Azure 强制实施多重身份验证
去年8月,微软宣布实施强制登录多因素身份验证 (MFA),在增强 Azure 公有云用户安全性方面迈出了重要一步。微软的研究表明,MFA 可以防止超过 99.2% 的账户泄露,使其成为抵御未经授权访问的关键防御机制。
分阶段实施策略
MFA 的推出战略性地分为两个关键阶段。第一阶段于 2024 年 10 月开始,主要侧重于强制执行管理门户登录的 MFA。此要求现在适用于所有登录关键 Azure 服务(例如 Azure 门户、Microsoft Entra 管理中心和 Intune 管理中心)的用户。
截至 2023 年 3 月,微软已确认已成功实施 Azure 租户的初始门户强制措施。这一进展为第二阶段奠定了基础,该阶段将在 Azure 资源管理器层引入“逐步强制实施”。这一新层将 MFA 要求扩展到基本工具,包括:
- Azure CLI
- Azure PowerShell
- Azure 移动应用
- 基础设施即代码 (IaC) 工具
准备 MFA:管理员指南
对于 Azure 管理员来说,过渡到这一新要求需要一些准备工作。Microsoft 建议配置条件访问策略以简化此过程。以下是设置步骤:
- 以条件访问管理员权限登录 Microsoft Entra 管理中心。
- 导航到 Entra ID,选择“条件访问”,然后继续“策略”。
- 创建新策略并为其分配一个描述性名称。
- 选择要包含在分配下的适当的用户或组。
- 在目标资源下,识别云应用程序并包括“Microsoft Admin Portals”和“Windows Azure Service Management API”。
- 在访问控制中,选择授予,然后选择要求身份验证强度,并选择多重身份验证。
- 初始将策略设置为“仅报告”模式,以便在不锁定用户的情况下评估潜在影响。最后,选择“创建”。
需要注意的是,应用这些设置需要 Microsoft Entra ID P1 或 P2 许可证。为了与这些更改实现最佳兼容性,Microsoft 还建议用户将其系统至少更新到 Azure CLI 版本 2.76 和 Azure PowerShell 版本 14.3。
有关此转变的更多信息和更新,您可以参考来源。
发表回复