微软近日宣布将从10月1日起,强制要求所有登录Azure服务的行为都必须完成多因素验证(multi-factor authentication,MFA)以执行添加、修改或删除作业。
这项宣布是微软继去年首度宣布Azure的登录安全新政策后,正式全面实施MFA。
微软自家研究显示,实施MFA能防范99.2%的账号黑入攻击,因此微软在去年8月宣布以两阶段推动强制性MFA登录Azure服务。第一阶段实施标的为2024年10月涵盖Azure门户网站(portal)、微软Entra及Intune管理中心。
第二阶段实施标的为Azure CLI、 Azure PowerShell、Azure SDK、Azure移动App以及IaC (Infrastructure as Code)及REST API端点。进程上,原本微软规划在今年初实施,因故延后为今年10月1日。从10月1日起,所有登录这些服务以进行添加、更新或删改作企业,都必须完成MFA登录。纯读取则无需完成MFA。微软会从10月起逐步推向全球所有Azure租户。
有些企业用户会以Entra ID的用户账号作为服务账号,微软建议将以用户为基础的服务账号,改成更为安全集成工作负载(workload)身份的云计算服务账号。
