Dela via

Planera för obligatorisk multifaktorautentisering för Azure och andra administratörsportaler

  • Artikel

På Microsoft är vi fast beslutna att ge våra kunder den högsta säkerhetsnivån. En av de mest effektiva säkerhetsåtgärderna som är tillgängliga för dem är multifaktorautentisering (MFA). Forskning från Microsoft visar att MFA kan blockera mer än 99,2 % av kontokompromissattackerna.

Från och med 2024 tillämpar vi därför obligatorisk MFA för alla Azure-inloggningsförsök. Mer bakgrund om det här kravet finns i vårt blogginlägg. Det här avsnittet beskriver vilka program och konton som påverkas, hur tillämpningen distribueras till klienter och andra vanliga frågor och svar.

Det finns ingen ändring för användare om din organisation redan tillämpar MFA för dem, eller om de loggar in med starkare metoder som lösenordslös eller nyckel (FIDO2). Information om hur du kontrollerar att MFA är aktiverat finns i Så här kontrollerar du att användarna har konfigurerats för obligatorisk MFA.

Tillämpningsområde

Tillämpningsområdet omfattar vilka program som planerar att tillämpa MFA, program som ligger utanför omfånget, när verkställighet planeras att ske och vilka konton som har ett obligatoriskt MFA-krav.

Applikationer

Anmärkning

Datumet för verkställighet för fas 2 har ändrats till sommaren 2025.

I följande tabell visas berörda appar, app-ID:er och URL:er för Azure.

Programnamn App-ID Verkställigheten startar
Azure-portalen c44b4083-3bb0-49c1-b47d-974e53cbdf3c Andra halvåret 2024
Administrationscenter för Microsoft Entra c44b4083-3bb0-49c1-b47d-974e53cbdf3c Andra halvåret 2024
Administrationscenter för Microsoft Intune c44b4083-3bb0-49c1-b47d-974e53cbdf3c Andra halvåret 2024
Azure-kommandoradsgränssnitt (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 Sommaren 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 Sommaren 2025
Azure-mobilapp 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa Sommaren 2025
IaC-verktyg (Infrastruktur som kod) Använda Azure CLI- eller Azure PowerShell-ID:t Sommaren 2025

I följande tabell visas berörda appar och URL:er för Microsoft 365.

Programnamn URL Verkställigheten startar
Administrationscenter för Microsoft 365 https://portal.office.com/adminportal/home Februari 2025
Administrationscenter för Microsoft 365 https://admin.cloud.microsoft Februari 2025
Administrationscenter för Microsoft 365 https://admin.microsoft.com Februari 2025

Konton

Alla användare som loggar in på de program som angavs tidigare för att utföra någon CRUD-åtgärd (Create, Read, Update eller Delete) måste slutföra MFA när verkställigheten påbörjas. Användarna behöver inte använda MFA om de får åtkomst till andra program, webbplatser eller tjänster som finns i Azure. Varje program, webbplats eller tjänstägare som anges tidigare styr autentiseringskraven för användare.

Break glass- eller nödåtkomstkonton krävs också för att logga in med multifaktorautentisering (MFA) när tillämpningen börjar. Vi rekommenderar att du uppdaterar dessa konton så att de använder nyckel (FIDO2) eller konfigurerar certifikatbaserad autentisering för MFA. Båda metoderna uppfyller MFA-kravet.

Arbetsbelastningskonton, såsom hanterade identiteter och tjänstekonton, påverkas inte av någon av de två faserna i tillämpningen av MFA. Om användaridentiteter används för att logga in som ett tjänstkonto för att köra automatisering (inklusive skript eller andra automatiserade uppgifter) måste dessa användaridentiteter logga in med MFA när tillämpningen påbörjas. Användaridentiteter rekommenderas inte för automatisering. Du bör migrera dessa användaridentiteter till arbetsbelastningsidentiteter.

Klientbibliotek

Beviljandeflödet för OAuth 2.0-token för resursägares lösenordsautentiseringsuppgifter (ROPC) är inte kompatibelt med MFA. När MFA har aktiverats i din Microsoft Entra-klientorganisation genererar ROPC-baserade API:er som används i dina program undantag. Mer information om hur du migrerar från ROPC-baserade API:er i Microsoft Authentication Libraries (MSAL)finns i Så här migrerar du bort från ROPC-. Språkspecifik MSAL-vägledning finns i följande flikar.

Ändringar krävs om du använder paketet Microsoft.Identity.Client och något av följande API:er i ditt program:

Samma allmänna MSAL-vägledning gäller för Azure Identity-biblioteken. Den UsernamePasswordCredential-klass som tillhandahålls i dessa bibliotek använder MSAL ROPC-baserade API:er. Språkspecifik vägledning finns i följande flikar.

Ändringar krävs om du använder Azure.Identity--paketet och gör något av följande i ditt program:

Migrera användarbaserade tjänstkonton till arbetsbelastningsidentiteter

Vi rekommenderar att kunderna identifierar användarkonton som används när tjänstkonton börjar migrera dem till arbetsbelastningsidentiteter. Migrering kräver ofta att skript och automatiseringsprocesser uppdateras för att använda arbetsbelastningsidentiteter.

Läs så här kontrollerar du att användare har konfigurerats för obligatorisk MFA för att identifiera alla användarkonton, inklusive användarkonton som används som tjänstkonton, som loggar in på applikationerna.

Mer information om hur du migrerar från användarbaserade tjänstkonton till arbetsbelastningsidentiteter för autentisering med dessa program finns i:

Vissa kunder tillämpar principer för villkorsstyrd åtkomst på användarbaserade tjänstkonton. Du kan frigöra den användarbaserade licensen och lägga till en licens för arbetsbelastningsidentiteter för att tillämpa villkorlig åtkomst för arbetsbelastningsidentiteter.

Implementering

Det här kravet för MFA vid inloggning implementeras för administratörsportaler och andra program. Inloggningsloggar för Microsoft Entra-ID visar det som källan till MFA-kravet.

Obligatorisk MFA kan inte konfigureras. Den implementeras separat från alla åtkomstprinciper som är konfigurerade i klientorganisationen.

Om din organisation till exempel väljer att behålla Microsofts säkerhetsstandarder, och du för närvarande har aktiverat säkerhetsstandarder, ser användarna inga ändringar eftersom MFA redan krävs för Azure-hantering. Om din klientorganisation använder principer för villkorsstyrd åtkomst i Microsoft Entra och du redan har en princip för villkorsstyrd åtkomst genom vilken användarna loggar in på Azure med MFA, ser inte användarna någon ändring. På samma sätt fortsätter alla restriktiva principer för villkorsstyrd åtkomst som riktar sig mot Azure och kräver starkare autentisering, till exempel nätfiskeresistent MFA, att tillämpas. Användarna ser inga ändringar.

Verkställighetsfaser

Anmärkning

Datumet för verkställighet för fas 2 har ändrats till sommaren 2025.

Tillämpningen av MFA distribueras i två faser:

  • Fas 1-: Från och med oktober 2024 måste MFA logga in på Azure-portalen, administrationscentret för Microsoft Entra och administrationscentret för Microsoft Intune. Genomförandet kommer att rullas ut gradvis till alla hyresgäster över hela världen. Från och med februari 2025 börjar MFA-tillämpningen gradvis för inloggning till administrationscentret för Microsoft 365. Den här fasen påverkar inte andra Azure-klienter som Azure CLI, Azure PowerShell, Azure-mobilappar eller IaC-verktyg.

  • fas 2: Under sommaren 2025 börjar MFA-tillämpningen gradvis för Azure CLI, Azure PowerShell, Azure-mobilappar och IaC-verktyg. Vissa kunder kan använda ett användarkonto i Microsoft Entra-ID som ett tjänstkonto. Vi rekommenderar att du migrerar dessa användarbaserade tjänstkonton för att skydda molnbaserade tjänstkonton med arbetsbelastningsidentiteter.

Meddelandekanaler

Microsoft meddelar alla globala Microsoft Entra-administratörer via följande kanaler:

  • E-post: Globala administratörer som konfigurerade en e-postadress informeras via e-post om den kommande MFA-tillämpningen och de åtgärder som krävs för att förberedas.

  • Tjänststatus meddelande: Globala administratörer får ett meddelande om tjänstens hälsotillstånd via Azure Portal, med spårnings-ID för 4V20-VX0. Det här meddelandet innehåller samma information som e-postmeddelandet. Globala administratörer kan också prenumerera på att få meddelanden om tjänstens hälsotillstånd via e-post.

  • Portalavisering: Ett meddelande visas i Azure Portal, Administrationscenter för Microsoft Entra och Administrationscenter för Microsoft Intune när de loggar in. Portalmeddelandet länkar till det här avsnittet för mer information om den obligatoriska MFA-tillämpningen.

  • Meddelandecenter för Microsoft 365: Ett meddelande visas i Microsoft 365-meddelandecentret med meddelande-ID: MC862873. Det här meddelandet har samma information som e-postmeddelandet och tjänstens hälsomeddelande.

Efter tillämpningen visas en banderoll i Microsoft Entra multifaktorautentisering:

Skärmbild av en banderoll i Microsoft Entra multifaktorautentisering som visar att obligatorisk MFA tillämpas.

Externa autentiseringsmetoder och identitetsprovidrar

Stöd för externa MFA-lösningar finns i förhandsversion med externa autentiseringsmetoder och kan användas för att uppfylla MFA-kravet. Den äldre förhandsversionen av anpassade kontroller för villkorsstyrd åtkomst uppfyller inte MFA-kravet. Du bör migrera till förhandsversionen av externa autentiseringsmetoder för att använda en extern lösning med Microsoft Entra-ID.

Om du använder en federerad identitetsprovider (IdP), till exempel Active Directory Federation Services (AD FS), och din MFA-provider är direkt integrerad med denna federerade IdP, måste det federerade IdP:t konfigureras för att skicka ett MFA-anspråk. För mer information, se Förväntade inkommande påståenden för Microsoft Entra MFA.

Begär mer tid för att förbereda för verkställighet

Vi förstår att vissa kunder kan behöva mer tid för att förbereda sig för detta MFA-krav. Microsoft tillåter kunder med komplexa miljöer eller tekniska hinder att skjuta upp tillämpningen för sina klienter till den 30 september 2025.

Från och med den 3 mars 2025 kan globala administratörer gå till Azure-portalen för att välja startdatum för att börja tillämpningen för deras klientorganisationers administratörsportaler i fas 1. Globala administratörer måste höja åtkomsten och använda MFA innan de kan skjuta upp startdatumet för MFA-verkställighet.

Globala administratörer måste utföra den här åtgärden för varje klientorganisation där de vill skjuta upp startdatumet för verkställigheten.

Genom att skjuta upp startdatumet för verkställigheten tar du extra risk eftersom konton som har åtkomst Microsoft-tjänster som Azure Portal är mycket värdefulla mål för hotaktörer. Vi rekommenderar att alla klienter konfigurerar MFA nu för att skydda molnresurser.

Vanliga frågor och svar

Fråga: Krävs multifaktorsautentisering om klienten endast används för testning?

Svar: Ja, varje Azure-klientorganisation kräver MFA, det finns inga undantag.

Fråga: Hur påverkar detta krav Administrationscenter för Microsoft 365?

Answer: Obligatorisk MFA kommer att införas i Microsoft 365 administrationscenter från och med februari 2025. Läs mer om det obligatoriska MFA-kravet för Administrationscenter för Microsoft 365 i blogginlägget Om obligatorisk multifaktorautentisering för Administrationscenter för Microsoft 365.

Fråga: Är MFA obligatoriskt för alla användare eller endast administratörer?

Svar: Alla användare som loggar in på något av de program som anges tidigare måste slutföra MFA, oavsett vilka administratörsroller som är aktiverade eller berättigade till dem, eller eventuella användarundantag som är aktiverade för dem.

Fråga: Måste jag slutföra MFA om jag väljer alternativet för att förbli inloggad?

Svar: Ja, även om du väljer Håll dig inloggad måste du slutföra MFA innan du kan logga in på dessa program.

Fråga: Gäller tillämpningen för B2B-gästkonton?

Svar: Ja, MFA måste följas antingen från partnerresursklientorganisationen eller användarens hemklient om den har konfigurerats korrekt för att skicka MFA-anspråk till resursklientorganisationen med hjälp av åtkomst mellan klientorganisationer.

Fråga: Hur kan vi följa reglerna om vi framtvingar MFA med hjälp av en annan identitetsprovider eller MFA-lösning, och vi inte tillämpar med hjälp av Microsoft Entra MFA?

Answer: MFA från tredje part kan integreras direkt med Microsoft Entra ID. Mer information finns i microsoft entra-referens för multifaktorautentisering för extern metodprovider. Microsoft Entra-ID kan konfigureras med en federerad identitetsprovider. I så fall måste identitetsproviderns lösning konfigureras korrekt för att skicka multipleauthn-anspråket till Microsoft Entra-ID. För mer information, se Hur du uppfyller Microsoft Entra ID:s multifaktorautentiseringskontroller med MFA-krav från en federerad IdP.

Fråga: Påverkar obligatorisk MFA min möjlighet att synkronisera med Microsoft Entra Connect eller Microsoft Entra Cloud Sync?

Svar: Nej. Kontot för synkroniseringstjänsten påverkas inte av det obligatoriska MFA-kravet. Endast program som anges tidigare kräver MFA för inloggning.

Fråga: Kommer jag att kunna välja bort?

Det finns inget sätt att välja bort. Den här säkerhetsrörelsen är avgörande för all säkerhet och säkerhet för Azure-plattformen och upprepas mellan molnleverantörer. Se till exempel Secure by Design: AWS to enhance MFA requirements in 2024 (Skydda efter design: AWS för att förbättra MFA-kraven 2024).

Ett alternativ för att skjuta upp startdatumet för verkställighet är tillgängligt för kunder. Globala administratörer kan gå till Azure-portalen för att skjuta upp startdatumet för verkställigheten för klientorganisationen. Globala administratörer måste ha förhöjd åtkomst innan de skjuter upp startdatumet för MFA-verkställighet på den här sidan. De måste utföra den här åtgärden för varje klient som behöver få uppskov.

Fråga: Kan jag testa MFA innan Azure tillämpar principen för att säkerställa att inget går sönder?

Svar: Ja, du kan testa deras MFA genom den manuella konfigurationsprocessen för MFA. Vi rekommenderar att du konfigurerar detta och testar. Om du använder villkorsstyrd åtkomst för att framtvinga MFA kan du använda mallar för villkorsstyrd åtkomst för att testa din princip. Mer information finns i Kräv multifaktorautentisering för administratörer som har åtkomst till Microsofts administratörsportaler. Om du kör en kostnadsfri utgåva av Microsoft Entra-ID kan du aktivera standardinställningar för säkerhet.

Fråga: Vad händer om jag redan har MFA aktiverat?

Svar: Kunder som redan kräver MFA för sina användare som har åtkomst till de program som anges tidigare ser ingen ändring. Om du bara behöver MFA för en delmängd användare måste alla användare som inte redan använder MFA nu använda MFA när de loggar in på programmen.

Fråga: Hur kan jag granska MFA-aktivitet i Microsoft Entra-ID?

Answer: Om du vill granska information om när en användare uppmanas att logga in med MFA använder du inloggningsloggarna för Microsoft Entra. Mer information finns i Information om inloggningshändelser för Microsoft Entra multifaktorautentisering.

Fråga: Vad händer om jag har ett nödläge där jag måste bryta glaset?

Svar: Vi rekommenderar att du uppdaterar dessa konton så att de använder nyckel (FIDO2) eller konfigurerar certifikatbaserad autentisering för MFA. Båda metoderna uppfyller MFA-kravet.

Fråga: Vad händer om jag inte får ett e-postmeddelande om att aktivera MFA innan det verkställdes, och sedan blir jag utelåst. Hur ska jag lösa det?

Svar: Användare bör inte låsas ut, men de kan få ett meddelande som uppmanar dem att aktivera MFA när tillämpningen för klientorganisationen har startats. Om användaren är utelåst kan det finnas andra problem. Mer information finns i Konto har låsts.

Relaterat innehåll

Läs följande avsnitt om du vill veta mer om hur du konfigurerar och distribuerar MFA: