Hoewel MFA algemeen erkend wordt als een effectieve methode om de veiligheid te verhogen en het moeilijker te maken voor kwaadwillenden om toegang te verkrijgen, ontbrak er enige specifieke informatie in de recente blog post van Erin Chapple, Corporate Vice President van “Azure Core Product and Design”. Microsoft heeft nog geen officiële verklaring hierover uitgegeven.

Direct na de aankondiging ontstond er discussie over de onduidelijkheid omtrent de specifieke impact op Azure-gebruikers. Er waren ook vraagtekens over de behandeling van speciale serviceaccounts, “break glass”-accounts, en de gevolgen voor onderwijsinstellingen met leerlingen en studenten als gebruikers, vooral gezien het bestaande telefoonverbod.

Wat we nu weten

Er was een reply op de oorspronkelijke post van Naj Shahid, de productmanager van Azure die verantwoordelijk is voor dit project. Kort samengevat staat in zijn reactie:

  • Alle users met toegang tot de Azure Portal (inclusief CLI, powershell of Terraform, welke rechten hebben om Azure resources te beheren in welke vorm dan ook).
  • Studenten, gasten of eindgebruikers, dus de gebruikers van apps vanuit Azure, hebben geen last van de wijziging.
    Service principals, managed identities, workload identities en andere token-based accounts voor o.a. automation, zijn niet in scope voor deze wijziging.
  • Microsoft is nog bezig om input van klanten te verzamelen rondom het gebruik van “break glass” accounts en andere manieren om toegang te herstellen.
  • Het wordt geleidelijk doorgevoerd in juli 2024, waarbij Azure portal toegang als eerste aan de beurt is.
  • Er zullen geen uitzonderingen worden gemaakt, behalve voor de scenario’s waar een workaround niet mogelijk is, deze zullen worden gedeeld via officiële notificaties.

Mogelijke impact

Het wordt verplicht om MFA toe te passen op beheer/administratieve accounts. Deze accounts hebben zodanige rechten dat MFA de standaard zou moeten zijn. De verwachte impact lijkt vooralsnog minimaal te zijn.

Studenten

Alleen studenten/leerlingen die vanwege leerrichtingen/projecten toegang hebben tot de Azure portal zullen mogelijk impact ervaren. We denken graag mee over een oplossing wanneer MFA via telefoon (App, sms en bellen) niet mogelijk is. Microsoft heeft op dit moment “externe authenticatie methodes voor Entra ID” in public preview.

Volgende stappen

Als onderwijsinstelling is het verstandig om een alternatief voor MFA zonder telefoon te onderzoeken, wanneer studenten toegang nodig hebben tot de Azure-portal. Zorg ervoor dat deze studenten veilig en eenvoudig kunnen inloggen, zonder afhankelijk te zijn van hun telefoon.

In partnership met Microsoft en onze klanten werken we aan een veiligere werk- en leeromgeving, we denken graag met je mee. Microsoft zet met deze wijziging een belangrijke stap richting verhoogde beveiliging van Azure tenants, onze klanten zijn er al klaar voor. Heb je hulp nodig in het faciliteren van deze extra stap in jouw Azure beveiliging voor je beheerders of eventuele studenten, neem dan contact met ons op.

We wachten nog op de officiële berichtgeving en verdere details. Zodra er meer bekend is, zullen we je via de gebruikelijke kanalen informeren.

Bronnen
Originele post: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/microsoft-will-require-mfa-for-all-azure-users/ba-p/4140391
Reply post: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/microsoft-will-require-mfa-for-all-azure-users/bc-p/4143356/highlight/true#M6078
Externe Authenticatie: https://techcommunity.microsoft.com/t5/microsoft-entra-blog/public-preview-external-authentication-methods-in-microsoft/ba-p/4078808
Effectiviteit MFA: https://www.microsoft.com/en-us/research/publication/how-effective-is-multifactor-authentication-at-deterring-cyberattacks/

Contact

Mail voor meer informatie: j.kolk@it-workz.nl

Team IT-Workz