MFA-Pflicht in Azure: Wichtige Schritte für IT-Administratoren zur Umsetzung

MFA-Pflicht in Azure: Wichtige Schritte für IT-Administratoren zur Umsetzung
Photo by BoliviaInteligente / Unsplash

Microsoft hat ein bedeutendes Update zur Einführung der Multi-Faktor-Authentifizierung (MFA) bei der Anmeldung zu Azure bekannt gegeben. Diese Maßnahme soll die Sicherheit von Azure-Umgebungen erhöhen und stellt eine wichtige Änderung für IT-Administratoren dar.

Update on MFA requirements for Azure sign-in
An update regarding the required multi-factor authentication (MFA) for users signing into Azure. In this post, we share clarifications on the scope, timing and…

Was passiert ab wann?

Microsoft wird die MFA-Anforderungen in zwei Phasen durchsetzen:

  • Phase 1: Ab dem 15. Oktober 2024 wird die Durchsetzung der MFA-Anforderungen für alle Kunden im Azure-Portal, Entra-Portal und Intune-Portal beginnen. Diese Phase betrifft ausschließlich die Anmeldung zu diesen Portalen und keine weiteren Azure-Tools.
  • Phase 2: Ab Anfang 2025 wird die MFA-Durchsetzung für alle anderen Szenarien, wie Azure CLI, Azure PowerShell und Infrastructure as Code (IaC)-Tools, schrittweise eingeführt.

Microsoft informiert globale Administratoren mindestens 60 Tage im Voraus per E-Mail und über die Azure Service Health Notifications über das konkrete Datum der Durchsetzung für ihre Mandanten. Eine Übergangsfrist wird für bestimmte Kunden gewährt, die besondere Anwendungsfälle haben und mehr Vorbereitungszeit benötigen.

Warum führt Microsoft MFA ein?

Die zunehmende Komplexität und Bedrohungslage in der Cyber-Sicherheitslandschaft macht MFA zu einer unerlässlichen Maßnahme. MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem Benutzer neben ihrem Passwort einen weiteren Authentifizierungsfaktor, wie z. B. eine App-Bestätigung oder einen Code, verwenden müssen. Laut Microsoft ist dies eine der effektivsten Methoden, um unbefugte Zugriffe zu verhindern.

Welche Benutzer sind betroffen?

Die MFA-Anforderungen gelten für alle Benutzer, die sich bei den folgenden Azure-Diensten anmelden, um CRUD-Operationen (Create, Read, Update, Delete) durchzuführen:

  • Azure-Portal
  • Azure CLI
  • Azure PowerShell
  • IaC-Werkzeuge wie Terraform, Bicep, Ansible usw.

Endbenutzer, die lediglich auf Anwendungen oder Dienste zugreifen, die auf Azure gehostet werden, sind von dieser Regelung nicht betroffen. Es bleibt in der Verantwortung der jeweiligen App- oder Dienstanbieter, ob MFA-Anforderungen für Endbenutzer implementiert werden.

Automatisierte Konten

Workload-Identitäten, wie verwaltete Identitäten und Dienstprinzipale, sind von dieser MFA-Vorgabe ausgenommen. Sollte jedoch ein Benutzerkonto für Automatisierungsaufgaben verwendet werden, wird MFA erforderlich. Microsoft empfiehlt, diese Benutzerkonten auf Workload-Identitäten umzustellen.

Wie können IT-Admins Berichte erstellen?

Um den Einfluss dieser Änderung auf Ihre Umgebung zu bewerten, stellt Microsoft verschiedene Werkzeuge und PowerShell-Befehle zur Verfügung:

  1. PowerShell-Befehl zur Benutzerliste mit Authentifizierungsmethoden: Sie können mit diesem PowerShell-Skript eine Liste der Benutzer und deren MFA-Methoden exportieren.
  2. Multifaktor-Authentifizierung Gaps Workbook: Das "MFA Gaps Workbook" kann genutzt werden, um Lücken in der MFA-Bereitstellung innerhalb Ihrer Organisation zu identifizieren.
  3. App-IDs für die MFA-Durchsetzung:
    • Azure Portal: c44b4083-3bb0-49c1-b47d-974e53cbdf3c
    • Azure CLI: 04b07795-8ddb-461a-bbee-02f9e1bf7b46
    • Azure PowerShell: 1950a258-227b-4e31-a9cf-717495945fc2

Ein PowerShell-Skript, um die Sign-In-Logs zu analysieren und betroffene Benutzer zu identifizieren, könnte wie folgt aussehen:

Connect-MgGraph -Scopes AuditLog.Read.All

$date = (Get-Date).AddDays(-30).ToString("yyyy-MM-dd")
$uri = "/beta/auditLogs/signIns?`$filter=(appid eq 'c44b4083-3bb0-49c1-b47d-974e53cbdf3c' or appid eq '04b07795-8ddb-461a-bbee-02f9e1bf7b46') and createdDateTime ge $date"

$report = Invoke-MgGraphRequest -Method GET -Uri $uri -OutputType PSObject
$report | Out-GridView

Sonderfälle und Break-Glass-Konten

Für Break-Glass-Konten, die für Notfälle vorgesehen sind, empfiehlt Microsoft, statt langer Passwörter FIDO2 oder Zertifikatsbasierte Authentifizierung als MFA-Methode einzusetzen. Beide Optionen erfüllen die neuen MFA-Anforderungen.

Microsoft arbeitet derzeit an weiteren Leitfäden für spezielle Szenarien wie geteilte Admin-Konten und APIs, die Benutzeridentitäten erfordern. Diese Anleitungen werden voraussichtlich im August 2024 veröffentlicht.

Weiterlesen

Private Channels in Microsoft Teams: Neue Funktionen für mehr Skalierbarkeit, Flexibilität und Compliance

Private Channels in Microsoft Teams: Neue Funktionen für mehr Skalierbarkeit, Flexibilität und Compliance

Private Channels in Microsoft Teams haben sich seit ihrer Einführung gegen Ende 2019, vor nun schon über sechs Jahren, zu einem wichtigen Werkzeug für fokussierte Zusammenarbeit entwickelt. Sie bieten Teammitgliedern einen geschützten Raum für vertrauliche Diskussionen, die nicht für alle Mitglieder einer Teams-Gruppe zugänglich sein sollen, etwa bei der Bearbeitung

Von Yannic Röcken
Halbjährlichen Enterprise Channel für Microsoft 365 Apps wird vereinfacht

Halbjährlichen Enterprise Channel für Microsoft 365 Apps wird vereinfacht

Microsoft hat angekündigt, die Update-Strategie für Microsoft 365 Apps auf Windows-Desktopgeräten grundlegend zu überarbeiten. Im Zentrum dieser Anpassung steht der schrittweise Rückzug des Semi-Annual Enterprise Channel – und zwar in beiden Varianten: * Semi-Annual Enterprise Channel (Preview): Support endet am 8. Juli 2025 * Semi-Annual Enterprise Channel (Extended): Support endet am 10. März

Von Yannic Röcken
Änderung bei externer Freigabe in SharePoint Online und OneDrive for Business ab Juli 2025

Änderung bei externer Freigabe in SharePoint Online und OneDrive for Business ab Juli 2025

Zum 1. Juli 2025 stellt Microsoft die bisherige Authentifizierungsmethode über One-Time-Passcodes (OTP) für externe Freigaben in SharePoint Online und OneDrive for Business ein (MC1089315). Dies betrifft externe Benutzer, die über One-Time-Passcode-Links auf Inhalte wie Dateien, Ordner oder Websites zugreifen, welche vor der Aktivierung der Integration von Microsoft SharePoint und OneDrive

Von Yannic Röcken