微软将强制要求 Azure 门户账户登录必须使用 MFA

作为一项重大安全举措，微软于 2025 年 8 月 26 日宣布，将要求所有登录 Azure 门户和相关管理中心的帐户强制进行多重身份验证 (MFA)。

该政策于 2024 年首次推出，旨在通过在 Azure 和 Microsoft 365 管理门户中强制实施额外的身份验证来大幅减少帐户泄露。

自 2024 年 10 月起，登录 Azure 门户、Microsoft Entra管理中心和 Microsoft Intune 管理中心时，任何创建、读取、更新或删除操作都需要 MFA。CLI、PowerShell、移动和 IaC 工具将于 2025 年 10 月 1 日全面实施 MFA，显著增强管理安全性。

微软的研究表明，启用 MFA 可以阻止超过 99.2% 的帐户入侵攻击，使其成为抵御未经授权访问的最有效防御措施之一。

微软多年来一直提供可选的 MFA，现在将默认在关键管理访问点强制执行该功能。此声明彰显了该公司致力于为客户保护云资源的承诺。

执行范围

执法工作分两个阶段进行：

第一阶段（2024年10月-2025年2月）

• Azure 门户登录以执行所有 CRUD 操作。
• Microsoft Entra 管理中心登录以进行所有 CRUD 操作。
• Microsoft Intune 管理中心登录以执行所有 CRUD 操作。
• Microsoft 365 管理中心登录要求于 2025 年 2 月开始。

第 1 阶段尚未涵盖 Azure CLI、Azure PowerShell、Azure 移动应用、基础设施即代码 (IaC) 工具或 REST API 端点。

第二阶段（2025年10月1日）

• 用于创建、更新和删除操作的 Azure CLI 和 Azure PowerShell。
• 用于创建、更新和删除操作的 Azure 移动应用。
• 用于创建、更新和删除操作的 IaC 工具和 REST API 端点。
• 只读操作仍然豁免。

微软表示，依赖用户帐户进行脚本自动化的管理员应该转换到工作负载身份，例如托管身份或服务主体，以避免在第二阶段实施开始时出现中断。

受影响的申请和时间表

所有访问上述应用程序的用户帐户都必须在强制执行后完成 MFA。紧急访问帐户也需要 MFA；鼓励组织为这些关键帐户配置密钥 (FIDO2) 或基于证书的身份验证。工作负载身份不受影响，但任何基于用户的服务帐户都必须遵守。

OAuth 2.0 资源所有者密码凭据(ROPC) 流与 MFA 不兼容。使用 MSAL 的 ROPC API 的应用程序必须迁移到交互式或基于证书的流程。

开发人员应按照 Microsoft 针对 .NET、Go、Java、Node.js 和 Python 的迁移指南，更新依赖AcquireTokenByUsernamePassword或在 Azure Identity 中的任何代码。UsernamePasswordCredential

组织可以通过以下方式做好准备：

• 通过 Microsoft Entra ID 门户验证 MFA 配置。
• 应用或更新条件访问策略（需要 Entra ID P1/P2）。
• 如果条件访问不可用，则启用安全默认值。
• 将基于用户的服务帐户迁移到工作负载身份。

需要更多时间的租户可以通过让全局管理员在 https://aka.ms/managemfaforazure 上选择新的开始日期，将第一阶段的执行推迟至 2025 年 9 月 30 日。同样，可以通过 https://aka.ms/postponePhase2MFA 将第二阶段的执行推迟至 2026 年 7 月 1 日。

强制实施后，Azure 门户横幅将通知管理员所需的 MFA，登录日志将识别 MFA 挑战。Microsoft 强烈建议立即采用 MFA，以保护高价值管理帐户的安全，并缓解日益增长的基于凭据的攻击威胁。