Azure 強制實施多重驗證
去年8月,微軟宣布實施強制登入多因素身份驗證 (MFA),在增強 Azure 公有雲用戶安全性方面邁出了重要一步。微軟的研究表明,MFA 可以防止超過 99.2% 的帳戶洩露,使其成為抵禦未經授權存取的關鍵防禦機制。
分階段實施策略
MFA 的推出策略性地分為兩個關鍵階段。第一階段於 2024 年 10 月開始,主要著重於強制執行管理入口網站登入的 MFA。此要求現在適用於所有登入關鍵 Azure 服務(例如 Azure 入口網站、Microsoft Entra 管理中心和 Intune 管理中心)的使用者。
截至 2023 年 3 月,微軟已確認已成功實施 Azure 租用戶的初始入口網站強制措施。這項進展為第二階段奠定了基礎,該階段將在 Azure 資源管理器層引入「逐步強制實施」。這一新層將 MFA 要求擴展到基本工具,包括:
- Azure CLI
- Azure PowerShell
- Azure 行動應用
- 基礎設施即程式碼 (IaC) 工具
準備 MFA:管理員指南
對於 Azure 管理員來說,過渡到這項新要求需要一些準備。 Microsoft 建議設定條件存取策略以簡化此流程。以下是設定步驟:
- 以條件存取管理員權限登入 Microsoft Entra 管理中心。
- 導航至 Entra ID,選擇“條件存取”,然後繼續“策略”。
- 建立新策略並為其指派一個描述性名稱。
- 選擇要包含在分配下的適當的使用者或群組。
- 在目標資源下,識別雲端應用程式並包含「Microsoft Admin Portals」和「Windows Azure Service Management API」。
- 在存取控制中,選擇授予,然後選擇要求身份驗證強度,並選擇多重身份驗證。
- 初始將策略設定為「僅報告」模式,以便在不鎖定使用者的情況下評估潛在影響。最後,選擇“創建”。
需要注意的是,應用這些設定需要 Microsoft Entra ID P1 或 P2 授權。為了與這些變更實現最佳相容性,Microsoft 還建議使用者將其係統至少更新到 Azure CLI 版本 2.76 和 Azure PowerShell 版本 14.3。
有關此轉變的更多資訊和更新,您可以參考來源。
發佈留言