Microsoft đã công bố sẽ áp dụng yêu cầu xác thực đa yếu tố (MFA) bắt buộc cho tất cả các nỗ lực đăng nhập vào cổng Azure và các giao diện quản trị khác nhằm tăng cường bảo mật Azure.

Yêu cầu mới này, xây dựng trên cam kết lâu dài của Microsoft về an ninh, mục đích ngăn chặn truy cập trái phép vào các tài nguyên đám mây có giá trị cao bằng cách thêm một lớp xác minh bổ sung ngoài mật khẩu. Đây là một bước tiến quan trọng trong việc củng cố bảo mật Azure.

Theo nghiên cứu của Microsoft, việc bật MFA có thể ngăn chặn hơn 99.2% các cuộc tấn công chiếm đoạt tài khoản, biến nó thành một trong những biện pháp phòng thủ hiệu quả nhất chống lại đánh cắp thông tin đăng nhập.

Điều này khẳng định tầm quan trọng của MFA đối với bảo mật Azure.

Kế hoạch Triển khai MFA Bắt buộc và Tăng cường an ninh mạng

Với thống kê này, Microsoft đã đưa ra một kế hoạch triển khai gồm hai giai đoạn, được thiết kế để cung cấp cho các tổ chức đủ thời gian để tuân thủ và chuẩn bị.

Giai đoạn 1: Cổng thông tin và Giao diện quản trị

Bắt đầu từ tháng 10 năm 2024, mọi tài khoản đăng nhập vào Azure portal, Microsoft Entra admin center hoặc Microsoft Intune admin center để thực hiện các thao tác tạo, đọc, cập nhật hoặc xóa đều phải sử dụng MFA.

Thay đổi này sẽ được triển khai dần dần cho tất cả các tenant trên toàn cầu.

Từ tháng 2 năm 2025, việc thực thi MFA sẽ mở rộng sang Microsoft 365 admin center.

Các quản trị viên đã áp dụng MFA hoặc sử dụng phương thức không mật khẩu (như passkeys hoặc FIDO2) sẽ không thấy sự thay đổi nào trong trải nghiệm đăng nhập của họ.

Giai đoạn 2: Công cụ CLI và API

Từ ngày 1 tháng 10 năm 2025, Microsoft sẽ yêu cầu MFA cho các hoạt động được thực hiện thông qua Azure CLI, Azure PowerShell, ứng dụng di động Azure, các công cụ Infrastructure-as-Code (IaC) và các điểm cuối API REST của Control Plane.

Yêu cầu này áp dụng khi tạo, cập nhật hoặc xóa tài nguyên.

Các lệnh chỉ đọc sẽ vẫn không bị ảnh hưởng.

Giai đoạn này đảm bảo rằng các quy trình tự động hóa và tập lệnh, khi được xác thực bằng thông tin đăng nhập người dùng, cũng được hưởng lợi từ sự bảo vệ của MFA, góp phần nâng cao bảo mật Azure cho các hoạt động tự động.

Chi tiết về Ứng dụng và Lịch trình Thực thi

Thông báo đi kèm với danh sách chi tiết các tên ứng dụng, ID và ngày bắt đầu thực thi:

• Mục tiêu Giai đoạn 1:
  • Azure portal (App ID: c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft Entra admin center
  • Cả hai đều bắt đầu triển khai vào nửa cuối năm 2024.
• Ứng dụng Giai đoạn 2:
  • Azure PowerShell (App ID: 1950a258-227b-4e31-a9cf-717495945fc2)
  • Azure CLI (App ID: 04b07795-8ddb-461a-bbee-02f9e1bf7b46)
  • Các ứng dụng này sẽ thực thi MFA bắt đầu từ ngày 1 tháng 10 năm 2025.

Khuyến nghị cho Tác vụ Tự động và Đảm bảo xác thực đa yếu tố (MFA)

Microsoft cảnh báo không nên sử dụng tài khoản người dùng cho các tác vụ tự động.

Các tổ chức được khuyến khích chuyển đổi tài khoản dịch vụ dựa trên người dùng sang các định danh workload đám mây an toàn, như Managed Identities hoặc Service Principals.

Các định danh này không phải tuân theo các giai đoạn thực thi MFA và cung cấp một giải pháp thay thế an toàn hơn cho các tập lệnh và tự động hóa, qua đó tăng cường bảo mật Azure mà không ảnh hưởng đến quy trình vận hành.

Chuẩn bị và Các Lựa chọn Trì hoãn

Các bước chuẩn bị cần thiết

Để chuẩn bị cho yêu cầu MFA, các quản trị viên nên xem xét lại các chính sách truy cập có điều kiện (Conditional Access policies) hiện có hoặc kích hoạt các thiết lập bảo mật mặc định (security defaults) để yêu cầu MFA.

Việc này giúp đảm bảo tuân thủ và củng cố bảo mật Azure trước khi yêu cầu bắt buộc có hiệu lực.

Khả năng trì hoãn và rủi ro

Đối với các tenant cần thêm thời gian, Microsoft cho phép hoãn Giai đoạn 1 cho đến ngày 30 tháng 9 năm 2025 và Giai đoạn 2 cho đến ngày 1 tháng 7 năm 2026 thông qua các cổng quản lý được chỉ định.

Tuy nhiên, Microsoft cảnh báo rằng việc trì hoãn MFA sẽ làm tăng rủi ro, vì các phiên đăng nhập quản trị vẫn là mục tiêu chính của những kẻ tấn công muốn xâm nhập và phá vỡ bảo mật Azure.

Tầm quan trọng chiến lược và Định hướng bảo mật Azure

Khi các mối đe dọa mạng tiếp tục phát triển, yêu cầu MFA của Microsoft củng cố chiến lược bảo mật không tin cậy (zero-trust security strategy) của hãng.

Bằng cách đảm bảo mọi hành động quản trị trên Azure được xác thực bằng nhiều yếu tố, Microsoft hướng tới việc bảo vệ khối lượng công việc của khách hàng và duy trì tính toàn vẹn của môi trường đám mây trên toàn thế giới.

Đây là một bước quan trọng để nâng cao mức độ bảo mật Azure toàn diện, giúp chống lại các cuộc tấn công phức tạp.

Để tìm hiểu chi tiết hơn về yêu cầu MFA bắt buộc, độc giả có thể tham khảo tài liệu chính thức của Microsoft.