微軟 7 月起強制 Azure 用戶啟用 MFA 多因素認證,確保 99.99% 帳號安全
從 7 月開始,微軟將逐步強制所有 Azure 用戶必須啟用多因素驗證 (MFA) 才能使用雲端資源。
一開始會先從 Azure 入口網站強制使用,之後推向 CLI、Powershell 和 Terraform。微軟說,正式推行前,客戶會先收到正式的電子郵件和通知。
微軟引述根據 Azure Active Directory (AD) 用戶所做的調查,MFA 能確保用戶帳號免受網路攻擊,而超過 99.99% 啟用 MFA 的帳號能抵禦駭客。此外,MFA 能減少被駭風險降低 98.56%,即使攻擊者竊來憑證也難以駭入帳號。
強制執行會從 7 月開始,但微軟呼籲管理員利用 Entra(Azure AD) 的 MFA 精靈,為其租戶啟用 MFA。他們可以利用驗證方法登錄表或使用 PowerShell script 獲取所有用戶的 MFA 狀態報告。
不過微軟也說明,雙因素政策不會擴及 Azure 代管的應用程式、網站或服務,這些都會留給它們的所有人決定。此外,用於自動化的帳號,包括服務主體 (service principal)、代管身份、工作負載身分與同為使用令牌的其他帳號也都排除在外。MFA 並沒有 opt-out 的選項,但若是用戶真的沒法使用,微軟還是可能允許例外,不過微軟現在並沒有任何保證。
這項宣佈是在去年 11 月微軟宣佈條件存取 (conditional access) 政策,要求所有登入微軟管理員入口網站(如 Entra、Microsoft 365、Exchange 和 Azure)、雲端 App 的使用者,以及高風險人士登入必須啟用 MFA 後,又以擴展 MFA 應用的措施