MFA für (privilegierte) Konten in Azure, Entra und Intune ab Oktober 2024

Wenn ein Azure / Entra Administrator seit Mai nicht in den Ferien ist oder in einer verschlossenen Höhle gelebt hat, ist es kein neues Thema.
Seit Mai informiert Microsoft mit regelmässigen Updates über die kommende Anforderung, dass (privilegierte) Konten beim Zugriff auf definierte Applikationen und Admin-Portale bald Multi-Faktor Authentifizierung einsetzen müssen (hier und hier). Ausnahme für solche Konten soll es zukünftig keine geben bzw. ignoriert Entra entsprechende Ausnahmekonfigurationen. Davon betroffen sind auch Break Glass Konten.

Break glass or emergency access accounts are also required to sign in with MFA once enforcement begins. We recommend updating these accounts to use passkey (FIDO2) or configure certificate-based authentication for MFA. 

In der Dokumentation fasst Microsoft mittlerweile viele Informationen über die Anforderung zusammen.
Laut Dokumentation sind Konten mit Zugriff auf folgende Portale und Applikationen betroffen:

All users who access the admin portals and Azure clients listed in applications must be set up to use MFA. All users who access any administration portal should use MFA.

ApplikationDurchführungsphase
Azure portal ab 15. Oktober 2024
(Phase 1)
Microsoft Entra admin center
Microsoft Intune admin center
Azure command-line interface (Azure CLI) ab Anfang 2025
(Phase 2)
Azure PowerShell
Azure mobile app 
Infrastructure as Code (IaC) tools

Nicht betroffen von der Anforderung sind persönliche und unpersönliche Benutzerkonten ohne Tätigkeiten mit den erwähnten Applikationen, ebenfalls ausgenommen sind Workload Identities (wie Managed Identities in Azure und Service Principals in Entra ID).

Workload identities, such as managed identities and service principals, aren’t impacted by MFA enforcement. If user identities sign in as a service account to run automation (including scripts or other automated tasks), those user identities need to sign in with MFA once enforcement begins. User identities aren’t recommended for automation. You should migrate those user identities to workload identities.

Seit 15. August informiert Azure und das Entra Admin Portal über die bevorstehende Aktivierung von Phase 1 ab 15. Oktober 2024.

Datum für die MFA-Aktivierung von Phase 1, und die Möglichkeit zur Verlängerung bis März 2025
Datum für die MFA-Aktivierung von Phase 1,
und die Möglichkeit zur Verzögerung bis März 2025

In Azure bzw. über die URL aka.ms/managemfaforazure können Konten mit der Rolle Global Admin eine Verzögerung bis 15. März 2025 beantragen.

Empfehlungen zur Vorbereitung bis Oktober 2024 listet Microsoft in der Dokumentation.


Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert