Anastasiia - stock.adobe.com
Umstellung: Azure-Konten und Multifaktor-Authentifizierung
Microsoft läutet die nächste Runde der Secure Future Initiative ein und dazu gehört die obligatorische MFA für einige Azure-Anwendungen. Für Admins besteht Handlungsbedarf.
Ende des Jahres 2023 hat Microsoft die Secure Future Initiative (SFI) vorgestellt, die unter anderem zum Ziel hat, die Microsoft-Umgebungen gegenüber Angriffen zu härten. Dazu gehört auch eine verpflichtende Multifaktor-Authentifizierung für wichtige Konten und Zugänge. Dies sei eine der wirksamsten verfügbaren Sicherheitsmaßnahmen und würde die Mehrzahl der Angriffe auf Konten blockieren, hieß es bei der Ankündigung seinerzeit.
In der Phase 1 im Oktober 2024 gehörten zu den Lösungen mit verpflichtender Multifaktor-Authentifizierung das Einloggen in das Azure Portal, in das Microsoft Entra Admin Center sowie das Intune Admin Center. Betroffen davon sind die CRUD-Vorgänge (Create, Read, Update und Delete).
Zum 1. Oktober 2025 stellt Microsoft eine Reihe von Konten auf die obligatorische Multifaktor-Authentifizierung um. Die zwangsweise Multifaktor-Authentifizierung gilt für alle Benutzer, die sich bei den unten genannten Anwendungen anmelden, unabhängig von ihrer Administratorrolle. Davon sind auch Testumgebungen betroffen, nicht nur Systeme im produktiven Einsatz.
Von der Multifaktor-Authentifizierung betroffene Azure-Konten
Mit der Phase 2 beginnt am 1. Oktober 2025 die schrittweise Erzwingung der Multifaktor-Authentifizierung für folgende Anwendungen:
- Azure CLI (Befehlszeilenschnittstelle)
- Azure PowerShell
- Azure SDK
- Mobile Azure-App
- IaC (Infrastructure as Code) (verwenden von Azure-CLI oder PowerShell-IDs)
- REST-API (Steuerungsebene)
Sobald die MFA-Erzwingung beginnt, müssen sich alle Konten, die sich dort anmelden die Multifaktor-Authentifizierung durchführen. Die obligatorische Multifaktor-Authentifizierung gilt auch für Break-Glass- oder Notfallzugriffskonten.
Da die betroffenen Anwendungen ja durchaus auch in Zusammenhang mit automatisierten Skripten stehen können, sollten Admins bei der Suche nach betreffenden Stellen besondere Aufmerksamkeit walten lassen.
Was bei der Umstellung auf Multifaktor-Authentifizierung zu beachten ist
Benutzer, die sich ohne Multifaktor-Authentifizierung anmelden, können auf die genannten Anwendungen zugreifen. Falls sie jedoch versuchen, etwas zu aktualisieren, zu erstellen oder zu löschen, erhalten sie eine Fehlermeldung. Dort werden sie aufgefordert, sich mit MFA anzumelden. Wenn Anwender bereits auf Multifaktor-Authentifizierung umgestellt sind und auf die oben genannten Anwendungen zugreifen, ist keine Änderung erkennbar.
Es sei ratsam, die Multifaktor-Authentifizierung zu testen, bevor die obligatorische MFA erforderlich ist. Dies sei über den manuellen Einrichtungsprozess der Multifaktor-Authentifizierung zu erreichen. Wenn Unternehmen den bedingten Zugriff einsetzen, ließe sich dies über die Vorlagen für den bedingten Zugriff realisieren, um die Richtlinie zu testen.
Microsoft empfiehlt Admins zu überprüfen, ob Benutzer für die obligatorische Multifaktor-Authentifizierung eingerichtet sind. Benutzerkonten, die als Dienstkonten verwendet werden, sollten zudem zu Workloadidentitäten migriert werden.
Sollten beispielsweise bei der Automatisierung, etwa per Skript, Benutzeridentitäten verwendet werden, um die Aufgaben auszuführen, müssen sich diese Identitäten künftig auch mit MFA anmelden. Microsoft rät von der Verwendung von Benutzeridentitäten für die Automatisierung ab. Diese sollten dann zu Workloadidentitäten migriert werden.
Nach Angaben von Microsoft wirken sich Workloadidentitäten, wie etwa Dienstprinzipale und verwaltete Identitäten, nicht auf diese MFA-Erzwingung aus.
Wenn ein Unternehmen nicht Microsoft Entra ID verwendet, um die Multifaktor-Authentifizierung umzusetzen, sondern einen Drittanbieter, sollte verifiziert werden, wie diese Lösung in Entra ID integriert werden kann.
Microsoft hat zur Umstellung auf die obligatorische Multifaktor-Authentifizierung ausführliche Informationen zusammengestellt.
