Microsoft ogłosił kolejny krok swojej strategii podnoszenia poziomu bezpieczeństwa w chmurze – od 1 października 2025 roku rusza faza 2 obowiązkowego uwierzytelniania wieloskładnikowego (MFA) w warstwie Azure Resource Manager. To następny etap procesu zapoczątkowanego w 2024 roku, mającego chronić konta klientów przed coraz bardziej zaawansowanymi atakami cybernetycznymi – badania Microsoftu wskazują, iż MFA może zapobiegać ponad 99,2% prób przejęcia konta (Microsoft AzureMicrosoft Learn).
Od portalu do kodu – jak ewoluowały fazy MFA
Faza 1, rozpoczęta w październiku 2024 roku, objęła obowiązkowe MFA dla logowań do panelu Azure Portal, centrum administracyjnego Microsoft Entra oraz centrum Intune. W marcu 2025 roku objęto nim wszystkie dzierżawy (tenants) Azure, co było dużym krokiem naprzód w kontekście zabezpieczeń.
Faza 2 rozszerza wymóg MFA na operacje zarządzania zasobami w bardziej technicznych kanałach, m.in. Azure CLI, PowerShell, REST API, Azure Mobile App, SDK, a choćby narzędzia Infrastructure as Code (IaC). Obejmuje to operacje tworzenia, modyfikacji i usuwania zasobów – przy czym odczyty (read) nie będą wymagały MFA.
Łatwa implementacja – bez zakłóceń, z powiadomieniami
Wdrażanie MFA odbędzie się etapowo, z wykorzystaniem Azure Policy oraz praktyki bezpiecznego wdrożenia, by minimalizować zakłócenia w działaniu systemów. Już teraz właściciele dzierżaw (Global Administrators) otrzymali mailowe powiadomienia oraz informacje przez Azure Service Health, zawierające szczegóły i wskazówki dotyczące przygotowania się do zmian.
Kogo dotyczy MFA
Obowiązek uwierzytelnienia MFA obejmie wszystkich użytkowników wykonujących operacje zarządzania zasobami w Azure po wdrożeniu fazy 2. Wyjątkiem są tożsamości robocze (workload identities) takie jak managed identities czy service principals – one nie będą objęte nowym wymogiem. Warto jednak pamiętać, iż jeżeli w tej chwili używa się kont użytkowników jako kont automatyzacyjnych, Microsoft zaleca ich migrację do odpowiednich tożsamości roboczych.
Zalecane działania – bezpieczeństwo i płynność operacji
Aby wdrożenie MFA przebiegło bez problemów, Microsoft rekomenduje:
- wcześniejsze włączenie MFA dla wszystkich użytkowników – najpóźniej do 1 października 2025,
- wykorzystanie Azure Policy w trybie audytu lub egzekucji (audit/enforce), by przetestować gotowość środowiska i uniknąć niespodzianek,
- aktualizację klientów: Azure CLI do wersji 2.76 i Azure PowerShell co najmniej do 14.3, by zapewnić zgodność z MFA.
Dodajmy też, iż administratorzy mogą odroczyć wdrożenie do 1 lipca 2026, jeżeli potrzebują więcej czasu w przygotowania – opcja dostępna jest przez portal Azure dla Global Administrators.
Co dalej? MFA staje się standardem
Faza 2 MFA to kolejny etap w kierunku zwiększenia bezpieczeństwa infrastruktury chmurowej. Wciąż obowiązywać będzie MFA także w perspektywie przejścia na nowoczesne metody logowania, takie jak bezhasłowe (passwordless) lub FIDO2, uznawane przez Microsoft za zgodne z wymogiem bezpiecznego uwierzytelnienia.
Podsumowanie – dlaczego warto działać teraz
Wdrożenie MFA to dziś nie tylko rekomendacja, ale wymóg ochrony zasobów Azure. Zrobienie tego wcześniej minimalizuje ryzyko utraty dostępu lub przerwania operacji. Małe zespoły administracyjne powinny zwrócić szczególną uwagę na zgodność polityk dostępu i aktualizację narzędzi, by przygotować się do płynnego przejścia w październiku 2025.
