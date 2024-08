Microsoft führt ab der zweiten Jahreshälfte 2024 die verpflichtende Multifaktor-Authentifizierung für alle Azure-Anmeldungen ein. Diese Maßnahme soll den Großteil der Angriffe auf Konten blockieren. Die Einführung erfolgt in zwei Phasen, beginnend mit dem Azure-Portal und Admin-Centern im Oktober 2024, gefolgt von CLI-, PowerShell- und Mobile-App-Zugriffen Anfang 2025.

Microsoft kündigt eine Änderung für die Sicherheit seiner Azure-Dienste an: Ab der zweiten Jahreshälfte 2024 wird die Multifaktor-Authentifizierung (MFA) für alle Azure-Anmeldungen verpflichtend. Diese Maßnahme ist Teil einer umfassenden Sicherheitsinitiative, für die Microsoft in den nächsten fünf Jahren 20 Milliarden Dollar investiert. Laut Microsoft kann MFA mehr als 99 Prozent der Angriffe auf Konten blockieren, was sie zu einer der effektivsten verfügbaren Sicherheitsmaßnahmen macht.

Einführung in zwei Phasen

Die Einführung erfolgt in zwei Phasen: Ab Oktober 2024 wird MFA für Anmeldungen am Azure-Portal, Microsoft Entra Admin Center und Intune Admin Center erforderlich sein. Anfang 2025 folgt die schrittweise Durchsetzung für Azure CLI, Azure PowerShell, die Azure-Mobile-App und Infrastructure-as-Code-Tools. IT-Administratoren sollten beachten, dass Microsoft 60 Tage im Voraus alle Entra-Global-Administratoren per E-Mail und über Azure Service Health Notifications über den Starttermin und erforderliche Maßnahmen informieren wird.

Apps und Sicherheitstoken

Für die Umsetzung der MFA bietet Microsoft Entra verschiedene Optionen: Die Microsoft Authenticator App ermöglicht Benutzern die Genehmigung von Anmeldungen über Push-Benachrichtigungen, biometrische Verfahren oder Einmalpasswörter. FIDO2-Sicherheitsschlüssel erlauben eine Anmeldung ohne Benutzername oder Passwort mittels externer Sicherheitsschlüssel. Zertifikatsbasierte Authentifizierung nutzt PIV- und CAC-Karten, während Passkeys eine phishing-resistente Authentifizierung über Microsoft Authenticator bieten. Als am wenigsten sichere Option steht auch die SMS- oder Sprachbestätigung zur Verfügung.

Externe MFA-Lösungen und föderierte Identitätsanbieter werden weiterhin unterstützt und erfüllen die MFA-Anforderung, sofern sie für den Versand eines MFA-Claims konfiguriert sind. Für Unternehmen mit komplexen Umgebungen oder technischen Hindernissen bietet Microsoft die Möglichkeit, verlängerte Zeitrahmen für die Umsetzung zu beantragen.

Teil der Sicherheitsstrategie

Diese Anpassung ist Teil einer Strategie von Microsoft zur Stärkung der Identitäts- und Datensicherheit. Dazu gehören die Implementierung von Hardware-geschützten Signatur- und Plattformschlüsseln, die Verbesserung von Identitätsstandards, der Schutz von Anwendungen durch systemverwaltete Anmeldeinformationen und die Vorbereitung auf eine Post-Quanten-Kryptographie-Welt. Die verpflichtende MFA für Azure soll nicht nur das Risiko von Kontocompromittierungen und Datenlecks reduzieren, sondern Organisationen auch bei der Einhaltung verschiedener Sicherheitsstandards und Vorschriften wie PCI DSS, HIPAA, DSGVO und NIST unterstützen.