微軟 7 月起強制 Azure 用戶啟用 MFA 多因素認證，確保 99.99% 帳號安全

從 7 月開始，微軟將逐步強制所有 Azure 用戶必須啟用多因素驗證 (MFA) 才能使用雲端資源。

一開始會先從 Azure 入口網站強制使用，之後推向 CLI、Powershell 和 Terraform。微軟說，正式推行前，客戶會先收到正式的電子郵件和通知。

微軟引述根據 Azure Active Directory (AD) 用戶所做的調查，MFA 能確保用戶帳號免受網路攻擊，而超過 99.99% 啟用 MFA 的帳號能抵禦駭客。此外，MFA 能減少被駭風險降低 98.56%，即使攻擊者竊來憑證也難以駭入帳號。

強制執行會從 7 月開始，但微軟呼籲管理員利用 Entra(Azure AD) 的 MFA 精靈，為其租戶啟用 MFA。他們可以利用驗證方法登錄表或使用 PowerShell script 獲取所有用戶的 MFA 狀態報告。

不過微軟也說明，雙因素政策不會擴及 Azure 代管的應用程式、網站或服務，這些都會留給它們的所有人決定。此外，用於自動化的帳號，包括服務主體 (service principal)、代管身份、工作負載身分與同為使用令牌的其他帳號也都排除在外。MFA 並沒有 opt-out 的選項，但若是用戶真的沒法使用，微軟還是可能允許例外，不過微軟現在並沒有任何保證。

這項宣佈是在去年 11 月微軟宣佈條件存取 (conditional access) 政策，要求所有登入微軟管理員入口網站（如 Entra、Microsoft 365、Exchange 和 Azure）、雲端 App 的使用者，以及高風險人士登入必須啟用 MFA 後，又以擴展 MFA 應用的措施

來源：Bleeping Computer