Udostępnij za pośrednictwem


Planowanie obowiązkowego uwierzytelniania wieloskładnikowego dla platformy Azure i innych portali administracyjnych

W firmie Microsoft dokładamy wszelkich starań, aby zapewnić naszym klientom najwyższy poziom zabezpieczeń. Jedną z najbardziej skutecznych dostępnych środków zabezpieczeń jest uwierzytelnianie wieloskładnikowe (MFA). Badania przeprowadzone przez firmę Microsoft pokazują, że uwierzytelnianie wieloskładnikowe może zablokować ponad 99,2% ataków na naruszenia zabezpieczeń kont.

Dlatego od 2024 r. wymusimy obowiązkowe uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich prób logowania do platformy Azure. Aby uzyskać więcej informacji na temat tego wymagania, zapoznaj się z naszym wpisem w blogu. W tym temacie opisano, których aplikacji i kont dotyczy problem, sposobu wdrażania wymuszania w dzierżawach oraz innych typowych pytań i odpowiedzi.

Nie ma żadnych zmian dla użytkowników, jeśli organizacja już wymusza uwierzytelnianie wieloskładnikowe dla nich lub jeśli logują się za pomocą silniejszych metod, takich jak bez hasła lub klucz dostępu (FIDO2). Aby sprawdzić, czy uwierzytelnianie wieloskładnikowe jest włączone, zobacz Jak sprawdzić, czy użytkownicy są skonfigurowani pod kątem obowiązkowej uwierzytelniania wieloskładnikowego.

Zakres wymuszania

Zakres wymuszania obejmuje, które aplikacje planują wymuszać uwierzytelnianie wieloskładnikowe, gdy planowane jest wymuszanie, oraz które konta mają obowiązkowe wymaganie uwierzytelniania wieloskładnikowego.

Aplikacje

Nazwa aplikacji Identyfikator aplikacji Faza wymuszania
Witryna Azure Portal c44b4083-3bb0-49c1-b47d-974e53cbdf3c Druga połowa 2024 r.
Centrum administracyjne firmy Microsoft Entra c44b4083-3bb0-49c1-b47d-974e53cbdf3c Druga połowa 2024 r.
Centrum administracyjne usługi Microsoft Intune c44b4083-3bb0-49c1-b47d-974e53cbdf3c Druga połowa 2024 r.
Centrum administracyjne platformy Microsoft 365 00000006-0000-0ff1-ce00-00000000000000000 Początek 2025 r.
Interfejs wiersza polecenia platformy Azure (interfejs wiersza polecenia platformy Azure) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 Początek 2025 r.
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 Początek 2025 r.
Aplikacja mobilna platformy Azure 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa Początek 2025 r.
Narzędzia infrastruktury jako kodu (IaC) Korzystanie z interfejsu wiersza polecenia platformy Azure lub identyfikatorów programu Azure PowerShell Początek 2025 r.

Klienci

Wszyscy użytkownicy, którzy logowali się do aplikacji wymienionych wcześniej, aby wykonać dowolną operację Tworzenia, odczytu, aktualizacji lub usuwania (CRUD), muszą ukończyć uwierzytelnianie wieloskładnikowe po rozpoczęciu wymuszania. Użytkownicy nie są zobowiązani do korzystania z uwierzytelniania wieloskładnikowego, jeśli uzyskują dostęp do innych aplikacji, witryn internetowych lub usług hostowanych na platformie Azure. Każda aplikacja, witryna internetowa lub właściciel usługi wymienione wcześniej kontroluje wymagania dotyczące uwierzytelniania użytkowników.

Konta dostępu awaryjnego lub awaryjnego są również wymagane do zalogowania się przy użyciu uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania. Zalecamy zaktualizowanie tych kont w celu używania klucza dostępu (FIDO2) lub skonfigurowania uwierzytelniania opartego na certyfikatach na potrzeby uwierzytelniania wieloskładnikowego . Obie metody spełniają wymagania uwierzytelniania wieloskładnikowego.

Tożsamości obciążeń, takie jak tożsamości zarządzane i jednostki usługi, nie mają wpływu na jedną fazę wymuszania uwierzytelniania wieloskładnikowego. Jeśli tożsamości użytkowników są używane do logowania się jako konto usługi do uruchamiania automatyzacji (w tym skryptów lub innych zautomatyzowanych zadań), te tożsamości użytkowników muszą się zalogować przy użyciu uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania. Tożsamości użytkowników nie są zalecane do automatyzacji. Należy przeprowadzić migrację tych tożsamości użytkowników do tożsamości obciążeń.

Migrowanie kont usług opartych na użytkownikach do tożsamości obciążeń

Zalecamy klientom odnajdywanie kont użytkowników, które są używane jako konta usług, zaczynają migrować je do tożsamości obciążeń. Migracja często wymaga aktualizowania skryptów i procesów automatyzacji w celu korzystania z tożsamości obciążeń.

Zapoznaj się z artykułem Jak sprawdzić, czy użytkownicy są skonfigurowani dla obowiązkowej uwierzytelniania wieloskładnikowego , aby zidentyfikować wszystkie konta użytkowników, w tym konta użytkowników używane jako konta usług, które logują się do aplikacji.

Aby uzyskać więcej informacji na temat migrowania z kont usług opartych na użytkownikach do tożsamości obciążeń na potrzeby uwierzytelniania przy użyciu tych aplikacji, zobacz:

Niektórzy klienci stosują zasady dostępu warunkowego do kont usług opartych na użytkownikach. Możesz odzyskać licencję opartą na użytkowniku i dodać licencję tożsamości obciążeń, aby zastosować dostęp warunkowy dla tożsamości obciążeń.

Implementacja

To wymaganie dotyczące uwierzytelniania wieloskładnikowego podczas logowania jest implementowane dla portali administracyjnych. Dzienniki logowania identyfikatora Entra firmy Microsoft pokazują, że jest źródłem wymagania uwierzytelniania wieloskładnikowego.

Obowiązkowe uwierzytelnianie wieloskładnikowe dla portali administracyjnych nie jest konfigurowalne. Jest on implementowany oddzielnie od wszystkich zasad dostępu skonfigurowanych w dzierżawie.

Jeśli na przykład organizacja zdecydowała się zachować domyślne ustawienia zabezpieczeń firmy Microsoft i masz włączone wartości domyślne zabezpieczeń, użytkownicy nie widzą żadnych zmian, ponieważ uwierzytelnianie wieloskładnikowe jest już wymagane do zarządzania platformą Azure. Jeśli dzierżawa korzysta z zasad dostępu warunkowego w firmie Microsoft Entra i masz już zasady dostępu warunkowego, za pomocą których użytkownicy logują się do platformy Azure za pomocą usługi MFA, użytkownicy nie widzą zmiany. Podobnie wszelkie restrykcyjne zasady dostępu warunkowego przeznaczone dla platformy Azure i wymagają silniejszego uwierzytelniania, takiego jak uwierzytelnianie wieloskładnikowe odporne na wyłudzenie informacji, nadal będą wymuszane. Użytkownicy nie widzą żadnych zmian.

Fazy wymuszania

Wymuszanie uwierzytelniania wieloskładnikowego jest wdrażane w dwóch fazach:

  • Faza 1: Począwszy od drugiej połowy 2024 r., uwierzytelnianie wieloskładnikowe będzie wymagane do zalogowania się do witryny Azure Portal, centrum administracyjnego firmy Microsoft Entra i centrum administracyjnego usługi Microsoft Intune. Egzekwowanie będzie stopniowo wdrażane we wszystkich dzierżawach na całym świecie. Ta faza nie wpłynie na innych klientów platformy Azure, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell, aplikacja mobilna platformy Azure lub narzędzia IaC. 

  • Faza 2: Począwszy od początku 2025 r., wymuszanie uwierzytelniania wieloskładnikowego stopniowo rozpoczyna się od logowania do interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell, aplikacji mobilnej platformy Azure i narzędzi IaC. Niektórzy klienci mogą używać konta użytkownika w usłudze Microsoft Entra ID jako konto usługi. Zaleca się przeprowadzenie migracji tych kont usług opartych na użytkownikach w celu zabezpieczenia kont usług opartych na chmurze przy użyciu tożsamości obciążeń.

Kanały powiadomień

Firma Microsoft powiadomi wszystkich administratorów globalnych firmy Microsoft za pośrednictwem następujących kanałów:

  • Wiadomość e-mail: Administratorzy globalni, którzy skonfigurowali adres e-mail, zostaną poinformowani pocztą e-mail o nadchodzącym wymuszaniu uwierzytelniania wieloskładnikowego i akcjach wymaganych do przygotowania.

  • Kondycja usługi powiadomienie: Administratorzy globalni otrzymują powiadomienie o kondycji usługi za pośrednictwem witryny Azure Portal z identyfikatorem śledzenia 4V20-VX0. To powiadomienie zawiera te same informacje co wiadomość e-mail. Administratorzy globalni mogą również subskrybować otrzymywanie powiadomień o kondycji usługi za pośrednictwem poczty e-mail.

  • Powiadomienie w portalu: po zalogowaniu w witrynie Azure Portal, centrum administracyjnym firmy Microsoft Entra i centrum administracyjnym usługi Microsoft Intune zostanie wyświetlone powiadomienie. Powiadomienie portalu zawiera linki do tego tematu, aby uzyskać więcej informacji na temat obowiązkowego wymuszania uwierzytelniania wieloskładnikowego.

  • Centrum wiadomości platformy Microsoft 365: w centrum wiadomości platformy Microsoft 365 zostanie wyświetlony komunikat o identyfikatorze komunikatu: MC862873. Ta wiadomość zawiera te same informacje co wiadomość e-mail i powiadomienie o kondycji usługi.

Po wymuszeniu w usłudze Microsoft Entra multifactor authentication pojawi się baner:

Zrzut ekranu przedstawiający transparent w uwierzytelnianiu wieloskładnikowym firmy Microsoft, który pokazuje wymuszanie obowiązkowej uwierzytelniania wieloskładnikowego.

Metody uwierzytelniania zewnętrznego i dostawcy tożsamości

Obsługa zewnętrznych rozwiązań uwierzytelniania wieloskładnikowego jest dostępna w wersji zapoznawczej z zewnętrznymi metodami uwierzytelniania i może służyć do spełnienia wymagań uwierzytelniania wieloskładnikowego. Starsza wersja kontroli dostępu warunkowego w wersji zapoznawczej nie spełnia wymagań uwierzytelniania wieloskładnikowego. Należy przeprowadzić migrację do wersji zapoznawczej metod uwierzytelniania zewnętrznego, aby użyć rozwiązania zewnętrznego z identyfikatorem Entra firmy Microsoft. 

Jeśli używasz federacyjnego dostawcy tożsamości (IdP), takiego jak usługi Active Directory Federation Services, a dostawca usługi MFA jest zintegrowany bezpośrednio z tym federacyjnym dostawcą tożsamości, należy skonfigurować federacyjny dostawcę tożsamości do wysyłania oświadczenia uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Oczekiwane aseracje przychodzące dla usługi Microsoft Entra MFA.

Zażądaj więcej czasu, aby przygotować się do wymuszania

Rozumiemy, że niektórzy klienci mogą potrzebować więcej czasu na przygotowanie się do tego wymagania uwierzytelniania wieloskładnikowego. Firma Microsoft umożliwia klientom ze złożonymi środowiskami lub barierami technicznymi odroczenie wymuszania dla swoich dzierżaw do 15 marca 2025 r.

Od 15 sierpnia 2024 r. do 15 października 2024 r. administratorzy globalni mogą przejść do witryny Azure Portal , aby odroczyć datę rozpoczęcia wymuszania dla dzierżawy do 15 marca 2025 r. Administratorzy globalni muszą mieć podwyższony poziom dostępu przed odroczeniem daty rozpoczęcia egzekwowania uwierzytelniania wieloskładnikowego (MFA) na tej stronie.

Administratorzy globalni muszą wykonać tę akcję dla każdej dzierżawy, w której chcą odroczyć datę rozpoczęcia wymuszania.

Po upływie daty rozpoczęcia wymuszania podejmujesz dodatkowe ryzyko, ponieważ konta, które uzyskują dostęp do usługi firmy Microsoft, takich jak witryna Azure Portal, są bardzo cennymi celami dla podmiotów zagrożeń. Zalecamy, aby wszystkie dzierżawy skonfigurowały teraz uwierzytelnianie wieloskładnikowe w celu zabezpieczenia zasobów w chmurze. 

Często zadawane pytania

Pytanie: Czy dzierżawa jest używana tylko do testowania, czy wymagana jest uwierzytelnianie wieloskładnikowe?

Odpowiedź: Tak, każda dzierżawa platformy Azure będzie wymagać uwierzytelniania wieloskładnikowego, nie ma wyjątków.

Pytanie: Jak to wymaganie ma wpływ na Centrum administracyjne platformy Microsoft 365?

Odpowiedź: Obowiązkowe uwierzytelnianie wieloskładnikowe zostanie przeprowadzone na Centrum administracyjne platformy Microsoft 365 począwszy od początku 2025 r. Dowiedz się więcej na temat obowiązkowego wymagania uwierzytelniania wieloskładnikowego dla Centrum administracyjne platformy Microsoft 365 w wpisie w blogu Ogłoszenie obowiązkowego uwierzytelniania wieloskładnikowego dla Centrum administracyjne platformy Microsoft 365.

Pytanie: Czy uwierzytelnianie wieloskładnikowe jest obowiązkowe dla wszystkich użytkowników, czy tylko administratorów?

Odpowiedź: Wszyscy użytkownicy, którzy logują się do dowolnej z wymienionych wcześniej aplikacji, są zobowiązani do ukończenia uwierzytelniania wieloskładnikowego, niezależnie od wszystkich ról administratora, które są aktywowane lub kwalifikujące się do nich, lub wszystkich wykluczeń użytkowników, które są dla nich włączone.

Pytanie: Czy muszę ukończyć uwierzytelnianie wieloskładnikowe, jeśli wybierzę opcję Pozostanie zalogowanym?

Odpowiedź: Tak, nawet jeśli wybierzesz opcję Nie wylogowuj się, musisz ukończyć uwierzytelnianie wieloskładnikowe przed zalogowaniem się do tych aplikacji.

Pytanie: Czy wymuszanie będzie miało zastosowanie do kont gości B2B?

Odpowiedź: Tak, uwierzytelnianie wieloskładnikowe musi być zgodne z dzierżawą zasobów partnera lub dzierżawą główną użytkownika, jeśli skonfigurowano prawidłowo wysyłanie oświadczeń uwierzytelniania wieloskładnikowego do dzierżawy zasobów przy użyciu dostępu między dzierżawami.

Pytanie: Jak możemy zapewnić zgodność, jeśli wymusimy uwierzytelnianie wieloskładnikowe przy użyciu innego dostawcy tożsamości lub rozwiązania MFA i nie będziemy wymuszać przy użyciu usługi Microsoft Entra MFA?

Odpowiedź: Rozwiązanie dostawcy tożsamości musi być prawidłowo skonfigurowane w celu wysłania oświadczenia multipleauthn do identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dokumentacja zewnętrznego dostawcy metod uwierzytelniania wieloskładnikowego firmy Microsoft.

Pytanie: Czy faza 1 lub faza 2 obowiązkowej uwierzytelniania wieloskładnikowego wpływa na moją możliwość synchronizacji z usługą Microsoft Entra Connect lub Microsoft Entra Cloud Sync?

Odpowiedź: Nie. Konto usługi synchronizacji nie ma wpływu na obowiązkowe wymaganie uwierzytelniania wieloskładnikowego. Tylko aplikacje wymienione wcześniej wymagają uwierzytelniania wieloskładnikowego na potrzeby logowania.

Pytanie: Czy będę mógł zrezygnować?

Nie ma możliwości rezygnacji. Ten ruch zabezpieczeń ma kluczowe znaczenie dla wszystkich zabezpieczeń i bezpieczeństwa platformy Azure i jest powtarzany przez dostawców usług w chmurze. Na przykład zobacz Zabezpieczanie według projektu: AWS, aby zwiększyć wymagania uwierzytelniania wieloskładnikowego w 2024 roku.

Dla klientów jest dostępna opcja odroczenia daty rozpoczęcia wymuszania. Od 15 sierpnia 2024 r. do 15 października 2024 r. administratorzy globalni mogą przejść do witryny Azure Portal , aby odroczyć datę rozpoczęcia wymuszania dla dzierżawy do 15 marca 2025 r. Administratorzy globalni muszą mieć podwyższony poziom dostępu przed odroczeniem daty rozpoczęcia wymuszania uwierzytelniania wieloskładnikowego na tej stronie. Muszą wykonać tę akcję dla każdej dzierżawy, która wymaga odroczenia.

Pytanie: Czy mogę przetestować uwierzytelnianie wieloskładnikowe, zanim platforma Azure wymusza zasady, aby upewnić się, że nic się nie stanie?

Odpowiedź: Tak, możesz przetestować ich uwierzytelnianie wieloskładnikowe za pomocą ręcznego procesu konfiguracji usługi MFA . Zachęcamy do skonfigurowania i przetestowania. Jeśli używasz dostępu warunkowego do wymuszania uwierzytelniania wieloskładnikowego, możesz przetestować zasady przy użyciu szablonów dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Wymaganie uwierzytelniania wieloskładnikowego dla administratorów, którzy uzyskują dostęp do portali administracyjnych firmy Microsoft. Jeśli uruchamiasz bezpłatną wersję identyfikatora Entra firmy Microsoft, możesz włączyć wartości domyślne zabezpieczeń.

Pytanie: Co się stanie, jeśli mam już włączoną usługę MFA, co się stanie dalej?

Odpowiedź: Klienci, którzy już wymagają uwierzytelniania wieloskładnikowego dla swoich użytkowników, którzy uzyskują dostęp do wymienionych wcześniej aplikacji, nie widzą żadnych zmian. Jeśli potrzebujesz tylko uwierzytelniania wieloskładnikowego dla podzbioru użytkowników, wszyscy użytkownicy, którzy nie korzystają już z uwierzytelniania wieloskładnikowego, będą teraz musieli używać uwierzytelniania wieloskładnikowego podczas logowania się do aplikacji.

Pytanie: Jak mogę przejrzeć działanie uwierzytelniania wieloskładnikowego w identyfikatorze Entra firmy Microsoft?

Odpowiedź: Aby przejrzeć szczegółowe informacje o tym, kiedy użytkownik jest monitowany o zalogowanie się przy użyciu uwierzytelniania wieloskładnikowego, użyj raportu logowania firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Szczegóły zdarzenia logowania dla uwierzytelniania wieloskładnikowego firmy Microsoft.

Pytanie: Co zrobić, jeśli mam scenariusz "szklenia"?

Odpowiedź: Zalecamy zaktualizowanie tych kont w celu używania klucza dostępu (FIDO2) lub skonfigurowania uwierzytelniania opartego na certyfikatach na potrzeby uwierzytelniania wieloskładnikowego . Obie metody spełniają wymagania uwierzytelniania wieloskładnikowego.

Pytanie: Co zrobić, jeśli nie otrzymuję wiadomości e-mail o włączeniu uwierzytelniania wieloskładnikowego przed jej wymuszeniem, a następnie otrzymuję blokadę. Jak należy rozwiązać ten problem? 

Odpowiedź: Użytkownicy nie powinni być zablokowani, ale mogą otrzymać komunikat z monitem o włączenie uwierzytelniania wieloskładnikowego po rozpoczęciu wymuszania dzierżawy. Jeśli użytkownik jest zablokowany, mogą wystąpić inne problemy. Aby uzyskać więcej informacji, zobacz Konto zostało zablokowane. 

Zapoznaj się z następującymi tematami, aby dowiedzieć się więcej na temat konfigurowania i wdrażania uwierzytelniania wieloskładnikowego: