Microsoft führt verpflichtende Multi-Faktor-Authentifizierung für Azure-Portal ein

Microsoft verschärft den Schutz seiner Administrator-Portale. Ab 2024 wird die Multi-Faktor-Authentifizierung (MFA) für die Anmeldung beim Azure-Portal verpflichtend. Das Unternehmen verweist auf eigene Untersuchungen, wonach MFA über 99 Prozent der Angriffe auf Konten abwehren kann.

Die Pflicht gilt für alle Nutzer, die sich mit Azure-Konten anmelden. Ausgenommen sind Anwender, deren Organisation bereits MFA vorschreibt oder die auf sichere Methoden wie passwortlose Anmeldung oder Passkeys (FIDO2) setzen.

Zweistufige Einführung

Die Umstellung erfolgt in zwei Phasen.

• Phase 1: Ab Oktober 2024 müssen sich Konten bei Azure-Portal, Microsoft Entra-Verwaltungscenter und Microsoft Intune-Verwaltungscenter per MFA anmelden, sobald sie CRUD-Vorgänge (Create, Read, Update, Delete) ausführen. Ab Februar 2025 folgt das Microsoft 365-Verwaltungscenter. Andere Clients wie Azure CLI, Azure PowerShell, die Azure Mobile App oder IaC-Tools bleiben zunächst unberührt.

• Phase 2: Ab dem 1. Oktober 2025 wird MFA auch für Anmeldungen bei Azure CLI, Azure PowerShell, der Azure-Mobile-App, IaC-Tools und REST-API-Endpunkten zur Voraussetzung – allerdings nur bei Erstellen-, Aktualisieren- oder Löschvorgängen. Leseoperationen sind weiterhin ohne MFA möglich.

Empfehlung für Dienstkonten
Unternehmen, die noch benutzerbasierte Dienstkonten in Microsoft Entra ID verwenden, sollen diese auf cloudbasierte Workload-Identitäten migrieren.

Eine Übersicht mit den betroffenen Anwendungen, App-IDs und URLs stellt Microsoft in einer Tabelle bereit.

Application Name	App ID	Enforcement starts
Azure portal	c44b4083-3bb0-49c1-b47d-974e53cbdf3c	Second half of 2024
Microsoft Entra admin center	c44b4083-3bb0-49c1-b47d-974e53cbdf3c	Second half of 2024
Microsoft Intune admin center	c44b4083-3bb0-49c1-b47d-974e53cbdf3c	Second half of 2024
Azure command-line interface (Azure CLI)	04b07795-8ddb-461a-bbee-02f9e1bf7b46	October 1, 2025
Azure PowerShell	1950a258-227b-4e31-a9cf-717495945fc2	October 1, 2025
Azure mobile app	0c1307d4-29d6-4389-a11c-5cbe7f65d7fa	October 1, 2025
Infrastructure as Code (IaC) tools	Use Azure CLI or Azure PowerShell IDs	October 1, 2025
REST API (Control Plane)	N/A	October 1, 2025
Azure SDK	N/A	October 1, 2025

Die folgende Tabelle listet betroffene Apps und URLs für Microsoft 365 auf.

Application Name	URL	Enforcement starts
Microsoft 365 admin center	https://portal.office.com/adminportal/home	February 2025
Microsoft 365 admin center	https://admin.cloud.microsoft	February 2025
Microsoft 365 admin center	https://admin.microsoft.com	February 2025

Konten

Alle Konten, die sich anmelden, um die im Abschnitt „Anwendungen” genannten Vorgänge auszuführen, müssen nach Inkrafttreten der Vorschrift die MFA absolvieren. Benutzer müssen die MFA nicht verwenden, wenn sie auf andere Anwendungen, Websites oder Dienste zugreifen, die auf Azure gehostet werden. Jeder zuvor aufgeführte Eigentümer einer Anwendung, Website oder eines Dienstes kontrolliert die Authentifizierungsanforderungen für Benutzer.

Auch Notfallzugriffskonten müssen sich nach Inkrafttreten der Vorschrift mit MFA anmelden. Wir empfehlen, diese Konten so zu aktualisieren, dass sie Passkey (FIDO2) verwenden, oder die zertifikatsbasierte Authentifizierung für MFA zu konfigurieren. Beide Methoden erfüllen die MFA-Anforderungen.

Workload-Identitäten, wie verwaltete Identitäten und Dienstprinzipale, sind von beiden Phasen dieser MFA-Durchsetzung nicht betroffen. Wenn Benutzeridentitäten verwendet werden, um sich als Dienstkonto anzumelden, um Automatisierungen (einschließlich Skripts oder anderer automatisierter Aufgaben) auszuführen, müssen sich diese Benutzeridentitäten nach Beginn der Durchsetzung mit MFA anmelden. Benutzeridentitäten werden für Automatisierungen nicht empfohlen. Sie sollten diese Benutzeridentitäten zu Workload-Identitäten migrieren.

Client-Bibliotheken

Der OAuth 2.0 Resource Owner Password Credentials (ROPC)-Token-Gewährungsfluss ist nicht mit MFA kompatibel. Nachdem MFA in Ihrem Microsoft Entra-Mandanten aktiviert wurde, lösen ROPC-basierte APIs, die in Ihren Anwendungen verwendet werden, Ausnahmen aus. Weitere Informationen zur Migration von ROPC-basierten APIs in Microsoft Authentication Libraries (MSAL) finden Sie unter So migrieren Sie von ROPC. Sprachspezifische MSAL-Anleitungen finden Sie auf den folgenden Registerkarten.

Hier erhalten Sie weiterführende Informationen im Detail.

Lesen Sie auch

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky