Microsoft erzwingt mehr Multifaktorauthentifizierung | heise online

Zum 1. Oktober 2025 will Microsoft die Anmeldung mit zweitem Faktor, die Mehrfaktorauthentifizierung oder kurz MFA, für weitere Azure-Cloud-Dienste zwingend einführen. Die Phase 1 der MFA-Erzwingung startete im Februar dieses Jahres, sie brachte die verbesserte Sicherheit für das Azure-Portal, Microsofts Entra-Admin-Center und das Intune-Admin-Center.

In einem Support-Artikel zu Entra-ID hat Microsoft jetzt die aktualisierten Daten vorgestellt. Demnach kommen die Dienste Azure CLI, Azure PowerShell, Azure Mobile App, IaC-Tools und REST-API-Endpunkte zu denjenigen hinzu, für die Microsoft eine erzwungene MFA vorsieht. Zumindest für die Operationen Create, Delete oder Update. Read-Operationen benötigen keine MFA, erörtert Microsoft, das weicht davon ab, was für die Phase-1-Apps gilt.

Auch für „Notfallzugriffskonten“ gelte die MFA-Anforderung, weshalb die Redmonder empfehlen, für diese bereits jetzt Passkeys (FIDO2) oder zertifikatsbasierte Authentifizierung einzurichten. Beides genüge den MFA-Anforderungen. Wer nutzerbasierte Konten für Dienste verwendet, sollte diese zudem auf „Workload Identities“ migrieren, was in der Regel Anpassungen an Skripten und Automatisierungsprozessen erfordert.

Verzögerungen möglich

Microsoft bietet betroffenen Kunden an, gegebenenfalls mehr Zeit für die MFA-Vorbereitungen zu erhalten. Das gilt für Kunden mit komplexen Umgebungen oder technischen Hürden. Die Phase 1 können sie bis zum 30. September hinauszögern. Das sorgt gleichzeitig dafür, dass Phase 2 bis zum selben Zeitpunkt verschoben wird. Für Phase 2 lässt sich jedoch ein späterer Startzeitpunkt auswählen – maximal bis zum 1. Juli 2026. Die Auswahl erlaubt dabei Drei-Monats-Sprünge.

Microsofts Artikel liefert noch Handreichungen für Admins, wie sie die MFA-Anforderungen erfüllen und etwa Tests ihrer Umgebungen vornehmen können. Zudem geben die Redmonder Hinweise, etwa für Anpassungen bei OAAuth-Systemen oder den Umgang mit föderierten Identitätsprovidern.

Die ersten Azure-MFA-Umstellungen sollten in der Mitte des vergangenen Jahres anfangen. Der Hintergrund ist IT-Sicherheit: Eine der effektivsten Sicherheitsmaßnahmen ist demnach die MFA. Microsoft hat herausgefunden, dass mit der Mehrfaktorauthentifizierung mehr als 99,2 Prozent der Angriffe zur Kompromittierung von Konten verhindert werden können.

(dmk)