Microsoft breidt de verplichte multi-factor authenticatie (MFA) voor Azure uit. Vanaf 1 oktober 2025 gaat fase 2 van de MFA-implementatie in Azure van start. Dit betekent dat alle gebruikers van Azure-resources, of dit nu via de webportal, opdrachtregeltools of API's gebeurt, hun identiteit moeten verifiëren met MFA. Deze wijziging maakt deel uit van Microsofts voortdurende inspanningen om de cloudbeveiliging te versterken als reactie op de toenemende cyberdreigingen.
Kernpunten
- Wat verandert er: MFA (Multi-Factor Authentication) is nu vereist voor alle acties voor het beheren van Azure-resources, inclusief aanmeldingen via de portal, CLI, PowerShell, API's, SDK's en automatiseringstools.
- Wie wordt getroffen: Alle menselijke gebruikers die Azure-resources beheren. Serviceaccounts en beheerde identiteiten zijn uitgezonderd.
- Waarom dit belangrijk is: MFA voorkomt meer dan 99% van de aanvallen waarbij accounts worden gecompromitteerd, en deze uitrol verbetert de beveiliging in het hele Azure-ecosysteem.
- Wat te doen: Zorg ervoor dat MFA is ingeschakeld voor alle Azure-gebruikers en werk de CLI/PowerShell-tools bij naar de nieuwste versies.
- Impact op CSP's: Cloudoplossingsproviders moeten automatiseringsscripts herzien, klanten helpen met het instellen van MFA en zich voorbereiden op een hogere vraag naar ondersteuning.
Wat fase 2 inhoudt
Fase 2 breidt de MFA-vereisten uit van de Azure Portal naar alle methoden voor het beheren van Azure-resources. In Fase 1, die van eind 2024 tot begin 2025 werd uitgerold, verplichtte Azure MFA voor aanmeldingen bij webbeheerinterfaces zoals de Azure Portal, het Microsoft Entra-beheercentrum en het Intune-beheercentrum. Fase 2 zal MFA geleidelijk verplicht stellen voor alle Azure-resourcebeheerbewerkingen die via andere kanalen worden uitgevoerd. Dit omvat de Azure CLI, Azure PowerShell, de Azure mobiele app, REST API's, SDK's en Infrastructure-as-Code (IaC)-tools. Concreet betekent dit dat als u of uw team scripts of ontwikkelaarstools gebruikt om Azure-resources te implementeren of te wijzigen, u tijdens deze acties om MFA-verificatie wordt gevraagd. Alleen-lezen-acties vereisen mogelijk geen MFA, maar elke aanmaak- of wijzigingsactie wel.
Microsoft rolt Fase 2 geleidelijk uit naar alle Azure-tenants na de startdatum van 1 oktober. Beheerders van Azure-tenants zijn hiervan op de hoogte gesteld via e-mail en Azure Service Health-waarschuwingen. Als een organisatie MFA niet vóór de deadline kan inschakelen, kan de globale beheerder van de tenant een tijdelijk uitstel van de handhaving aanvragen via de Azure Portal. De verwachting blijft echter dat alle gebruikers snel aan de vereisten zullen voldoen.
Serviceaccounts en geautomatiseerde workloads zijn met name vrijgesteld van deze vereiste. De MFA-verplichting geldt alleen voor menselijke gebruikersaccounts. Geautomatiseerde processen die draaien onder beheerde identiteiten of serviceprincipals (de niet-menselijke accounts van Azure) hoeven geen MFA uit te voeren. Dit betekent dat goed ontworpen automatisering met service-identiteiten probleemloos zou moeten blijven werken. Als een automatiseringsproces momenteel echter de referenties van een gewone gebruiker gebruikt, zal dat proces problemen gaan vertonen zodra MFA wordt afgedwongen. Microsoft raadt ten zeerste aan om dergelijke scripts te migreren naar serviceprincipals of beheerde identiteiten om verstoringen te voorkomen.
Waarom Microsoft MFA verplicht stelt
Microsoft maakt MFA (multifactorauthenticatie) verplicht om de beveiliging voor Azure-klanten aanzienlijk te verbeteren. Uit onderzoek van het bedrijf blijkt dat multifactorauthenticatie meer dan 99% van de aanvallen op accountinbreuken kan voorkomen. Nu cyberaanvallen steeds vaker voorkomen en geavanceerder worden, biedt één wachtwoord niet langer voldoende bescherming. Door bij elke aanmelding een extra verificatiestap te vereisen, zoals een authenticatiecode of biometrische scan, wordt de kans op ongeautoriseerde toegang aanzienlijk verkleind, zelfs als wachtwoorden worden gelekt of geraden.
Door MFA (Multi-Factor Authentication) in Azure te implementeren, wil Microsoft accountovernames, datalekken en misbruik van cloudbronnen voorkomen. De gefaseerde uitrol is zo opgezet dat organisaties de tijd krijgen om MFA te implementeren zonder plotselinge verstoringen. Fase 1 introduceerde verbeterde beveiliging voor grafische beheerdersaanmeldingen. Fase 2 pakt nu de resterende hiaten aan door toegang via de opdrachtregel en programmatische toegang toe te voegen. Alle manieren om toegang te krijgen tot Azure zullen dezelfde strenge authenticatiestandaarden hanteren.
Wat gebruikers en organisaties kunnen verwachten
Azure-gebruikers en -organisaties moeten zich voorbereiden op strengere aanmeldprocedures bij het beheren van cloudresources. Na fase 2 is het uitvoeren van Azure-beheertaken zonder MFA (meervoudige authenticatie) niet meer mogelijk. Elk gebruikersaccount heeft een geregistreerde en gereedstaande MFA-methode nodig (zoals de Microsoft Authenticator-app, een sms-code of een hardwarematige sleutel).
Organisaties moeten ervoor zorgen dat al hun Azure-beheerders en DevOps-medewerkers uiterlijk in oktober MFA (Multi-Factor Authentication) hebben ingeschakeld voor hun accounts. Dit kan inhouden dat de MFA-instellingen van gebruikers worden gecontroleerd en dat er mogelijk authenticatie-apps of -sleutels worden uitgerold naar medewerkers die deze nog niet gebruiken. Organisaties kunnen communicatie van Microsoft verwachten (e-mails, portalmeldingen) over het implementatieschema en richtlijnen voor de voorbereiding. Microsoft heeft Azure-beleidsdefinities en aanbevelingen voor beleid voor voorwaardelijke toegang beschikbaar gesteld om MFA vooraf te testen en af te dwingen. Door deze in de modus 'alleen rapporteren' of auditmodus toe te passen, kunnen beheerders inschatten wie wordt geblokkeerd en problemen aanpakken voordat de strikte implementatie van kracht wordt.
Impact op uw cloudoplossingsprovider (CSP)
Cloud Solution Providers (CSP's) - bedrijven die uw Azure-services beheren - moeten extra aandacht besteden aan deze MFA-verplichting. Omdat CSP's vaak beheerdersrechten hebben tot veel klantomgevingen, zal de handhaving van Fase 2 hun dagelijkse werkzaamheden en klantbeheerprocessen beïnvloeden.
Operationele impact: CSP-medewerkers die automatisering en scripting gebruiken om Azure-resources van klanten te beheren, moeten ervoor zorgen dat hun processen MFA ondersteunen. Veel CSP's vereisen waarschijnlijk al MFA voor hun medewerkers (als onderdeel van de bestaande beveiligingsvereisten voor partners van Microsoft). Toch zal elk Azure-beheer tussen tenants via CLI, scripts of API's ook om MFA vragen. Uw CSP-operationele teams moeten hun tools en scripts controleren. Als automatisering wordt uitgevoerd in de context van een menselijk account (bijvoorbeeld de login van een supportmedewerker), moeten deze worden aangepast om service principal-referenties of andere niet-interactieve methoden te gebruiken. Interne runbooks moeten mogelijk worden bijgewerkt om stappen voor MFA op te nemen bij het uitvoeren van specifieke taken.
Klantintegratie: Cloudserviceproviders (CSP's) moeten de configuratie van MFA (Multi-Factor Authentication) verplicht stellen voor nieuwe Azure-klanten. Bij het inrichten van uw Azure-tenant of -abonnementen willen CSP's ervoor zorgen dat globale beheerders en belangrijke gebruikersaccounts vanaf dag één geconfigureerd zijn met MFA. Dit kan inhouden dat u instructies krijgt over het gebruik van authenticatie-apps of begeleiding bij het MFA-registratieproces van Azure. Door dit tijdens de onboarding te doen, helpen CSP's hun klanten om latere problemen te voorkomen wanneer fase 2 van de implementatie van MFA van start gaat.
Ondersteuningspraktijken: Op het gebied van ondersteuning kunnen CSP's meer vragen van klanten ontvangen naarmate de handhaving van MFA wordt opgevoerd. Er kunnen inlogproblemen of mislukkingen in de implementatiepipeline optreden als klanten zich niet hebben voorbereid op MFA, en zij zullen zich tot hun CSP-partners wenden voor hulp. De ondersteuningsteams van CSP's moeten klaarstaan om MFA-gerelateerde problemen op te lossen, bijvoorbeeld door een klantbeheerder te begeleiden bij het instellen van een MFA-apparaat, of door uit te leggen waarom een script nu niet werkt en hoe dit te verhelpen (waarschijnlijk door een serviceprincipal te gebruiken of te updaten naar een nieuwere toolversie). CSP's kunnen proactief workshops organiseren of klanten informeren over de aanstaande wijzigingen, zodat klanten niet voor verrassingen komen te staan.
Grootschalig klantbeheer: CSP's die veel tenants beheren, moeten de MFA-naleving voor al deze tenants in de gaten houden. Een intern dashboard of rapport dat aangeeft welke klantaccounts MFA hebben ingeschakeld en welke mogelijk nog actie vereisen, kan nuttig zijn. De meldingen van Microsoft worden naar de beheerders van elke tenant gestuurd, maar CSP's ondersteunen vaak bij het beheer; zij moeten daarom controleren of al hun klanten actie hebben ondernomen. In gevallen waarin een klant de deadline niet kan halen, moet de CSP mogelijk helpen bij het aanvragen van een verlenging (uitstel) en het opstellen van een herstelplan.
Over het algemeen versterkt de uitrol van MFA Fase 2 de beveiliging voor iedereen. Cloudserviceproviders (CSP's) die deze veranderingen omarmen en hun klanten erdoorheen begeleiden, vergroten het vertrouwen en verminderen het aantal beveiligingsincidenten. Hoewel er op korte termijn operationele aanpassingen nodig kunnen zijn (extra stappen tijdens het inloggen of vragen aan de klantenservice over MFA), resulteert dit op de lange termijn in een veiligere cloudomgeving. Door te plannen, tools bij te werken, personeel te trainen en met klanten te communiceren, kunnen CSP's deze soepele overgang garanderen en deze zelfs gebruiken om hun expertise op het gebied van beveiliging aan klanten te benadrukken.
Azure MFA Fase 2 – Veelgestelde vragen (FAQ)
Vraag: Wat is Azure MFA Fase 2?
A. Fase 2 betreft de uitbreiding door Microsoft van verplichte multifactorauthenticatie (MFA) naar alle Azure-interfaces voor resourcebeheer, waaronder CLI, PowerShell, API's, SDK's en automatiseringstools, vanaf 1 oktober 2025.
Vraag: Wie wordt door deze verandering getroffen?
A. Alle gebruikers die Azure-resources beheren, waaronder beheerders, ontwikkelaars en DevOps-engineers. Serviceaccounts en beheerde identiteiten worden niet beïnvloed.
Vraag: Voor welke acties is MFA vereist?
A. Voor elke actie waarmee Azure-resources worden aangemaakt, gewijzigd of verwijderd via de portal, scripts of programma-interfaces is MFA vereist. Alleen-lezen acties vereisen mogelijk geen MFA.
Vraag: Welke tools moeten worden bijgewerkt?
A. Azure CLI (versie 2.76+), PowerShell (versie 7.4+) en Az PowerShell (versie 14.3+) moeten worden bijgewerkt om een goede MFA-ondersteuning te garanderen.
Vraag: Kunnen organisaties de handhaving uitstellen?
A. Ja, globale beheerders kunnen via de Azure Portal een tijdelijk uitstel aanvragen, maar Microsoft verwacht volledige naleving.
Vraag: Wat zijn de gevolgen hiervan voor automatisering?
A. Automatisering met behulp van serviceprincipals of beheerde identiteiten blijft werken. Scripts die gebruikmaken van menselijke referenties zullen mislukken tenzij MFA is voltooid; deze scripts moeten worden gemigreerd naar niet-interactieve identiteiten.
Vraag: Wat moeten cloudoplossingsproviders (CSP's) doen?
- Controleer interne scripts en tools op MFA-compatibiliteit.
- Zorg ervoor dat MFA onderdeel uitmaakt van het onboardingproces voor klanten.
- Bereid ondersteuningsteams voor op vragen met betrekking tot MFA.
- Monitor de naleving van MFA-regelgeving bij alle tenants van klanten.
Vraag: Wat is het voordeel van het invoeren van MFA?
A. MFA blokkeert meer dan 99% van de aanvallen waarbij accounts worden gecompromitteerd, waardoor de beveiliging in Azure-omgevingen aanzienlijk wordt verbeterd.
Conclusie
De implementatie van Fase 2 MFA voor Azure door Microsoft is een belangrijke mijlpaal op het gebied van beveiliging. Het breidt de bescherming van MFA uit naar alle aspecten van Azure-beheer, wat de realiteit weerspiegelt dat bedreigingen via elke onbeveiligde ingang kunnen binnendringen. Gebruikers en organisaties moeten zich nu voorbereiden door MFA in te schakelen voor alle Azure-gebruikersaccounts en hun workflows bij te werken. Cloudoplossingsproviders moeten met name hun werkwijzen aanpassen en klanten helpen om aan deze vereisten te voldoen voor mogelijk honderden abonnementen.
Vanaf oktober 2025 is MFA (Multi-Factor Authentication) een onmisbaar onderdeel van het gebruik van Azure. Deze verandering onderstreept een bredere trend in de sector: sterke authenticatie wordt de standaard. De inspanningen die vandaag worden geleverd om aan de regelgeving te voldoen, zullen zich morgen terugbetalen in een veel grotere weerbaarheid tegen cyberaanvallen. Microsofts streven naar verplichte MFA is erop gericht ervoor te zorgen dat elke Azure-klant, van individuele ontwikkelaars tot grote bedrijven en door cloudproviders beheerde klanten, met een gerust hart in de cloud kan werken, wetende dat hun accounts en resources goed beveiligd zijn.
