resourcetenant te verzenden met behulp van toegang tussen tenants.

Vraag: Hoe kunnen we voldoen als we MFA afdwingen met behulp van een andere id-provider of MFA-oplossing, en we niet afdwingen met Behulp van Microsoft Entra MFA?

Antwoord: De oplossing van de id-provider moet correct worden geconfigureerd om de claim multipleauthn naar Microsoft Entra-id te verzenden. Zie de naslaginformatie voor de externe provider van microsoft Entra-verificatie voor meerdere methoden voor meer informatie.

Vraag: Heeft fase 1 of fase 2 van verplichte MFA invloed op mijn mogelijkheid om te synchroniseren met Microsoft Entra Connect of Microsoft Entra Cloud Sync?

Antwoord: Nee. Het synchronisatieserviceaccount wordt niet beïnvloed door de verplichte MFA-vereiste. Alleen toepassingen die eerder worden vermeld, vereisen MFA voor aanmelding.

Vraag: Kan ik me afmelden?

U kunt zich niet afmelden. Deze beveiligingsbeweging is essentieel voor alle veiligheid en beveiliging van het Azure-platform en wordt herhaald door cloudleveranciers. Zie bijvoorbeeld Secure by Design: AWS om MFA-vereisten in 2024 te verbeteren.

Er is een optie om de begindatum van afdwinging uit te stellen voor klanten. Tussen 15 augustus 2024 en 15 oktober 2024 kunnen globale beheerders naar Azure Portal gaan om de begindatum van afdwinging voor hun tenant uit te stellen tot 15 maart 2025. Globale beheerders moeten verhoogde toegang hebben voordat ze de begindatum van MFA-afdwinging op deze pagina uitstellen. Ze moeten deze actie uitvoeren voor elke tenant die uitstel nodig heeft.

Vraag: Kan ik MFA testen voordat Azure het beleid afdwingt om ervoor te zorgen dat er niets wordt verbroken?

Antwoord: Ja, u kunt hun MFA testen via het handmatige installatieproces voor MFA. We raden u aan dit in te stellen en te testen. Als u voorwaardelijke toegang gebruikt om MFA af te dwingen, kunt u sjablonen voor voorwaardelijke toegang gebruiken om uw beleid te testen. Zie Meervoudige verificatie vereisen voor beheerders die toegang hebben tot Microsoft-beheerportals voor meer informatie. Als u een gratis versie van Microsoft Entra ID uitvoert, kunt u de standaardinstellingen voor beveiliging inschakelen.

Vraag: Wat gebeurt er als ik MFA al heb ingeschakeld?

Antwoord: Klanten die al MFA vereisen voor hun gebruikers die toegang hebben tot de eerder vermelde toepassingen, zien geen wijzigingen. Als u alleen MFA nodig hebt voor een subset van gebruikers, moeten alle gebruikers die nog geen MFA gebruiken, MFA gebruiken wanneer ze zich aanmelden bij de toepassingen.

Vraag: Hoe kan ik MFA-activiteit controleren in Microsoft Entra ID?

Antwoord: Als u details wilt bekijken over wanneer een gebruiker wordt gevraagd zich aan te melden met MFA, gebruikt u het microsoft Entra-aanmeldingsrapport. Zie voor meer informatie de details van aanmeldingsgebeurtenissen voor Meervoudige Verificatie van Microsoft Entra.

Vraag: Wat als ik een 'break glass'-scenario heb?

Antwoord: Het is raadzaam deze accounts bij te werken voor het gebruik van een wachtwoordsleutel (FIDO2) of om verificatie op basis van certificaten voor MFA te configureren. Beide methoden voldoen aan de MFA-vereiste.

Vraag: Wat als ik geen e-mail ontvang over het inschakelen van MFA voordat deze werd afgedwongen, en dan krijg ik een vergrendeling. Hoe kan ik het oplossen? 

Antwoord: Gebruikers mogen niet worden vergrendeld, maar ze krijgen mogelijk een bericht waarin hen wordt gevraagd om MFA in te schakelen zodra de afdwinging voor hun tenant is gestart. Als de gebruiker is vergrendeld, kunnen er andere problemen zijn. Zie Account is vergrendeld voor meer informatie. 

Gerelateerde inhoud

Raadpleeg de volgende onderwerpen voor meer informatie over het configureren en implementeren van MFA: