در آگوست سال گذشته، مایکروسافت اعلام کرد که برای ورود به فضای ابری عمومی Azure، احراز هویت چندمرحلهای (MFA) را اجباری میکند تا با سرقت یا نفوذ به حسابها مقابله کند. تحقیقات این شرکت نشان میدهد که MFA میتواند بیش از ۹۹.۲٪ از حملات و تلاشهای نفوذ به حساب را مسدود کند.
این طرح در دو مرحله اجرا میشود. مرحله اول روی ورود به پورتالهای مدیریتی متمرکز بود و دو ماه بعد، یعنی در اکتبر ۲۰۲۴ آغاز شد. این الزام برای هر کسی که وارد پورتال Azure، مرکز مدیریت Microsoft Entra و مرکز مدیریت Intune میشود، اعمال میگردد.
مایکروسافت اکنون ادعا میکند که اجرای این الزام در پورتالها تا ماه مارس گذشته برای همه مستأجران Azure تکمیل شده و حالا میتواند مرحله بعدی را آغاز کند. مرحله دوم چیزی است که مایکروسافت آن را «اجرای تدریجی» در لایه Azure Resource Manager مینامد، یعنی این مرحله ابزارهای خط فرمان و فرآیندهای خودکار را تحت تأثیر قرار میدهد.
ابزارهایی مانند Azure CLI، Azure PowerShell، اپلیکیشن موبایل Azure و حتی ابزارهای Infrastructure as Code اکنون نیاز به MFA خواهند داشت. مایکروسافت این هفته شروع به اطلاعرسانی به همه مدیران سراسری Microsoft Entra از طریق ایمیل و اعلانهای Azure Service Health کرده است و مهلت نهایی را اول اکتبر ۲۰۲۵ تعیین کرده است.
اگر شما یک مدیر هستید، این مراحل برای آمادهسازی توصیه شده است. مسیر پیشنهادی مایکروسافت، پیکربندی یک سیاست دسترسی مشروط (Conditional Access) است:
-
با دسترسی حداقل در سطح Conditional Access Administrator وارد مرکز مدیریت Microsoft Entra شوید.
-
به بخش Entra ID بروید، سپس Conditional Access را انتخاب کنید و وارد قسمت Policies شوید.
-
یک سیاست جدید ایجاد کنید و برای آن یک نام بگذارید.
-
در بخش Assignments، کاربران یا گروههایی را که میخواهید شامل شوند انتخاب کنید.
-
در بخش Target resources، گزینه Cloud apps را پیدا کنید و «Microsoft Admin Portals» و «Windows Azure Service Management API» را اضافه کنید.
-
در بخش Access controls، روی Grant کلیک کنید، سپس Require authentication strength را انتخاب کرده و گزینه Multifactor authentication را برگزینید.
-
سیاست را ابتدا روی حالت «Report-only» قرار دهید تا ببینید چه تأثیری خواهد داشت بدون اینکه کسی عملاً از دسترسی محروم شود. سپس گزینه Create را انتخاب کنید.
توجه داشته باشید که این کار نیازمند مجوز Microsoft Entra ID P1 یا P2 است. برای بهترین سازگاری نیز مایکروسافت توصیه میکند که کاربران حداقل به نسخه Azure CLI 2.76 و Azure PowerShell نسخه 14.3 بهروزرسانی کنند.