Microsoft pakottaa monivaiheisen tunnistautumisen kaikkiin ympäristöihin ja tiettyihin sovelluksiin.

Vaikutukset

Microsoftin toimesta MFA- vaade pakotetaan päälle esimerkiksi admin portaaliin kirjautuessa. Aikaisemmat conditional access säännöt joilla vaatimukset voidaan ohittaa eivät jatkossa päde, jos kyseessä on sovellus johon vaatimukset kohdistuvat. Käyttäjätunnusten käyttö palvelutunnusten sijaan kostautuu siis tässäkin tapauksessa.

Sovellukset ja aikataulut

• Azure portaali – 2024 loppuvuonna
• Microsoft Entra portaali – 2024 loppuvuonna
• Microsoft Intune portaali – 2024 loppuvuonna
• Azure komentokehote (Azure CLI) –  alkuvuonna 2025
• Azure PowerShell – alkuvuonna 2025
• Azure mobiilisovellus – alkuvuonna 2025
• Infrastruktuuri koodina työkalut, työkalut esim. Terraform, Azure Powershell – alkuvuonna 2025

Miten siirrän tätä tapahtumaa?

Siirtäminen onnistuu Azure portaalista 15.8 – 15.10 2024 välillä ja tähän tarvitset Global Administrator oikeuksia
Näin saat lisäaikaa 15.3.2025 asti.

Mitä minun tulee huomioida?

Käy läpi ympäristösi MFA vaatimukset ja selvitä suoritetaanko palveluita tunnuksilla, jotka tulevat vaatimusten piiriin. Tarkista hätävaratunnukset ja määritä niihin riittävä autentikointi.

Seuraa tiedotteita näistä kanavista:

• Sähköpostilla Global admineille
• Palvelun tila kohdassa
• Portaalissa
• M365 viestikeskuksessa

Suositukset:

Suosittelen tiukentemaan hätävaratunnukset ja FIDO2:n tapauksessa määrittelemään parikin tokenia, jotta ei lukittauduta ulos ongelmatilanteissa. Aloittakaa selvitystyöt ajoissa sillä lisäaikaa ei ole kuin 15.3.2025 asti.

Kurkkaa ainakin nämä artikkelit:

Conditional access sääntöjen aukkojen raportointi
https://learn.microsoft.com/en-us/entra/identity/monitoring-health/workbook-mfa-gaps

MFA käytön raportointi Powershellin avulla
https://azuread.github.io/MSIdentityTools/commands/Export-MsIdAzureMfaReport/