Wichtige Änderungen der Azure / Microsoft 365 Security
Ab dem zweiten Halbjahr 2024 führt Microsoft verpflichtende Maßnahmen zur Verbesserung der Sicherheit in Azure / Microsoft 365 ein, insbesondere die Einführung einer Multifaktor-Authentifizierung (MFA) für alle Azure-Anmeldungen. In diesem Blogbeitrag fassen wir die wichtigsten Informationen zusammen und erläutern, was unsere Kunden nun unternehmen sollten.
Warum MFA wichtig ist?
Cyberangriffe werden immer raffinierter und gefährlicher. Um ihre digitalen Assets zu schützen, hat Microsoft beschlossen, ab 2024 MFA für alle Azure-Anmeldungen verpflichtend zu machen. Untersuchungen zeigen, dass MFA mehr als 99,2 % der Angriffe auf Benutzerkonten abwehren kann, was es zu einer der effektivsten Sicherheitsmaßnahmen macht.
Zeitplan und Phasen der Einführung
Die Einführung von MFA für alle Azure-Nutzer erfolgt in zwei Phasen:
- Phase 1 (Oktober 2024): MFA wird für die Anmeldung an allen Azure-Portalen, im Microsoft Entra Admin Center und im Intune Admin Center verpflichtend. Diese Phase betrifft jedoch noch nicht andere Azure-Tools wie CLI, PowerShell oder Azure mobile Apps.
- Phase 2 (Anfang 2025): MFA wird schrittweise auch für die Anmeldung an Azure CLI, PowerShell, Azure mobile Apps und Infrastructure as Code (IaC)-Tools durchgesetzt.
Microsoft wird alle globalen Administratoren im Voraus über E-Mail und Azure Service Health Notifications informieren, um ihnen genügend Zeit für die Vorbereitung zu geben.
Was Kunden jetzt tun sollten
Um sicherzustellen, dass Ihr Unternehmen bereit ist, empfehlen wir folgende Schritte:
- Überprüfung der aktuellen Authentifizierungsmethoden: enthus empfiehlt seit Langem bereits die Nutzung von MFA in Verbindung mit Conditional Access. Wer bereits dies für alle User nutzt, muss sich keine Gedanken machen. Ebenfalls sind Kunden mit per-User MFA bereits ausreichend geschützt. Wer noch kein MFA benutzt, sollte zumindest für die privilegierten Accounts (Admin-Accounts) schnell tätig werden und MFA einführen.
- Nutzung von Microsoft Entra für flexible MFA: Microsoft bietet verschiedene Möglichkeiten, MFA zu implementieren, darunter die Microsoft Authenticator-App und FIDO2. Nutzen Sie nur in Ausnahmefällen SMS-Token und Drittanbieter Authenticator Apps. Das „Numbermatching Feature“ der Microsoft Authenticator App bietet hier gegenüber den herkömmlichen Authenticator-Apps mit OTP entscheidende Vorteile.
- Planung für komplexe Umgebungen: Sollten Sie technische Hürden oder eine komplexe Umgebung haben, können Sie bei Microsoft eine Verlängerung der Implementierungsfrist beantragen. Gerne unterstützen wir hierbei, um Ihnen ein ganzheitliches Authentifizierungskonzept auszuarbeiten.
Wichtig ist ebenfalls noch die Handhabung von Emergency (Break-Glass) Accounts, welche meistens nicht mit MFA ausgestattet sind. Hierbei empfehlen wir das Hinterlegen von mehreren FIDO2 Tokens als primäre Authentifizierungsmethode.
Unterstützung und nächste Schritte
Unsere oberste Priorität ist es, die Sicherheit Ihrer Microsoft-/ und Azure-Ressourcen zu gewährleisten. Wir empfehlen Ihnen, sich frühzeitig auf diese Änderung vorzubereiten, um mögliche Geschäftsstörungen zu vermeiden. Falls Sie Fragen haben oder Unterstützung bei der Implementierung von MFA benötigen, stehen wir Ihnen selbstverständlich zur Verfügung. Gemeinsam sorgen wir dafür, dass Ihre Systeme bestens geschützt sind.