吳明宜微軟上周宣佈新的安全措施,將強制要求所有帳號登入 Azure 入口網站及相關管理員中心時,都必須執行多因素驗證 (multifactor authentication, MFA) 。
微軟是在 2024 年首次宣佈這項政策,目的在藉由增加 Azure 和 Microsoft 365 管理員 portal 多一層身份驗證,減少帳號被駭的風險。
從 2024 年 10 月起,微軟的 Azure Portal 、 Microsoft Entra 管理員中心和微軟 Intune 管理員中心,都已要求任何新增、讀取、更新或刪除 (CRUD) 作業,都必須經過 MFA 驗證。
微軟說,研究顯示,啟用 MFA 可封鎖 99.2% 的盜帳號攻擊,使之為防範非授權存取最有效的方法之一。
而在支援 MFA 多年之後,微軟要求從今年 10 月 1 日,CLI 、 PowerShell 、行動和 IaC 工具全面強制啟用 FA,以強化管理安全。且為了提升客戶雲端資源的安全性,重要管理員功能也將預設啟用。
執行時程
微軟以二階段啟用 MFA 。第一階段是 2024 年 10 月到 2025 年二月。包括 Azure Portal 上的新增、刪除、更新與刪除 (CRUD) 作業、 Entra 管理中心 (CRUD) 作業、 Intune 管理員中心 (CRUD) 作業、 Microsoft 365 管理員中心登入。
第二階段則是 2025 年 10 月 1 日開始。實施對象包括 Azure CLI 、 Azure Powershell 的 CRUD 、 Azure 手機 App 的 CRUD 、 IaC 工具和 REST API 端點的 CRUD 。
不過唯讀作業則尚不強制啟甪。
如果系統管理員現在還在用一般使用者帳號來跑自動化腳本 (scripted automation),等第二階段啟用開始時,可能會受到限制或中斷,建議要改成使用工作負載身分 (workload identities),例如代管身份 (managed identities) 或服務主體 (service principal) 等。
此外,重要和緊急存取帳號也都需要 MFA 。微軟鼓勵企業設定 FIDO 2 通行密鑰,或憑證為基礎的驗證。工作負載身份不受影響,但任何用戶為基礎旳服務帳號都應遵從。
如果程式碼裡還在用 AcquireTokenByUsernamePassword(MSAL 提供的方法),或 UsernamePasswordCredential(Azure Identity SDK 提供的憑證類別),開發者應依照微軟的官方投移指南,把這些程式碼改掉(各種語言:.NET 、 Go 、 Java 、 Node.js 、 Python 都有說明)。
微軟強烈建議立刻在 高價值管理員帳號(例如 AD 或雲端系統管理員)上啟用 MFA 。
來源:GBhacker