Microsoft MFA Enforcement

Wichtige Änderungen bei Microsoft: MFA für alle Admin-Benutzer wird verpflichtend

Microsoft führt ab Oktober 2024 eine neue Richtlinie ein, die für viele Organisationen erhebliche Auswirkungen haben wird. Ab diesem Zeitpunkt wird Multi-Faktor-Authentifizierung (MFA) für alle Administrator-Benutzer zwingend vorgeschrieben. Diese Massnahme zielt darauf ab, die Sicherheit von Microsoft 365 und Entra ID weiter zu stärken und sicherzustellen, dass sensible Administratorkonten besser vor unbefugtem Zugriff geschützt sind.

Was ändert sich?

Bisher hatten viele Unternehmen die Möglichkeit, bestimmte Konten, wie beispielsweise die sogenannten Notfall- oder „break glass“-Accounts, von den MFA-Anforderungen auszuschliessen. Diese Accounts dienen oft als Notfallzugang, um auf das System zugreifen zu können, falls reguläre Administrationszugänge blockiert oder nicht verfügbar sind. Diese Ausnahme war in Conditional Access Policies konfigurierbar und ermöglichte es Administratoren, diese Accounts ohne MFA zu verwenden.

Mit der neuen Richtlinie wird MFA jedoch für alle Administratorkonten zwingend vorgeschrieben, ohne Ausnahme. Dies bedeutet, dass auch “break glass”-Accounts und andere kritische Admin-Konten nun durch MFA geschützt werden müssen.

Was müssen Sie tun?

  1. Überprüfen Sie Ihre bestehenden Conditional Access Policies: Stellen Sie sicher, dass alle Administrator-Benutzer, einschliesslich Breakglass-Accounts, in diesen Richtlinien eingeschlossen sind.
  2. Aktualisieren Sie Ihre Breakglass-Accounts: Falls Sie bisher auf MFA für diesen Account verzichtet haben, müssen Sie diesen Account nun entsprechend konfigurieren. Wir empfehlen, FIDO-Keys als zweiten Faktor zu verwenden, da diese eine besonders sichere und benutzerfreundliche Methode darstellen. Stellen Sie sicher, dass Sie für den Breakglass-Account eine funktionierende MFA-Lösung mit FIDO-Keys eingerichtet haben, die auch im Notfall zugänglich ist.
  3. Reduzieren Sie Angriffsvektoren: Wechseln Sie von hochprivilegierten Service-Accounts zu Managed-Identities, wo technisch möglich.
  4. Testen Sie Ihre Notfallpläne: Stellen Sie sicher, dass Ihre Notfallzugänge weiterhin funktionieren, auch wenn MFA aktiviert ist. Überprüfen Sie die Zugänglichkeit und die Erreichbarkeit der MFA-Methoden für diesen Account. Achten Sie ebenfalls darauf, dass die Logins der Notfall-Accounts überwacht werden.
  5. Dokumentieren Sie die Änderungen: Halten Sie alle vorgenommenen Anpassungen in Ihren IT-Dokumentationen fest, damit Sie im Ernstfall schnell reagieren können.

Unterstützung benötigt?

Wir wissen, dass die Umsetzung dieser neuen Anforderungen herausfordernd sein kann, insbesondere in komplexen IT-Umgebungen. Unser Team steht Ihnen zur Seite, um sicherzustellen, dass Ihre Systeme den neuen Anforderungen entsprechen und Ihre Sicherheitsstandards nicht beeinträchtigt werden.

Zögern Sie nicht, uns zu kontaktieren, wenn Sie Unterstützung bei der Implementierung von MFA für alle Ihre Administratorkonten benötigen. Wir helfen Ihnen dabei, die nötigen Anpassungen schnell und effizient vorzunehmen und stehen Ihnen für alle Fragen rund um die neuen Microsoft-Richtlinien zur Verfügung.