MFA-Pflicht in Azure: Wichtige Schritte für IT-Administratoren zur Umsetzung
Microsoft hat ein bedeutendes Update zur Einführung der Multi-Faktor-Authentifizierung (MFA) bei der Anmeldung zu Azure bekannt gegeben. Diese Maßnahme soll die Sicherheit von Azure-Umgebungen erhöhen und stellt eine wichtige Änderung für IT-Administratoren dar.
Was passiert ab wann?
Microsoft wird die MFA-Anforderungen in zwei Phasen durchsetzen:
- Phase 1: Ab dem 15. Oktober 2024 wird die Durchsetzung der MFA-Anforderungen für alle Kunden im Azure-Portal, Entra-Portal und Intune-Portal beginnen. Diese Phase betrifft ausschließlich die Anmeldung zu diesen Portalen und keine weiteren Azure-Tools.
- Phase 2: Ab Anfang 2025 wird die MFA-Durchsetzung für alle anderen Szenarien, wie Azure CLI, Azure PowerShell und Infrastructure as Code (IaC)-Tools, schrittweise eingeführt.
Microsoft informiert globale Administratoren mindestens 60 Tage im Voraus per E-Mail und über die Azure Service Health Notifications über das konkrete Datum der Durchsetzung für ihre Mandanten. Eine Übergangsfrist wird für bestimmte Kunden gewährt, die besondere Anwendungsfälle haben und mehr Vorbereitungszeit benötigen.
Warum führt Microsoft MFA ein?
Die zunehmende Komplexität und Bedrohungslage in der Cyber-Sicherheitslandschaft macht MFA zu einer unerlässlichen Maßnahme. MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem Benutzer neben ihrem Passwort einen weiteren Authentifizierungsfaktor, wie z. B. eine App-Bestätigung oder einen Code, verwenden müssen. Laut Microsoft ist dies eine der effektivsten Methoden, um unbefugte Zugriffe zu verhindern.
Welche Benutzer sind betroffen?
Die MFA-Anforderungen gelten für alle Benutzer, die sich bei den folgenden Azure-Diensten anmelden, um CRUD-Operationen (Create, Read, Update, Delete) durchzuführen:
- Azure-Portal
- Azure CLI
- Azure PowerShell
- IaC-Werkzeuge wie Terraform, Bicep, Ansible usw.
Endbenutzer, die lediglich auf Anwendungen oder Dienste zugreifen, die auf Azure gehostet werden, sind von dieser Regelung nicht betroffen. Es bleibt in der Verantwortung der jeweiligen App- oder Dienstanbieter, ob MFA-Anforderungen für Endbenutzer implementiert werden.
Automatisierte Konten
Workload-Identitäten, wie verwaltete Identitäten und Dienstprinzipale, sind von dieser MFA-Vorgabe ausgenommen. Sollte jedoch ein Benutzerkonto für Automatisierungsaufgaben verwendet werden, wird MFA erforderlich. Microsoft empfiehlt, diese Benutzerkonten auf Workload-Identitäten umzustellen.
Wie können IT-Admins Berichte erstellen?
Um den Einfluss dieser Änderung auf Ihre Umgebung zu bewerten, stellt Microsoft verschiedene Werkzeuge und PowerShell-Befehle zur Verfügung:
- PowerShell-Befehl zur Benutzerliste mit Authentifizierungsmethoden: Sie können mit diesem PowerShell-Skript eine Liste der Benutzer und deren MFA-Methoden exportieren.
- Multifaktor-Authentifizierung Gaps Workbook: Das "MFA Gaps Workbook" kann genutzt werden, um Lücken in der MFA-Bereitstellung innerhalb Ihrer Organisation zu identifizieren.
- App-IDs für die MFA-Durchsetzung:
- Azure Portal:
c44b4083-3bb0-49c1-b47d-974e53cbdf3c
- Azure CLI:
04b07795-8ddb-461a-bbee-02f9e1bf7b46
- Azure PowerShell:
1950a258-227b-4e31-a9cf-717495945fc2
- Azure Portal:
Ein PowerShell-Skript, um die Sign-In-Logs zu analysieren und betroffene Benutzer zu identifizieren, könnte wie folgt aussehen:
Connect-MgGraph -Scopes AuditLog.Read.All
$date = (Get-Date).AddDays(-30).ToString("yyyy-MM-dd")
$uri = "/beta/auditLogs/signIns?`$filter=(appid eq 'c44b4083-3bb0-49c1-b47d-974e53cbdf3c' or appid eq '04b07795-8ddb-461a-bbee-02f9e1bf7b46') and createdDateTime ge $date"
$report = Invoke-MgGraphRequest -Method GET -Uri $uri -OutputType PSObject
$report | Out-GridView
Sonderfälle und Break-Glass-Konten
Für Break-Glass-Konten, die für Notfälle vorgesehen sind, empfiehlt Microsoft, statt langer Passwörter FIDO2 oder Zertifikatsbasierte Authentifizierung als MFA-Methode einzusetzen. Beide Optionen erfüllen die neuen MFA-Anforderungen.
Microsoft arbeitet derzeit an weiteren Leitfäden für spezielle Szenarien wie geteilte Admin-Konten und APIs, die Benutzeridentitäten erfordern. Diese Anleitungen werden voraussichtlich im August 2024 veröffentlicht.