Azure 7月將強制啟用多因素驗證

微軟宣布，今年7月將強制Azure用戶啟用多因素驗證（multi-factor authentication，MFA），提供多一層安全防護，不過Azure代管的應用和服務不在此列。

微軟表示，現在已經很多雲端服務使用MFA，要求用戶提供2種以上的身分憑證作為存取服務或資源時的驗證。根據微軟自家報告，99.9%的被駭帳號未啟用MFA，報告也發現，MFA可阻擋99.2%的帳號駭人，是最有效的安全措施之一。疫情後混合辦公的作業型態普及，遠端攻擊安全風險升高，MFA能減少公司網路資源遭不明人士存取的風險，能減低帳號被駭及公司資料外洩風險，此外，還能協助公司滿足多種資安標準與法規要求，像是「支付卡產業資料安全標準」（PCI DSS）、健康保險可移植性和責任法案（HIPAA）、歐盟一般資料保護規則（GDPR）及美國國家標準技術局（NIST）等。微軟去年11月公布的安全未來計畫（Secure Future Initiative）三項工程革新之一，即在租戶層部署新式身分防護和MFA。

從2024年7月起，Azure將漸進推動這項政策，以減少對用戶的衝擊。微軟會先從Azure portal開始要求，之後漸次推廣到CLI、PowerShell及Terraform。

但這項政策不會主動適用Azure上代管的App、網站或服務，會由其管理決定驗證政策。此外，服務用於自動化的服務主體（service principal）物件、代管身分、作業負載身分和類似的token-based帳號也會排除在外，但微軟還是會針對緊急情況如Break-glass帳號（緊急情況使用的特權帳號）等蒐集用戶意見。MFA並沒有opt-out的選項，但若是用戶真的沒法使用，微軟還是可能允許例外，不過細節要等微軟之後正式通知。

微軟之後將透過正式電子郵件和通知預先告知。最早強制啟用MFA的Azure portal，必要時也可能多給一些時間，但微軟仍呼籲管理員及用戶及早行動，透過MFA精靈的協助啟用MFA。

現在Entra ID（原Azure AD）已支援多種MFA方法，包括使用Microsoft Authenticator App、簡訊、電話、或硬體金鑰，供用戶選擇偏好的方式。管理員也可利用Entra ID條件存取政策調整，要根據何種訊號，如用戶地點、裝置、角色或風險層級來啟用MFA，並建議管理員現在先檢查開發用的Entra ID及存取Azure Resource Manager的API，必要時也了解如何將用戶身分變更為服務主體及代管身分。