A Microsoft a jövő hónaptól kötelezően bevezeti a többtényezős hitelesítést (MFA) minden felhasználó számára, aki a Microsoft 365 adminisztrációs központjába szeretne bejelentkezni.
Bár az MFA-követelmények bevezetése az admin központban már 2025 februárjában megkezdődött, a vállalat mostantól minden felhasználóra érvényesen érvényre juttatja ezt a szabályt. Azok, akiknél nincs engedélyezve az MFA, 2026. február 9-től nem tudnak majd belépni a Microsoft 365 adminisztrációs felületére.
A változás az alábbi, IT-adminisztrátorok által használt adminisztrációs URL-eket érinti:
- portal.office.com/adminportal/home
- admin.cloud.microsoft
- admin.microsoft.com
A Microsoft szerint az MFA kötelezővé tétele az adminisztrációs bejelentkezésekhez kritikus védelmi réteget ad a hagyományos jelszavas védelem fölé, és jelentősen megnehezíti a támadók dolgát a fiókok feltörésében.
„A többtényezős hitelesítés bevezetése a Microsoft 365 adminisztrációs központban jelentősen csökkenti a fiókfeltörések kockázatát, megakadályozza a jogosulatlan hozzáférést, és védi az érzékeny adatokat” – közölte a Microsoft.
A vállalat hangsúlyozta, hogy az MFA egy további védelmi réteget biztosít a felhasználónév–jelszó páros mellett, így hatékonyabban véd a phishing, a hitelesítési adatok tömeges kipróbálása (credential stuffing), a brute force támadások és a jelszó-újrafelhasználás ellen.
A Microsoft arra is felszólította az adminisztrátorokat, hogy haladéktalanul tegyék meg a szükséges lépéseket, mivel azok a szervezetek, amelyek nem aktiválják az MFA-t a februári határidőig, működési fennakadásokkal szembesülhetnek, amikor az adminisztrátorok nem tudnak majd bejelentkezni.
A globális adminisztrátorok az MFA-t a Microsoft beállítási varázslójával vagy a hivatalos dokumentáció alapján konfigurálhatják. Az egyéni felhasználók a Microsoft MFA beállítási portálján ellenőrizhetik hitelesítési módszereiket, és új azonosítási lehetőségeket adhatnak hozzá.
A Microsoft emellett már 2025 márciusa óta kötelezővé tette az MFA-t az Azure Portal bejelentkezésekhez minden bérlő esetében. Ezt a változást még 2024 májusában jelentették be, amikor az Azure erőforrások adminisztrálásához is MFA-t írtak elő. 2025 októberében pedig az MFA bevezetésre került az Azure CLI, a PowerShell, az SDK-k és az API-k esetében is.
Egy, a Microsoft által 2023 novemberében közzétett tanulmány szerint az MFA-val védett fiókok 99,99%-ban sikeresen blokkolják a támadásokat, és még akkor is 98,56%-kal csökkentik a fiókfeltörés esélyét, ha a belépési adatok már kompromittálódtak. – írja a Bleeding Computer.
Kép forrása: fmisec.com