• Microsoft Azure MFA Pflicht ab Oktober – was Sie jetzt tun sollten

Microsoft Azure MFA Pflicht ab Oktober – was Sie jetzt tun sollten

Maarten Liphardt, Junior Consultant Microsoft Security
Autor: Maarten Alexander LiphardtConsultant Modern WorkplaceAuf LinkedIn vernetzen

Mit der zunehmenden Verlagerung von Geschäftsanwendungen und -diensten in die Cloud ist die Sicherheit von Benutzerkonten von größter Bedeutung. Viele Anbieter verlangen das Hinterlegen eines zweiten Authentifizierungsfaktors. Ab spätestens Oktober 2024 müssen auch alle Benutzer des Azure-Portals die Multi-Faktor-Authentifizierung (MFA) verwenden. Ab Anfang 2025 wird diese Anforderung auch auf Azure CLI, Azure PowerShell und Infrastructure as Code (IaC) Tools ausgeweitet. In diesem Blogartikel erfahren Sie mehr zum Zeitplan, Details zu Ausnahmen und Sonderfällen und wie Sie sich bestmöglich auf die neue Azure MFA Pflicht vorbereiten.

Warum MFA?

Multi-Faktor-Authentifizierung erhöht die Sicherheit von Konten erheblich, indem sie neben dem Passwort einen weiteren Verifizierungsfaktor erfordert. Dies reduziert das Risiko von Kontoübernahmen durch gestohlene Passwörter und schützt sensible Daten und Ressourcen.

Geltungsbereich und Zeitplan der neuen Azure MFA Pflicht

Die neuen Anforderungen gelten für Microsoft Azure und umfassen:

  • Azure-Portal

    In der zweiten Hälfte des Jahres 2024 wird die MFA-Pflicht für alle Benutzer des Azure-Portals schrittweise eingeführt. Dazu gehört auch das Entra ID-Portal, da es nur eine andere Oberfläche für die Identity-bezogenen Azure-Daten bietet.

    Administratoren erhalten 60 Tage vor der Durchsetzung in ihrem Tenant eine Benachrichtigung, dass die Umstellung in Kraft treten wird.

  • Azure CLI, Azure PowerShell und IaC-Tools

    Ab Anfang 2025 müssen sich alle Benutzer auch bei Anmeldungen an dem Azure Command Line Interface (CLI), der Azure PowerShell und Infrastructure as Code (IaC) Diensten mit MFA authentifizieren.

Diese Regelungen betreffen ausschließlich die aufgeführten Programme/Oberflächen und keine Office-Apps oder Anwendungen von eingebundenen Drittanbietern. Mitarbeitende, die nur mit den Office-Produkten arbeiten, betrifft die Änderung somit nicht.

Ausnahmen und Sonderfälle der Azure MFA Pflicht

Managed Identities und Service Principals:

Diese sind von der MFA-Anforderung nicht betroffen. Sie sind speziell für die Automatisierung und die sichere Verwaltung von Diensten entwickelt und benötigen keine MFA.

Windows Hello for Business (WHFB)

Geräte, die mit WHFB konfiguriert sind, können diese Lösung als zweiten Faktor nutzen. WHFB bietet eine starke, benutzerfreundliche Authentifizierungsmethode, die eine sichere Zugangskontrolle gewährleistet. Es ist somit eigentlich keine Ausnahme, aber es wird durch den bereits erfüllten zweiten Faktor kein zusätzliches Handeln des Nutzers erforderlich.

Notfallkonten (Emergency Accounts)

Notfallkonten können ohne MFA nicht mehr verwendet werden. Der von Microsoft empfohlene Ansatz, diese von Conditional Access Richtlinien mit MFA auszuschließen, wird nach Umstellung nicht mehr funktionieren. Für diese Konten ist der Umstieg auf alternative Authentifizierungsmethoden wie ein FIDO2-Key, die Zertifikatsauthentifizierung oder eine App-Registrierung mit Secret erforderlich. Diese Methoden bieten die notwendige Sicherheit und gewährleisten den Zugriff im Notfall.

Vorbereitung auf die neuen Anforderungen

Frühzeitige Implementierung

Unternehmen sollten MFA umgehend einrichten, um ihre Cloud-Ressourcen zu sichern.

Migration von Automatisierungskonten

Beginnen Sie mit der Umstellung von Benutzeridentitäten zu Managed Identities oder Service Principals. Dies stellt sicher, dass Automatisierungsprozesse reibungslos weiterlaufen, auch wenn MFA für Benutzerkonten erforderlich wird.

Identifizierung betroffener Benutzer

Nutzen Sie verfügbare Tools und Ressourcen, um Benutzer zu identifizieren, die sich ohne MFA bei Azure anmelden. Das ermöglicht eine gezielte Ansprache und Schulung der betroffenen Nutzergruppen.

Umstellung von Notfallkonten (Emergency Accounts)

Stellen Sie Ihre Notfallkonten auf alternative Authentifizierungsmethoden wie FIDO2-Key, Zertifikatsauthentifizierung oder App-Registrierungen um. Planen und testen Sie diese Umstellung sorgfältig, um sicherzustellen, dass die Notfallzugänge auch in kritischen Situationen funktionieren.

Fazit

Die neue Azure MFA Pflicht von Microsoft stellt einen wichtigen Schritt zur Verbesserung der Cloud-Sicherheit dar. Durch die frühzeitige Implementierung von MFA und die Anpassung von Automatisierungsprozessen stellen Sie sicher, dass Sie die neuen Anforderungen erfüllen und ihre Azure-Ressourcen effektiv schützen.

Jetzt kostenfreien Azure MFA Beratungstermin anfragen

Gerne unterstützen wir Sie bei diesem Prozess. Fragen Sie jetzt einen kostenfreien Beratungstermin zum Thema Microsoft Azure MFA an.

Weitere Informationen:

Microsoft will require MFA for all Azure users
Update on MFA requirements for Azure sign-in

Weitere News zu diesem Thema