Microsoft on ilmoittanut aktivoivansa toiminnon, jolla pakotetaan monivaiheinen tunnistautumisen (MFA) käyttöön kaikissa Azure-kirjautumisissa. Tämä koskee kaikkia, paitsi Workload Identityjä. Siispä MFA todennus tulee koskemaan myös niitä tilejä, joilta ei aiemmin MFA:a vaadittu, kuten hätätilitilejä (Break the Glass/Emergency Access Account), vaikka ne olisi poissuljettuina (Excluded) Conditional Access Policyistä.
Mikä muuttuu ja milloin?
Muutokset tulevat voimaan asteittain kaikkiin Azure ympäristöihin, alkaen Heinäkuussa 2024 (Vaihe 1). Molemmissa vaiheissa Global Adminit saavat ilmoituksen 60 päivää ennen muutosta sähköpostitse ja Azure Service Notificationsin kautta, eli muutos astuu voimaan aikaisintaan Syyskuussa 2024 (Vaihe 1). Vaihe 1: Heinäkuu 2024 MFA pakolliseksi Azure-portaaliin kirjautumisessa. Ei vaikuta Azure CLI, Azure PowerShelliin tai IaC-työkaluihin – vielä. Vaihe 2: Alkuvuosi 2025 MFA-pakko laajenee kattamaan Azure CLI, Azure PowerShell ja IaC-työkalut.
Mitä tämä tarkoittaa käytännössä?
Vaikka tili olisi CA Policyistä poissuljettuna (Excluded), tulee tiliin MFA todennus päälle. Tämä koskee myös Break the Glass / Emergency Access -tilejä. Näihin tileihin kannattaakin ottaa käyttöön FIDO2 (tai sertifikaattipohjainen) tunnistautuminen, joka tyydyttää Azuren MFA vaatimuksen, mutta ei ole riippuvainen Microsoft Entra multifactor authentication palvelusta. Jos automaatioissa on käytetty normaalia käyttäjätiliä ja sillä kirjaudutaan Azureen, lakkaavat automaatiot toimimasta muutoksen tultua voimaan. Muutos ei koske loppukäyttäjiä, jotka käyttävät Azuressa hallittavia sovelluksia, verkkosivustoja tai palveluja mutta eivät kirjaudu Azure-portaaliin, CLI:hen tai PowerShelliin. Loppukäyttäjien todennusvaatimuksia valvovat edelleen sovellusten, verkkosivustojen tai palveluiden omistajat. Huomioithan että jos organisaatiossa on jo MFA käytössä, muutos ei näy millään tavalla niille käyttäjille, joilla MFA on jo käytössä.
Miten valmistautua muutokseen?
Muutoksen vaikutukset tulee arvioida ajoissa, jotta vältytään tarpeettomilta ongelmilta. Tarkista seuraavat ja tee tarvittavat muutokset; Löytyykö teiltä tilejä joissa MFA ei ole käytössä -> Ota MFA käyttöön Käytetäänkö tavallisia tilejä automaatioissa -> Ota Workload Idetiteetti käyttöön automaatioissa Ota FIDO2 avaimet käyttöön Break the Glass/Emergency Access Account tileihin Microsoftin virallinen tiedote löytyy täältä.
Me autamme!
Jos asia jäi askarruttamaan, ole meihin yhteydessä niin keskustellaan lisää. Termit FIDO2 - fyysinen ‘avain’ jolla tunnistaudutaan. Tietojenkalastelulta suojaava tunnistautuminen (Phishing resistant method), joka ei ole riippuvainen Microsoft Entra multifactor authentication palvelusta. Break the Glass Account - tili jossa on Global Administrator rooli, jota käytetään vain äärimmäisessä hätätilanteessa. Emergency Access Account - sama kuin Break the Glass Account. Conditional Access Policy (CA Policy) - Politiikkoja joissa määritellään ehdot resurssin käyttöön. Monivaiheinen tunnistautuminen (Multifactor authentication - MFA) - Monivaiheinen tunnistauminen, jolla tuodaan lisäturvaa identiteettin. Käytössä mm suomalaisissa pankkipalveluissa.
