Planowanie obowiązkowego uwierzytelniania wieloskładnikowego dla platformy Azure i innych portali administracyjnych
W firmie Microsoft dokładamy wszelkich starań, aby zapewnić naszym klientom najwyższy poziom zabezpieczeń. Jedną z najbardziej skutecznych dostępnych środków zabezpieczeń jest uwierzytelnianie wieloskładnikowe (MFA). Badania przeprowadzone przez firmę Microsoft pokazują, że uwierzytelnianie wieloskładnikowe może zablokować ponad 99,2% ataków na naruszenia zabezpieczeń kont.
Dlatego od 2024 r. wymusimy obowiązkowe uwierzytelnianie wieloskładnikowe dla wszystkich prób logowania do platformy Azure. Aby uzyskać więcej informacji na temat tego wymagania, zobacz nasz wpis w blogu . W tym temacie opisano, których aplikacji i kont dotyczy problem, sposobu wdrażania wymuszania w dzierżawach oraz innych typowych pytań i odpowiedzi.
Nie ma żadnych zmian dla użytkowników, jeśli organizacja już wymusza uwierzytelnianie wieloskładnikowe dla nich lub jeśli logują się za pomocą silniejszych metod, takich jak bez hasła lub klucz dostępu (FIDO2). Aby sprawdzić, czy uwierzytelnianie wieloskładnikowe jest włączone, zobacz Jak sprawdzić, czy użytkownicy są skonfigurowani pod kątem obowiązkowej uwierzytelniania wieloskładnikowego.
Zakres wymuszania
Zakres egzekwowania obejmuje, które aplikacje będą objęte egzekwowaniem MFA, aplikacje, które są poza zakresem, kiedy planowane jest egzekwowanie, oraz które konta mają obowiązek stosowania MFA.
Aplikacje
W poniższej tabeli wymieniono aplikacje, identyfikatory aplikacji i adresy URL platformy Azure.
| Nazwa aplikacji | Identyfikator aplikacji | Wymuszanie rozpoczyna się |
|---|---|---|
| Witryna Azure Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Druga połowa 2024 r. |
| Centrum administracyjne firmy Microsoft Entra | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Druga połowa 2024 r. |
| Centrum administracyjne usługi Microsoft Intune | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Druga połowa 2024 r. |
| Interfejs wiersza polecenia platformy Azure (interfejs wiersza polecenia platformy Azure) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | Początek 2025 r. |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | Początek 2025 r. |
| Aplikacja mobilna platformy Azure | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | Początek 2025 r. |
| Narzędzia infrastruktury jako kodu (IaC) | Korzystanie z interfejsu wiersza polecenia platformy Azure lub identyfikatorów programu Azure PowerShell | Początek 2025 r. |
W poniższej tabeli wymieniono aplikacje i adresy URL, których dotyczy rozwiązanie Microsoft 365.
| Nazwa aplikacji | Adres URL | Wymuszanie rozpoczyna się |
|---|---|---|
| Centrum administracyjne platformy Microsoft 365 | https://portal.office.com/adminportal/home |
Luty 2025 r. |
| Centrum administracyjne platformy Microsoft 365 | https://admin.cloud.microsoft |
Luty 2025 r. |
| Centrum administracyjne platformy Microsoft 365 | https://admin.microsoft.com |
Luty 2025 r. |
Klienci
Wszyscy użytkownicy, którzy logowali się do aplikacji wymienionych wcześniej, aby wykonać dowolną operację Tworzenia, odczytu, aktualizacji lub usuwania (CRUD), muszą ukończyć uwierzytelnianie wieloskładnikowe po rozpoczęciu wymuszania. Użytkownicy nie są zobowiązani do korzystania z uwierzytelniania wieloskładnikowego, jeśli uzyskują dostęp do innych aplikacji, witryn internetowych lub usług hostowanych na platformie Azure. Każda aplikacja, witryna internetowa lub właściciel usługi wymienione wcześniej kontroluje wymagania dotyczące uwierzytelniania użytkowników.
Konta dostępu awaryjnego lub awaryjnego są również wymagane do zalogowania się przy użyciu uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania. Zalecamy zaktualizowanie tych kont w celu używania klucza dostępu (FIDO2) lub skonfigurowania uwierzytelniania opartego na certyfikatach na potrzeby uwierzytelniania wieloskładnikowego . Obie metody spełniają wymagania uwierzytelniania wieloskładnikowego.
Tożsamości obciążeń, takie jak tożsamości zarządzane i jednostki usługi, nie mają wpływu na jedną fazę wymuszania uwierzytelniania wieloskładnikowego. Jeśli tożsamości użytkowników są używane do logowania się jako konto usługi do uruchamiania automatyzacji (w tym skryptów lub innych zautomatyzowanych zadań), te tożsamości użytkowników muszą się zalogować przy użyciu uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania. Tożsamości użytkowników nie są zalecane do automatyzacji. Należy przeprowadzić migrację tych tożsamości użytkowników do tożsamości obciążeń.
Biblioteki klienckie
Przepływ uzyskiwania tokenu OAuth 2.0 za pomocą poświadczeń hasła właściciela zasobu (ROPC) jest niezgodny z uwierzytelnianiem wieloskładnikowym (MFA). Po włączeniu uwierzytelniania wieloskładnikowego w dzierżawie firmy Microsoft Entra interfejsy API oparte na protokole ROPC używane w aplikacjach zaczną zgłaszać wyjątki. Wskazówki dotyczące migrowania z dala od interfejsów API opartych na protokole ROPC w bibliotek Microsoft Authentication Libraries (MSAL) są dostępne w witrynie How to migrate away from ROPC.
Te same ogólne wskazówki dotyczące bibliotek MSAL dotyczą bibliotek tożsamości platformy Azure dla platformy .NET, Java, JavaScripti python. Klasa UsernamePasswordCredential podana w bibliotekach tych języków korzysta z interfejsów API opartych na protokole ROPC biblioteki MSAL. Zmiany są wymagane, jeśli wykonujesz jedną z następujących czynności w aplikacji:
- Przy użyciu
DefaultAzureCredentiallubEnvironmentCredentialz ustawionymi następującymi dwoma zmiennymi środowiskowymi:AZURE_USERNAMEAZURE_PASSWORD
- Korzystanie z
UsernamePasswordCredential
Migrowanie kont usług opartych na użytkownikach do tożsamości obciążeń
Zalecamy klientom odnajdywanie kont użytkowników, które są używane jako konta usług, zaczynają migrować je do tożsamości obciążeń. Migracja często wymaga aktualizowania skryptów i procesów automatyzacji w celu korzystania z tożsamości obciążeń.
Zapoznaj się z artykułem Jak sprawdzić, czy użytkownicy są skonfigurowani dla obowiązkowej uwierzytelniania wieloskładnikowego , aby zidentyfikować wszystkie konta użytkowników, w tym konta użytkowników używane jako konta usług, które logują się do aplikacji.
Aby uzyskać więcej informacji na temat migrowania z kont usług opartych na użytkownikach do tożsamości obciążeń na potrzeby uwierzytelniania przy użyciu tych aplikacji, zobacz:
- Logowanie się do platformy Azure przy użyciu tożsamości zarządzanej przy użyciu interfejsu wiersza polecenia platformy Azure
- Logowanie się do platformy Azure przy użyciu jednostki usługi przy użyciu interfejsu wiersza polecenia platformy Azure
- Logowanie się do programu Azure PowerShell nieinterakcyjne w scenariuszach automatyzacji zawiera wskazówki dotyczące przypadków użycia tożsamości zarządzanej i jednostki usługi
Niektórzy klienci stosują zasady dostępu warunkowego do kont usług opartych na użytkownikach. Możesz odzyskać licencję opartą na użytkowniku i dodać licencję tożsamości obciążeń, aby zastosować dostęp warunkowy dla tożsamości obciążeń.
Implementacja
To wymaganie dotyczące uwierzytelniania wieloskładnikowego podczas logowania jest implementowane dla portali administracyjnych. Dzienniki logowania identyfikatora Entra firmy Microsoft pokazują, że jest źródłem wymagania uwierzytelniania wieloskładnikowego.
Obowiązkowe uwierzytelnianie wieloskładnikowe dla portali administracyjnych nie jest konfigurowalne. Jest on implementowany oddzielnie od wszystkich zasad dostępu skonfigurowanych w dzierżawie.
Jeśli na przykład organizacja zdecydowała się zachować domyślne ustawienia zabezpieczeń firmy Microsoft, a obecnie masz włączone wartości domyślne zabezpieczeń, użytkownicy nie widzą żadnych zmian, ponieważ uwierzytelnianie wieloskładnikowe jest już wymagane do zarządzania platformą Azure. Jeśli dzierżawa korzysta z zasad dostępu warunkowego w firmie Microsoft Entra i masz już zasady dostępu warunkowego, za pomocą których użytkownicy logują się do platformy Azure za pomocą usługi MFA, użytkownicy nie widzą zmiany. Podobnie wszelkie restrykcyjne zasady dostępu warunkowego przeznaczone dla platformy Azure i wymagają silniejszego uwierzytelniania, takiego jak uwierzytelnianie wieloskładnikowe odporne na wyłudzenie informacji, nadal będą wymuszane. Użytkownicy nie widzą żadnych zmian.
Fazy wymuszania
Wymuszanie uwierzytelniania wieloskładnikowego jest wdrażane w dwóch fazach:
Faza 1: począwszy od października 2024 r. uwierzytelnianie wieloskładnikowe jest wymagane do zalogowania się do witryny Azure Portal, centrum administracyjnego firmy Microsoft Entra i centrum administracyjnego usługi Microsoft Intune. Egzekwowanie będzie stopniowo wdrażane we wszystkich dzierżawach na całym świecie. Począwszy od lutego 2025 r., wymuszanie uwierzytelniania wieloskładnikowego stopniowo rozpoczyna się od logowania do centrum administracyjnego platformy Microsoft 365. Ta faza nie wpłynie na innych klientów platformy Azure, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell, aplikacja mobilna platformy Azure lub narzędzia IaC.
faza 2: W drugiej połowie 2025 r. wymuszanie MFA stopniowo rozpocznie się dla Azure CLI, programu Azure PowerShell, aplikacji mobilnej Azure i narzędzi IaC. Niektórzy klienci mogą używać konta użytkownika w usłudze Microsoft Entra ID jako konto usługi. Zaleca się przeprowadzenie migracji tych kont usług opartych na użytkownikach w celu zabezpieczenia kont usług opartych na chmurze przy użyciu tożsamości obciążeń.
Kanały powiadomień
Firma Microsoft powiadomi wszystkich administratorów globalnych firmy Microsoft za pośrednictwem następujących kanałów:
Wiadomość e-mail: Administratorzy globalni, którzy skonfigurowali adres e-mail, zostaną poinformowani pocztą e-mail o nadchodzącym wymuszaniu uwierzytelniania wieloskładnikowego i akcjach wymaganych do przygotowania.
Kondycja usługi powiadomienie: Administratorzy globalni otrzymują powiadomienie o kondycji usługi za pośrednictwem witryny Azure Portal z identyfikatorem śledzenia 4V20-VX0. To powiadomienie zawiera te same informacje co wiadomość e-mail. Administratorzy globalni mogą również subskrybować otrzymywanie powiadomień o kondycji usługi za pośrednictwem poczty e-mail.
Powiadomienie w portalu: po zalogowaniu w witrynie Azure Portal, centrum administracyjnym firmy Microsoft Entra i centrum administracyjnym usługi Microsoft Intune zostanie wyświetlone powiadomienie. Powiadomienie portalu zawiera linki do tego tematu, aby uzyskać więcej informacji na temat obowiązkowego wymuszania uwierzytelniania wieloskładnikowego.
Centrum wiadomości platformy Microsoft 365: w centrum wiadomości platformy Microsoft 365 zostanie wyświetlony komunikat o identyfikatorze komunikatu: MC862873. Ta wiadomość zawiera te same informacje co wiadomość e-mail i powiadomienie o kondycji usługi.
Po wymuszeniu w usłudze Microsoft Entra multifactor authentication pojawi się baner:
Metody uwierzytelniania zewnętrznego i dostawcy tożsamości
Obsługa zewnętrznych rozwiązań uwierzytelniania wieloskładnikowego jest dostępna w wersji zapoznawczej z zewnętrznymi metodami uwierzytelniania i może służyć do spełnienia wymagań uwierzytelniania wieloskładnikowego. Starsza wersja kontroli dostępu warunkowego w wersji zapoznawczej nie spełnia wymagań uwierzytelniania wieloskładnikowego. Należy przeprowadzić migrację do wersji zapoznawczej metod uwierzytelniania zewnętrznego, aby użyć rozwiązania zewnętrznego z identyfikatorem Entra firmy Microsoft.
Jeśli używasz federacyjnego dostawcy tożsamości (IdP), takiego jak usługi Active Directory Federation Services, a dostawca usługi MFA jest zintegrowany bezpośrednio z tym federacyjnym dostawcą tożsamości, należy skonfigurować federacyjny dostawcę tożsamości do wysyłania oświadczenia uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Oczekiwane aseracje przychodzące dla usługi Microsoft Entra MFA.
Zażądaj więcej czasu, aby przygotować się do wymuszania
Rozumiemy, że niektórzy klienci mogą potrzebować więcej czasu na przygotowanie się do tego wymagania uwierzytelniania wieloskładnikowego. Firma Microsoft umożliwia klientom ze złożonymi środowiskami lub barierami technicznymi odroczenie egzekwowania dla ich dzierżawców do 30 września 2025 r.
Począwszy od drugiej połowy lutego 2025 roku, administratorzy globalni mogą przejść do portalu Azure, aby wybrać datę rozpoczęcia egzekwowania dla swoich dzierżaw w portalach administracyjnych w fazie 1. Administratorzy globalni muszą podnieść poziom dostępu, zanim będą mogli odroczyć datę rozpoczęcia wymuszania uwierzytelniania wieloskładnikowego.
Administratorzy globalni muszą wykonać tę akcję dla każdej dzierżawy, w której chcą odroczyć datę rozpoczęcia wymuszania.
Po upływie daty rozpoczęcia wymuszania podejmujesz dodatkowe ryzyko, ponieważ konta, które uzyskują dostęp do usługi firmy Microsoft, takich jak witryna Azure Portal, są bardzo cennymi celami dla podmiotów zagrożeń. Zalecamy, aby wszystkie dzierżawy skonfigurowały teraz uwierzytelnianie wieloskładnikowe w celu zabezpieczenia zasobów w chmurze.
Często zadawane pytania
Pytanie: Czy dzierżawa jest używana tylko do testowania, czy wymagana jest uwierzytelnianie wieloskładnikowe?
Odpowiedź: Tak, każda dzierżawa platformy Azure będzie wymagać uwierzytelniania wieloskładnikowego, nie ma wyjątków.
Pytanie: Jak to wymaganie ma wpływ na Centrum administracyjne platformy Microsoft 365?
Answer: Obowiązkowe uwierzytelnianie wieloskładnikowe zostanie wdrożone od lutego 2025 r. w centrum administracyjnym platformy Microsoft 365. Dowiedz się więcej na temat obowiązkowego wymagania uwierzytelniania wieloskładnikowego dla Centrum administracyjne platformy Microsoft 365 w wpisie w blogu Ogłoszenie obowiązkowego uwierzytelniania wieloskładnikowego dla Centrum administracyjne platformy Microsoft 365.
Pytanie: Czy uwierzytelnianie wieloskładnikowe jest obowiązkowe dla wszystkich użytkowników, czy tylko administratorów?
Odpowiedź: Wszyscy użytkownicy, którzy logują się do dowolnej z wymienionych wcześniej aplikacji, są zobowiązani do ukończenia uwierzytelniania wieloskładnikowego, niezależnie od wszystkich ról administratora, które są aktywowane lub kwalifikujące się do nich, lub wszystkich wykluczeń użytkowników, które są dla nich włączone.
Pytanie: Czy muszę ukończyć uwierzytelnianie wieloskładnikowe, jeśli wybierzę opcję Pozostanie zalogowanym?
Odpowiedź: Tak, nawet jeśli wybierzesz opcję Nie wylogowuj się, musisz ukończyć uwierzytelnianie wieloskładnikowe przed zalogowaniem się do tych aplikacji.
Pytanie: Czy wymuszanie będzie miało zastosowanie do kont gości B2B?
Odpowiedź: Tak, uwierzytelnianie wieloskładnikowe musi być zgodne z dzierżawą zasobów partnera lub dzierżawą główną użytkownika, jeśli skonfigurowano prawidłowo wysyłanie oświadczeń uwierzytelniania wieloskładnikowego do dzierżawy zasobów przy użyciu dostępu między dzierżawami.
Pytanie: Jak możemy zapewnić zgodność, jeśli wymusimy uwierzytelnianie wieloskładnikowe przy użyciu innego dostawcy tożsamości lub rozwiązania MFA i nie będziemy wymuszać przy użyciu usługi Microsoft Entra MFA?
Answer: uwierzytelnianie wieloskładnikowe innej firmy można zintegrować bezpośrednio z identyfikatorem Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dokumentacja zewnętrznego dostawcy metod uwierzytelniania wieloskładnikowego firmy Microsoft. Identyfikator Entra firmy Microsoft można opcjonalnie skonfigurować za pomocą dostawcy tożsamości federacyjnej. Jeśli tak, należy prawidłowo skonfigurować rozwiązanie dostawcy tożsamości w celu wysłania oświadczenia multipleauthn do identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz spełnij wymagania kontrolek uwierzytelniania wieloskładnikowego (MFA) Microsoft Entra ID za pomocą oświadczeń uwierzytelniania z federacyjnego dostawcy tożsamości.
Pytanie: Czy faza 1 lub faza 2 obowiązkowej uwierzytelniania wieloskładnikowego wpływa na moją możliwość synchronizacji z usługą Microsoft Entra Connect lub Microsoft Entra Cloud Sync?
Odpowiedź: Nie. Konto usługi synchronizacji nie ma wpływu na obowiązkowe wymaganie uwierzytelniania wieloskładnikowego. Tylko aplikacje wymienione wcześniej wymagają uwierzytelniania wieloskładnikowego na potrzeby logowania.
Pytanie: Czy będę mógł zrezygnować?
Nie ma możliwości rezygnacji. Ten ruch zabezpieczeń ma kluczowe znaczenie dla wszystkich zabezpieczeń i bezpieczeństwa platformy Azure i jest powtarzany przez dostawców usług w chmurze. Na przykład zobacz Zabezpieczanie według projektu: AWS, aby zwiększyć wymagania uwierzytelniania wieloskładnikowego w 2024 roku.
Dla klientów jest dostępna opcja odroczenia daty rozpoczęcia wymuszania. Od 15 sierpnia 2024 r. do 15 października 2024 r. administratorzy globalni mogą przejść do witryny Azure Portal , aby odroczyć datę rozpoczęcia wymuszania dla dzierżawy do 15 marca 2025 r. Administratorzy globalni muszą mieć podwyższony poziom dostępu przed odroczeniem daty rozpoczęcia wymuszania uwierzytelniania wieloskładnikowego na tej stronie. Muszą wykonać tę akcję dla każdej dzierżawy, która wymaga odroczenia.
Pytanie: Czy mogę przetestować uwierzytelnianie wieloskładnikowe, zanim platforma Azure wymusza zasady, aby upewnić się, że nic się nie stanie?
Odpowiedź: Tak, możesz przetestować ich uwierzytelnianie wieloskładnikowe za pomocą ręcznego procesu konfiguracji usługi MFA . Zachęcamy do skonfigurowania i przetestowania. Jeśli używasz dostępu warunkowego do wymuszania uwierzytelniania wieloskładnikowego, możesz przetestować zasady przy użyciu szablonów dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Wymaganie uwierzytelniania wieloskładnikowego dla administratorów, którzy uzyskują dostęp do portali administracyjnych firmy Microsoft. Jeśli uruchamiasz bezpłatną wersję identyfikatora Entra firmy Microsoft, możesz włączyć wartości domyślne zabezpieczeń.
Pytanie: Co się stanie, jeśli mam już włączoną usługę MFA, co się stanie dalej?
Odpowiedź: Klienci, którzy już wymagają uwierzytelniania wieloskładnikowego dla swoich użytkowników, którzy uzyskują dostęp do wymienionych wcześniej aplikacji, nie widzą żadnych zmian. Jeśli potrzebujesz tylko uwierzytelniania wieloskładnikowego dla podzbioru użytkowników, wszyscy użytkownicy, którzy nie korzystają już z uwierzytelniania wieloskładnikowego, będą teraz musieli używać uwierzytelniania wieloskładnikowego podczas logowania się do aplikacji.
Pytanie: Jak mogę przejrzeć działanie uwierzytelniania wieloskładnikowego w identyfikatorze Entra firmy Microsoft?
Answer: Aby przejrzeć szczegółowe informacje o tym, kiedy użytkownik jest monitowany do zalogowania się przy użyciu uwierzytelniania wieloskładnikowego, użyj dzienników rejestrowania firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Szczegóły zdarzenia logowania dla uwierzytelniania wieloskładnikowego firmy Microsoft.
Pytanie: Co zrobić, jeśli mam scenariusz "szklenia"?
Odpowiedź: Zalecamy zaktualizowanie tych kont w celu używania klucza dostępu (FIDO2) lub skonfigurowania uwierzytelniania opartego na certyfikatach na potrzeby uwierzytelniania wieloskładnikowego . Obie metody spełniają wymagania uwierzytelniania wieloskładnikowego.
pytanie: Co zrobić, jeśli nie otrzymuję wiadomości e-mail o włączeniu uwierzytelniania wieloskładnikowego przed jej wymuszeniem, a następnie otrzymuję blokadę. Jak należy rozwiązać ten problem?
Odpowiedź: Użytkownicy nie powinni być zablokowani, ale mogą otrzymać komunikat z monitem o włączenie uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania dzierżawy. Jeśli użytkownik jest zablokowany, mogą wystąpić inne problemy. Aby uzyskać więcej informacji, zobacz Konto zostało zablokowane.
Powiązana zawartość
Zapoznaj się z następującymi tematami, aby dowiedzieć się więcej na temat konfigurowania i wdrażania uwierzytelniania wieloskładnikowego:
- Jak sprawdzić, czy użytkownicy są skonfigurowani dla obowiązkowej uwierzytelniania wieloskładnikowego
- Samouczek: zabezpieczanie zdarzeń logowania użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft
- Zabezpieczanie zdarzeń logowania za pomocą wieloskładnikowej usługi Microsoft Entra
- Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft
- Metody uwierzytelniania wieloskładnikowego odpornego na wyłudzenie informacji
- Uwierzytelnianie wieloskładnikowe firmy Microsoft
- Metody uwierzytelniania