Microsoft正在擴展其強制性的多因素身份驗證(MFA)策略,以涵蓋對Azure的命令行和程序化訪問,這是一個關鍵的步驟,它將重新設計開發人員和IT操作工作流。從2025年10月1日開始,任何通過Azure CLI或PowerShell等工具管理Azure Resources的用戶都需要使用MFA進行大多數操作的身份驗證。
此舉大大擴展了Microsoft的安全執法範圍,而不是Web Portals。它直接針對強大的,基於腳本的環境,其中許多現代云基礎架構都被管理。該策略在全球範圍內適用於所有創建,更新或刪除操作,代表了確保自動化流程的主要推動力。
逐步推出以保護所有訪問點
this 即將進行的執法浪潮代表了更廣泛的啟動性啟動式安全訪問點的第二個也是最後一個階段。初始階段(第1階段)於2024年底開始逐漸推出,重點是與基於Web的管理控制台進行交互式簽名。 Azure Portal,Microsoft Entra Admin Center和Microsoft Intune Admin Center中的動作,Microsoft 365 Admin Center於2025年2月關注。此類刻意的,最初對圖形界面的重點是組織,使組織有時間準備在第2階段到達的更複雜的變化,從而彌補了近期的範圍,從而彌補了對程序的範圍和腳本範圍的範圍。 DevOps和自動化工作流程。這包括Azure命令行界面(Azure CLI),Azure PowerShell,Azure移動應用程序以及任何依賴這些接口進行部署和管理的代碼(IAC)工具。用於資源管理的REST API端點也處於範圍中,確保全面的覆蓋範圍。
至關重要的是,MFA要求僅針對修改資源的操作觸發(特別是任何創建,更新或刪除操作)。根據Microsoft的文檔,僅閱讀操作將不需要MFA,這是一種關鍵區別,可以防止僅從平台中檢索數據的許多監視,審核和報告腳本。
對自動化,腳本和開發人員工作集和開發人員的影響
的主要範圍是組織的主要挑戰。許多自動化任務在用戶帳戶下運行,通常稱為基於用戶的服務帳戶。 Under the new rules, these accounts will be prompted for MFA, which could break unattended scripts and CI/CD管道。
為了解決這個問題,Microsoft強烈建議客戶從用戶身份遷移以進行自動化。推薦的最佳實踐是使用工作量身份,例如服務原理或託管身份。這些是為非交互式場景而設計的,並且不受與用戶帳戶相同的MFA要求。
對於面臨重大技術障礙或複雜環境的組織,微軟提供了臨時緩刑。全球管理員可以要求其租戶推遲2階段的執行日期,並使用
安全未來計劃的核心組成部分
這個MFA授權是Microsoft安全未來倡議(SFI)的基石,該公司是公司全公司努力,以優先確定安全性的新功能。該計劃旨在響應一系列引人注目的網絡攻擊,旨在從根本上硬化微軟的產品和雲服務,以應對日益複雜的威脅。
該公司的理由由引人注目的數據支持。微軟自己的研究表明,MFA可以預防99.2%的帳戶妥協攻擊,使其成為可用的最有效的安全措施之一。通過在程序化級別上執行它,微軟旨在保護其客戶雲操作的核心。
該策略與默認情況下更強大的身份驗證的行業趨勢更加一致。其他主要的雲提供商正在實施類似的措施,反映出基於密碼的安全性不再足夠。該政策目前尚未擴展到美國政府或其他主權雲的Azure。