微软 Azure 将从 10 月份开始强制推行多因素身份验证

微软宣布将于今年 10 月开始强制推行多因素身份验证（MFA）的第一阶段，以帮助减少账户泄露攻击的可能性。微软表示，MFA 可以阻止 99.2% 以上的账户泄露攻击，因此这项措施是强制性的。

第一阶段的推广将于 10 月份开始，登录 Azure 门户、Microsoft Entra 管理中心和 Intune 管理中心都需要使用 MFA。如果你没有被立即要求，不用担心，这将是一个逐步推广的过程。微软指出，这不会影响其他 Azure 客户端，如 Azure 命令行界面、Azure PowerShell、Azure 移动应用和基础设施即代码（IaC）工具。

第二阶段将于明年初启动，届时将强制要求 Azure CLI、Azure PowerShell、Azure 移动应用程序和基础架构即代码 (IaC) 工具使用 MFA。

为确保企业做好准备，微软将提前 60 天通过电子邮件和 Azure 服务健康通知向 Entra 全球管理员发送通知，让他们知道需要做什么。微软表示，愿意为环境复杂或存在技术障碍的企业延长时间。

微软将支持外部多因素身份验证解决方案，但也会让用户选择以下选项：

• Microsoft Authenticator 允许用户使用推送通知、生物识别技术或一次性密码从移动应用程序批准登录。使用两步验证增强或取代密码，并通过移动设备提高账户的安全性。
• FIDO2 安全密钥通过使用外部 USB、近场通信（NFC）或其他支持快速身份在线（FIDO）标准的外部安全密钥代替密码，无需用户名或密码即可登录。
• 基于证书的身份验证使用个人身份验证（PIV）和通用访问卡（CAC）执行防网络钓鱼的 MFA。使用智能卡或设备上的 X.509 证书直接针对 Microsoft Entra ID 进行身份验证，以实现浏览器和应用程序登录。
• 通过密码可使用 Microsoft Authenticator 进行防网络钓鱼身份验证。
• 最后，这是最不安全的 MFA 版本，您还可以使用本文档中描述的短信或语音批准。

微软表示，受影响的客户应尽快开始制定合规计划，以免业务运营中断。微软提醒客户，通过引入这一变更，他们将能更好地防范网络威胁。在相关新闻中，微软已着手提高 Outlook 个人用户的安全性。