微软公布详尽计划，将分阶段对Azure用户强制做出MFA要求

总部位于犹他州南乔丹的RJNetworks公司高管人员Randy Jorgensen在采访中表示，“现如今一切都已不再安全。所以只有不断增加保护层，我才能踏实睡个好觉。”

这些用户将在今年10月之前采用多因素验证进行登录——至于少部分特别复杂的情况，则可选择将执行时间推迟至明年3月。

据微软介绍，第二阶段将于“2025年初”开始，主要涉及Azure命令行界面（CLI）、PowerShell、Auzre移动应用以及基础设施即代码（IaC）。

这家来自华盛顿州雷蒙德的科技巨头在一篇帖子中表示，此番在Azure登录中强制推广多因素验证，属于公司未来五年在安全领域200亿美元投资计划的组成部分。其目标是在其身份和机密基础设施以及用户与应用程序身份验证/授权当中落地并执行一流标准，借此降低“发生未授权访问的风险”。

根据帖子介绍，“确保Azure账户受到安全管理、防网络钓鱼的多因素身份验证的保护，是我们当前所采取的一项关键行动。”

微软多因素验证行动

我们已经就此事向微软方面发出置评请求。

来自犹他州南乔丹的RJNetworks公司高管人士Randy Jorgensen在接受采访时表示，他一直尽可能向客户推广多因素身份验证。

Jorgensen指出，客户之所以抗拒多因素身份验证，最常见的原因之一是嫌额外步骤太过麻烦。然而多因素身份“在当今时代已经至关重要”。

他解释称，“现如今一切都已不再安全。所以只有不断增加保护层，我才能踏实睡个好觉。”

来自弗吉尼亚州尚蒂伊的Phalanx Technology Group总裁Kelly Yeh则在采访中表示，作为一家微软解决方案提供商，他们会确保所有信息均使用多因素身份验证加以锁定，甚至还添加了密码管理器以确保密码内容足够复杂、且不会被重复使用。

Yeh还将客户尚未启用多因素身份验证的原因，归咎于一种盲目自信，即认定可以优先处理待办事项清单中的其他问题。

他指出，“对于那些近期没有遭受过攻击的企业来说，大家往往感受不到任何紧迫感，那么多因素身份验证的落地自然也在待办清单中排名先后。我在工作中经常遇到这样的情况。”

但他同时提醒，客户往往“并不清楚遭遇攻击后的缓解过程有多么耗时”。

分阶段计划将于今年10月开始

微软表示，将于今年10月逐步在Azure门户、Entra管理中心和Intune管理中心内面向全球租户开放多因素身份验证强制计划。

据微软介绍，第一阶段计划不会影响到Azure CLI、PowerShell、Azure 移动应用程序、基础设施即代码 (IaC) 工具和其他 Azure 客户。

全体Entra管理员都已通过电子邮件和Azure服务健康通知收到一条60天倒计时提醒，其中列出了强制实施多因素身份验证的开始日期以及管理员需要采取的行动。

微软将通过Azure门户、Entra管理中心及Microsoft 365消息中心发布其他通知。

微软Azure计算首席产品经理Bill DeForeest在8月的技术培训中向各位云解决方案提供商（CSP）合作伙伴坦言，Azure及其他微软资产已经成为“恶意攻击者眼中的高价值目标”。

他将第一阶段的起始日期定为10月15日，而将第二阶段的启动日期定为“很可能是在明年1月”。

DeForeest表示，目前已经有诸多第三方多因素身份验证工具能够符合要求。但是，“传统的自定义控制方法”类工具恐怕无法过关。

DeForeest详细介绍了微软的基本思路，“尽管我们一直鼓励客户落地多因素身份验证，但也给始终拖延、没有行动的用户提供了延期选项。不过这次不同了，他们恐怕有很多工作需要完成。”

他还提到，用户可以申请将强制实施日期推迟到明年3月15日。

“我们也知道这代表着一波重大的潜在变化，所以也会为客户们提供额外的准备时间。如果大家面对特定的技术问题，或者需要更多时间来落地自己的多因素身份验证方案，可以随时与微软进行讨论。”

DeForeest还在电话会议上告知各合作伙伴，微软在其服务条款中要求客户“负责控制对产品的访问活动”。

DeForeest强调，“微软历来对此非常包容。而一旦完成了多因素身份验证的注册流程，情况将会有所不同。对于任何不遵守规定的行为来说，情况更是会大为不同。”

他还提到，尚未使用交互登录机制的Azure CLI、PowerShell移动应用以及基础设施即代码工具的用户“将被要求开始使用工作负载对应的身份”，例如服务主体与托管身份。Entra用户身份及“破窗”紧急账户也将需要使用多因素身份验证。

至于Azure托管应用和服务的最终用户，则不会受到新要求的影响。

安全未来计划

微软在宣布强制实施多因素身份验证的博文中提到，这项技术能够阻止高达99.2%的账户入侵攻击。此外，启用多因素身份验证还将帮助组织遵守支付卡行业数据安全标准（PCI DSS）、健康保险流通与责任法案 (HIPAA)、通用数据保护条例 (GDPR)、美国国家标准与技术研究所 (NIST) 以及其他安全标准和法规。

通过Entra（即之前的Active Directory）使用多因素身份验证的方式包括：

• Microsoft Authenticator移动应用；
• Fast Identity Online 2 (FIDO2) 安全密钥外部 USB 和外部安全密钥；
• 个人身份验证（PV）、通用访问卡（CAC）及其他基于证书的身份验证机制；
• 短信或语音验证，但微软称此为“最不安全的多因素身份验证选项”。

在宣布强制实施多因素身份验证的帖子中，微软还详细介绍了旨在满足其安全未来计划（SFI）的其他行动。

具体措施包括：

• 通过硬件存储与保护快速自动轮换，以实现对身份基础设施签名及平台密钥的保护；
• 具体应用示例包括硬件安全模块（HSM）与机密计算；
• 通过在全部应用程序中使用标准软件开发工具包（SDK）以加强身份标准的普及和采用；
• 确保所有应用程序都具有托管身份、托管证书及其他系统管理凭证；
• 通过有状态及持久验证方式保护所有身份令牌；
• 采用更细粒度的身份签名密钥与平台密钥分区；
• 推进后量子加密时代的身份与公钥基础设施（PKI）系统。

在恶意攻击者的持续入侵之下，微软并不是唯一一家着力加强多因素身份验证要求的公司。同一时间，身份访问竞争对手Okta与主要云服务商亚马逊云科技也在推进类似的努力。

今年1月，微软称某个与俄罗斯有所关联的恶意攻击者遗留账户缺乏多因素身份验证，导致该账户近期窃取了微软高层领导团队成员以及网络安全/法务团队员工的电子邮件。

去年11月，微软就曾提到计划“为客户提供更安全的开箱即用多因素身份验证（MFA）默认设置”，且相关工作将于“明年”进行。