Phase 2 der Microsoft-MFA-Umstellung

Microsoft hatte die MFA-Umstellung in zwei Phase aufgeteilt. Bereits seit Oktober 2024 erfolgte die schrittweise Einführung der MFA-Anforderung für das Azure-Portal, das Microsoft Entra Admin Center, das Microsoft Intune Admin Center und für das Microsoft 365 Admin Center. Die Umstellung ist nahezu abgeschlossen.

Ab dem 1. September 2025 startet Phase 2. Dann wird MFA zusätzlich für Tools wie Azure CLI, Azure PowerShell und REST-APIs erforderlich. Zusätzlich wird auch die Nutzung von Benutzeridentitäten für automatisierte Skripts eingeschränkt und eine Migration zu sogenannten Workload-Identitäten empfohlen.

Wichtige Hinweise zur Umsetzung

Besonders zu beachten ist, dass für hoch privilegierte Konten eine phishing-resistente MFA-Methode, wie beispielsweise Hardware-Token (FIDO2) oder zertifikatsbasierter Authentifizierung, gewählt wird. Benutzeridentitäten, die als Servicekonten genutzt werden, sollten jetzt auf Workload-Identitäten umgestellt werden, um unterbrechungsfreien Zugriff sicherzustellen. Auch Break Glass- oder Notfallzugriffskonten unterliegen künftig der MFA-Pflicht und müssen entsprechend aktualisiert werden.

Sicherheit und Zukunftsperspektiven

Mit den Maßnahmen stellt Microsoft sicher, dass alle administrativen Zugänge die höchsten Sicherheitsstandards erfüllen. Für Unternehmen bedeutet dies, ihre Authentifizierungsrichtlinien zu prüfen und Anpassungen vorzunehmen, um den Anforderungen zu entsprechen.

Microsoft betont, dass die verpflichtende MFA keinen optionalen Charakter hat und für alle nutzenden Organisationen verbindlich ist, unabhängig von der Art der Anwendung oder des vorhandenen MFA-Anbieters.

Fazit

Mit der Einführung der verpflichtenden MFA für Microsoft 365 und Azure-Portale setzt Microsoft ein deutliches Zeichen in puncto Sicherheit. Unternehmen sollten jetzt mit der Umsetzung der Phase-2-Anforderungen beginnen, um den Schutz sensibler Daten sicherzustellen.