MFA-Pflicht in Azure: Wichtige Schritte für IT-Administratoren zur Umsetzung

MFA-Pflicht in Azure: Wichtige Schritte für IT-Administratoren zur Umsetzung
Photo by BoliviaInteligente / Unsplash

Microsoft hat ein bedeutendes Update zur Einführung der Multi-Faktor-Authentifizierung (MFA) bei der Anmeldung zu Azure bekannt gegeben. Diese Maßnahme soll die Sicherheit von Azure-Umgebungen erhöhen und stellt eine wichtige Änderung für IT-Administratoren dar.

Update on MFA requirements for Azure sign-in
An update regarding the required multi-factor authentication (MFA) for users signing into Azure. In this post, we share clarifications on the scope, timing and…

Was passiert ab wann?

Microsoft wird die MFA-Anforderungen in zwei Phasen durchsetzen:

  • Phase 1: Ab dem 15. Oktober 2024 wird die Durchsetzung der MFA-Anforderungen für alle Kunden im Azure-Portal, Entra-Portal und Intune-Portal beginnen. Diese Phase betrifft ausschließlich die Anmeldung zu diesen Portalen und keine weiteren Azure-Tools.
  • Phase 2: Ab Anfang 2025 wird die MFA-Durchsetzung für alle anderen Szenarien, wie Azure CLI, Azure PowerShell und Infrastructure as Code (IaC)-Tools, schrittweise eingeführt.

Microsoft informiert globale Administratoren mindestens 60 Tage im Voraus per E-Mail und über die Azure Service Health Notifications über das konkrete Datum der Durchsetzung für ihre Mandanten. Eine Übergangsfrist wird für bestimmte Kunden gewährt, die besondere Anwendungsfälle haben und mehr Vorbereitungszeit benötigen.

Warum führt Microsoft MFA ein?

Die zunehmende Komplexität und Bedrohungslage in der Cyber-Sicherheitslandschaft macht MFA zu einer unerlässlichen Maßnahme. MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem Benutzer neben ihrem Passwort einen weiteren Authentifizierungsfaktor, wie z. B. eine App-Bestätigung oder einen Code, verwenden müssen. Laut Microsoft ist dies eine der effektivsten Methoden, um unbefugte Zugriffe zu verhindern.

Welche Benutzer sind betroffen?

Die MFA-Anforderungen gelten für alle Benutzer, die sich bei den folgenden Azure-Diensten anmelden, um CRUD-Operationen (Create, Read, Update, Delete) durchzuführen:

  • Azure-Portal
  • Azure CLI
  • Azure PowerShell
  • IaC-Werkzeuge wie Terraform, Bicep, Ansible usw.

Endbenutzer, die lediglich auf Anwendungen oder Dienste zugreifen, die auf Azure gehostet werden, sind von dieser Regelung nicht betroffen. Es bleibt in der Verantwortung der jeweiligen App- oder Dienstanbieter, ob MFA-Anforderungen für Endbenutzer implementiert werden.

Automatisierte Konten

Workload-Identitäten, wie verwaltete Identitäten und Dienstprinzipale, sind von dieser MFA-Vorgabe ausgenommen. Sollte jedoch ein Benutzerkonto für Automatisierungsaufgaben verwendet werden, wird MFA erforderlich. Microsoft empfiehlt, diese Benutzerkonten auf Workload-Identitäten umzustellen.

Wie können IT-Admins Berichte erstellen?

Um den Einfluss dieser Änderung auf Ihre Umgebung zu bewerten, stellt Microsoft verschiedene Werkzeuge und PowerShell-Befehle zur Verfügung:

  1. PowerShell-Befehl zur Benutzerliste mit Authentifizierungsmethoden: Sie können mit diesem PowerShell-Skript eine Liste der Benutzer und deren MFA-Methoden exportieren.
  2. Multifaktor-Authentifizierung Gaps Workbook: Das "MFA Gaps Workbook" kann genutzt werden, um Lücken in der MFA-Bereitstellung innerhalb Ihrer Organisation zu identifizieren.
  3. App-IDs für die MFA-Durchsetzung:
    • Azure Portal: c44b4083-3bb0-49c1-b47d-974e53cbdf3c
    • Azure CLI: 04b07795-8ddb-461a-bbee-02f9e1bf7b46
    • Azure PowerShell: 1950a258-227b-4e31-a9cf-717495945fc2

Ein PowerShell-Skript, um die Sign-In-Logs zu analysieren und betroffene Benutzer zu identifizieren, könnte wie folgt aussehen:

Connect-MgGraph -Scopes AuditLog.Read.All

$date = (Get-Date).AddDays(-30).ToString("yyyy-MM-dd")
$uri = "/beta/auditLogs/signIns?`$filter=(appid eq 'c44b4083-3bb0-49c1-b47d-974e53cbdf3c' or appid eq '04b07795-8ddb-461a-bbee-02f9e1bf7b46') and createdDateTime ge $date"

$report = Invoke-MgGraphRequest -Method GET -Uri $uri -OutputType PSObject
$report | Out-GridView

Sonderfälle und Break-Glass-Konten

Für Break-Glass-Konten, die für Notfälle vorgesehen sind, empfiehlt Microsoft, statt langer Passwörter FIDO2 oder Zertifikatsbasierte Authentifizierung als MFA-Methode einzusetzen. Beide Optionen erfüllen die neuen MFA-Anforderungen.

Microsoft arbeitet derzeit an weiteren Leitfäden für spezielle Szenarien wie geteilte Admin-Konten und APIs, die Benutzeridentitäten erfordern. Diese Anleitungen werden voraussichtlich im August 2024 veröffentlicht.

Weiterlesen

Exchange Managed Services: Zuverlässiger Betrieb, immer und überall

Exchange Managed Services: Zuverlässiger Betrieb, immer und überall

E-Mails sind auch heute noch das Herzstück der geschäftlichen Kommunikation. Um diese zentrale Funktion zu gewährleisten, benötigen Unternehmen eine robuste, sichere und optimal verwaltete Infrastruktur. Unsere Managed Exchange Services im Rahmen unserer Professional Services bieten Ihnen maßgeschneiderte Lösungen, die alle Aspekte der Betreuung, Optimierung und Modernisierung Ihrer Exchange-Umgebung abdecken – von

Von Indeno GmbH
Exchange Zertifikat Fehler: Kein Parameter für ‚FileName‘ gefunden

Exchange Zertifikat Fehler: Kein Parameter für ‚FileName‘ gefunden

Die Verwaltung von Zertifikaten in Microsoft Exchange Server wurde in den letzten Jahren durch gezielte Änderungen in kumulativen Updates (CU) grundlegend überarbeitet. Besonders im Zuge von Vorbereitungen auf Exchange Server Subscription Edition (SE) und den damit verbundenen Migrationen auf Exchange Server 2019 begegnen Administratoren vermehrt einem spezifischen Fehler beim Zertifikatsimport:

Von Indeno GmbH
Microsoft Entra ID Protection: Schutz von Identitäten in einer komplexen digitalen Welt

Microsoft Entra ID Protection: Schutz von Identitäten in einer komplexen digitalen Welt

Einführung in Microsoft Entra ID Protection In der heutigen vernetzten digitalen Welt ist der Schutz von Identitäten wichtiger denn je. Cyberbedrohungen haben sich weiterentwickelt und sind zunehmend ausgefeilter und schwerer zu erkennen. Microsoft Entra ID Protection ist ein leistungsstarkes Tool, das entwickelt wurde, um diesen Herausforderungen zu begegnen und fortschrittlichen

Von Indeno GmbH
Die Einführung der elektronischen Rechnung (E-Rechnung) in Österreich und Deutschland

Die Einführung der elektronischen Rechnung (E-Rechnung) in Österreich und Deutschland

Die Digitalisierung der Geschäftsprozesse schreitet voran, und die Einführung der elektronischen Rechnung (E-Rechnung) in Österreich und Deutschland stellt einen wichtigen Meilenstein dar. Dieser Artikel bietet einen umfassenden Überblick über die Definition, gesetzlichen Anforderungen und Zeitpläne für die verpflichtende Nutzung der E-Rechnung. Was ist eine E-Rechnung? Eine E-Rechnung ist eine Rechnung,

Von Indeno GmbH