Чтобы подготовиться к предстоящему обязательному требованию многофакторной аутентификации (MFA) для входа в Azure, администраторам следует предпринять несколько упреждающих шагов, чтобы обеспечить плавный переход и сохранить безопасность в своих средах. Реализация начнется 15 октября 2024 года для портала Azure, центра администрирования Microsoft Entra и центра администрирования Microsoft Intune, а дополнительные инструменты будут включены в начале 2025 года.
Действия администраторов по подготовке к MFA
1. Проверьте текущие настройки MFA:
- Проверьте, включены ли параметры безопасности по умолчанию или вы используете политики условного доступа в вашем клиенте Microsoft Entra. Это поможет оценить вашу текущую настройку MFA.
2. Определите затронутые учетные записи пользователей:
- Создайте отчет по всем учетным записям пользователей, которые имели доступ к Azure Portal, Microsoft Entra Admin Center или Microsoft Intune Admin Center за последние 90 дней. Это можно сделать с помощью скриптов PowerShell или рабочей книги Multifactor Authentication Gaps, предоставленной Microsoft
3. Выберите методы аутентификации:
- Выберите соответствующие методы аутентификации для определенных учетных записей пользователей. Рассмотрите возможность внедрения более безопасных вариантов, таких как ключи безопасности FIDO2 или аутентификация на основе сертификатов
4. Внедрите политики условного доступа:
- Создавайте и применяйте политики условного доступа, которые требуют MFA для пользователей, получающих доступ к критически важным сервисам. Вы можете начать в режиме только для отчетов, чтобы отслеживать потенциальные последствия перед полным применением
5. Включите MFA для всех пользователей:
- Убедитесь, что MFA применяется ко всем учетным записям пользователей, получающим доступ к Azure Portal и другим соответствующим приложениям. Это включает как обычных пользователей, так и учетные записи аварийного доступа (ранее известные как учетные записи Break-glass), которые также должны соответствовать требованиям MFA
6. Сообщите об изменениях пользователям:
- Сообщите всем пользователям о предстоящих изменениях и предоставьте руководство по настройке методов MFA. Используйте уведомления от Microsoft, а также внутренние коммуникации, чтобы держать всех в курсе
7. Мониторинг и корректировка:
- После внедрения этих изменений постоянно отслеживайте попытки входа в систему и отзывы пользователей, чтобы выявить любые проблемы или пробелы в покрытии, которые могут возникнуть во время перехода.
Выполняя эти шаги, администраторы могут эффективно подготовить свои организации к обязательному требованию MFA, повысив безопасность и минимизировав перебои в работе.