Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
På Microsoft är vi fast beslutna att ge våra kunder den högsta säkerhetsnivån. En av de mest effektiva säkerhetsåtgärderna som är tillgängliga för dem är multifaktorautentisering (MFA). Forskning från Microsoft visar att MFA kan blockera mer än 99,2% av kontokompromissattacker.
Från och med 2024 tillämpar vi därför obligatorisk MFA för alla Azure-inloggningsförsök. Mer bakgrund om det här kravet finns i våra blogginlägg om obligatorisk multifaktorautentisering i Azure: Fas 2 med start i oktober 2025 och Meddelande om obligatorisk multifaktorautentisering för Azure-inloggning. Det här avsnittet beskriver vilka program och konton som påverkas, hur tillämpningen distribueras till klienter och andra vanliga frågor och svar.
Det finns ingen ändring för användare om din organisation redan tillämpar MFA för dem, eller om de loggar in med starkare metoder som lösenordslös eller nyckel (FIDO2). Information om hur du kontrollerar att MFA är aktiverat finns i Så här kontrollerar du att användarna har konfigurerats för obligatorisk MFA.
Tillämpningsområde
Tillämpningsområdet omfattar när verkställighet planeras att ske, vilka program som planerar att framtvinga MFA, program som ligger utanför omfånget och vilka konton som har ett obligatoriskt MFA-krav.
Verkställighetsfaser
Note
Datumet för verkställighet för fas 2 har ändrats till den 1 oktober 2025.
Införandet av MFA för program sker i två faser.
Fas 1-program
Från och med oktober 2024 krävs MFA för konton som loggar in på Azure-portalen, Microsoft Entra administratörscenter och Microsoft Intune administratörscenter för att utföra CRUD-åtgärder (Create, Read, Update eller Delete). Genomförandet kommer att rullas ut gradvis till alla hyresgäster över hela världen. Från och med februari 2025 börjar MFA-tillämpningen gradvis för inloggning till administrationscentret för Microsoft 365. Fas 1 påverkar inte andra Azure-klienter som Azure CLI, Azure PowerShell, Azure-mobilappar eller IaC-verktyg.
Fas 2-program
Från och med den 1 oktober 2025 börjar MFA-tillämpningen gradvis för konton som loggar in på Azure CLI, Azure PowerShell, Azure-mobilappen, IaC-verktyg och REST API-slutpunkter för att utföra någon åtgärd för att skapa, uppdatera eller ta bort. Läsoperationer kräver inte MFA.
Vissa kunder kan använda ett användarkonto i Microsoft Entra-ID som ett tjänstkonto. Vi rekommenderar att du migrerar dessa användarbaserade tjänstkonton för att skydda molnbaserade tjänstkonton med arbetsbelastningsidentiteter.
Program-ID:er och URL:er
I följande tabell visas berörda appar, app-ID:er och URL:er för Azure.
| Programnamn | App ID | Verkställigheten startar |
|---|---|---|
| Azure Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Andra halvåret 2024 |
| Administrationscenter för Microsoft Entra | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Andra halvåret 2024 |
| Administrationscenter för Microsoft Intune | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Andra halvåret 2024 |
| Azure-kommandoradsgränssnitt (Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | 1 oktober 2025 |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | 1 oktober 2025 |
| Azure-mobilapp | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | 1 oktober 2025 |
| IaC-verktyg (Infrastruktur som kod) | Använda Azure CLI- eller Azure PowerShell-ID:t | 1 oktober 2025 |
| REST API (kontrollplan) | N/A | 1 oktober 2025 |
| Azure SDK | N/A | 1 oktober 2025 |
I följande tabell visas berörda appar och URL:er för Microsoft 365.
| Programnamn | URL | Verkställigheten startar |
|---|---|---|
| Administrationscenter för Microsoft 365 | https://portal.office.com/adminportal/home |
Februari 2025 |
| Administrationscenter för Microsoft 365 | https://admin.cloud.microsoft |
Februari 2025 |
| Administrationscenter för Microsoft 365 | https://admin.microsoft.com |
Februari 2025 |
Accounts
Alla konton som loggar in för att utföra åtgärder som anges i programavsnittet måste slutföra MFA när verkställigheten börjar. Användarna behöver inte använda MFA om de får åtkomst till andra program, webbplatser eller tjänster som finns i Azure. Varje program, webbplats eller tjänstägare som anges tidigare styr autentiseringskraven för användare.
Break glass- eller nödåtkomstkonton krävs också för att logga in med MFA när verkställigheten börjar. Vi rekommenderar att du uppdaterar dessa konton så att de använder nyckel (FIDO2) eller konfigurerar certifikatbaserad autentisering för MFA. Båda metoderna uppfyller MFA-kravet.
Arbetsbelastningsidentiteter, till exempel hanterade identiteter och tjänsthuvudnamn, påverkas inte av någon av faserna i detta MFA-genomförande. Om användaridentiteter används för att logga in som ett tjänstkonto för att köra automatisering (inklusive skript eller andra automatiserade uppgifter) måste dessa användaridentiteter logga in med MFA när tillämpningen påbörjas. Användaridentiteter rekommenderas inte för automatisering. Du bör migrera dessa användaridentiteter till arbetsbelastningsidentiteter.
Klientbibliotek
Beviljandeflödet för OAuth 2.0-token för resursägares lösenordsautentiseringsuppgifter (ROPC) är inte kompatibelt med MFA. När MFA är aktiverad i din Microsoft Entra-tenant kastar de ROPC-baserade APIerna som används i dina applikationer undantag. Mer information om hur du migrerar från ROPC-baserade API:er i Microsoft Authentication Libraries (MSAL) finns i Så här migrerar du bort från ROPC. Språkspecifik MSAL-vägledning finns i följande flikar.
Ändringar krävs om du använder Microsoft.Identity.Client-paketet och något av följande API:er i ditt program. Det offentliga klient-API:et är inaktuelltfrån och med 4.73.1-versionen:
Samma allmänna MSAL-vägledning gäller för Azure Identity-biblioteken. Den UsernamePasswordCredential-klass som tillhandahålls i dessa bibliotek använder MSAL ROPC-baserade API:er. Språkspecifik vägledning finns i följande flikar.
Ändringar krävs om du använder Azure.Identity-paketet och gör något av följande i ditt program:
- Använd DefaultAzureCredential eller EnvironmentCredential med följande två miljövariabler inställda:
AZURE_USERNAMEAZURE_PASSWORD
- Använda
UsernamePasswordCredential(inaktuell från och med1.14.0-beta.2-utgåvan)
Migrera användarbaserade tjänstkonton till arbetsbelastningsidentiteter
Vi rekommenderar att kunderna identifierar användarkonton som används som tjänstkonton och börjar migrera dem till arbetsbelastningsidentiteter. Migrering kräver ofta att skript och automatiseringsprocesser uppdateras för att använda arbetsbelastningsidentiteter.
Läs Så här kontrollerar du att användare har konfigurerats för obligatorisk MFA för att identifiera alla användarkonton, inklusive användarkonton som används som tjänstkonton, som loggar in på programmen.
Mer information om hur du migrerar från användarbaserade tjänstkonton till arbetsbelastningsidentiteter för autentisering med dessa program finns i:
- Logga in på Azure med en hanterad identitet med hjälp av Azure CLI
- Logga in på Azure med tjänstens huvudnamn med hjälp av Azure CLI
- Logga in på Azure PowerShell icke-interaktivt för automatiseringsscenarier ger vägledning för användningsfall för både hanterad identitet och tjänsthuvudnamn.
Vissa kunder tillämpar principer för villkorsstyrd åtkomst på användarbaserade tjänstkonton. Du kan frigöra den användarbaserade licensen och lägga till en licens för arbetsbelastningsidentiteter för att tillämpa villkorlig åtkomst för arbetsbelastningsidentiteter.
Migrera federerad identitetsprovider till externa autentiseringsmetoder
Stöd för externa MFA-lösningar finns i förhandsversion med externa autentiseringsmetoder och kan användas för att uppfylla MFA-kravet. Den äldre förhandsversionen av anpassade kontroller för villkorsstyrd åtkomst uppfyller inte MFA-kravet. Du bör migrera till förhandsversionen av externa autentiseringsmetoder för att använda en extern lösning med Microsoft Entra-ID.
Om du använder en federerad identitetsprovider (IdP), till exempel Active Directory Federation Services (AD FS), och din MFA-provider är direkt integrerad med denna federerade IdP, måste det federerade IdP:t konfigureras för att skicka ett MFA-anspråk. Mer information finns i Förväntade inkommande intyg för Microsoft Entra MFA.
Förbereda för obligatorisk MFA-tillämpning
För att förbereda för MFA-tillämpning konfigurerar du en princip för villkorsstyrd åtkomst som kräver att användarna loggar in med MFA. Om du har konfigurerat undantag eller undantag i principen gäller de inte längre. Om du har mer restriktiva principer för villkorsstyrd åtkomst som riktar sig mot Azure och kräver starkare autentisering, till exempel nätfiskeresistent MFA, tillämpas de fortfarande.
Villkorsstyrd åtkomst kräver en Microsoft Entra ID P1- eller P2-licens. Om du inte kan använda villkorlig åtkomst aktiverar du standardinställningar för säkerhet.
Du kan själv framtvinga MFA med hjälp av inbyggda definitioner i Azure Policy. Mer information och följ en stegvis översikt för att tillämpa dessa principtilldelningar i din miljö finns i Självstudie: Tillämpa MFA-självtillämpning via Azure Policy.
Se till att användarna i din klientorganisation använder Azure CLI version 2.76 och Azure PowerShell version 14.3 eller senare för bästa kompatibilitetsupplevelse. Annars kan du förvänta dig att se felmeddelanden enligt beskrivningen i följande avsnitt:
Note
Användare som loggar in utan MFA kan använda ett Fas 2-program. Men om de försöker skapa, uppdatera eller ta bort en resurs returnerar appen ett fel som säger att de behöver logga in med MFA och en anspråksutmaning. Vissa klienter använder anspråksutmaningen för att uppmana användaren att stega upp och utföra MFA. Andra klienter returnerar endast felet utan en MFA-fråga. En princip för villkorsstyrd åtkomst eller säkerhetsstandard rekommenderas för att hjälpa användare att uppfylla MFA innan de ser ett fel.
Begär mer tid för att förbereda för fas 1 MFA-tillämpning
Vi förstår att vissa kunder kan behöva mer tid för att förbereda sig för detta MFA-krav. Microsoft tillåter kunder med komplexa miljöer eller tekniska hinder att skjuta upp tillämpningen av fas 1 för sina klienter till den 30 september 2025.
För varje klientorganisation där de vill skjuta upp startdatumet för verkställigheten kan en global administratör gå till https://aka.ms/managemfaforazure för att välja ett startdatum.
Caution
Genom att skjuta upp startdatumet för verkställigheten tar du extra risk eftersom konton som har åtkomst Microsoft-tjänster som Azure Portal är mycket värdefulla mål för hotaktörer. Vi rekommenderar att alla klienter konfigurerar MFA nu för att skydda molnresurser.
Begär mer tid för att förbereda för fas 2 MFA-tillämpning
Microsoft tillåter kunder med komplexa miljöer eller tekniska hinder att skjuta upp tillämpningen av fas 2 för sina klienter till den 1 juli 2026. Du kan begära mer tid för att förbereda för fas 2 MFA-tillämpning på https://aka.ms/postponePhase2MFA. Välj ett annat startdatum och klicka på Använd.
Note
Om du har skjutit upp starten av fas 1 skjuts även starten av fas 2 upp till samma datum. Du kan välja ett senare startdatum för fas 2.
Bekräfta obligatorisk MFA-tillämpning
Efter tillämpningen visas en banderoll i Azure-portalen:
Inloggningsloggar för Microsoft Entra-ID visar programmet som framtvingade MFA som källa för MFA-kravet.
FAQs
Fråga: Krävs MFA om hyresgästen endast används för testning?
Svar: Ja, varje Azure-klientorganisation kräver MFA, utan undantag för testmiljöer.
Fråga: Hur påverkar det här kravet administrationscentret för Microsoft 365?
Svar: Obligatorisk multifaktorautentisering (MFA) kommer att införas i administrationscentret för Microsoft 365 från och med februari 2025. Läs mer om det obligatoriska MFA-kravet för administrationscentret för Microsoft 365 i blogginlägget Om obligatorisk multifaktorautentisering för administrationscentret för Microsoft 365.
Fråga: Är MFA obligatoriskt för alla användare eller endast administratörer?
Svar: Alla användare som loggar in på något av de program som anges tidigare måste slutföra MFA, oavsett vilka administratörsroller som är aktiverade eller berättigade till dem, eller eventuella användarundantag som är aktiverade för dem.
Fråga: Behöver jag slutföra MFA om jag väljer alternativet för att förbli inloggad?
Svar: Ja, även om du väljer Håll dig inloggad måste du slutföra MFA innan du kan logga in på dessa program.
Fråga: Gäller tillämpningen för B2B-gästkonton?
Svar: Ja, MFA måste följas antingen från partnerresursklientorganisationen eller användarens hemklient om den har konfigurerats korrekt för att skicka MFA-anspråk till resursklientorganisationen med hjälp av åtkomst mellan klientorganisationer.
Fråga: Gäller tillämpningen för Azure för amerikanska myndigheter eller nationella Azure-moln?
Svar: Microsoft tillämpar endast obligatorisk MFA i det offentliga Azure-molnet. Microsoft tillämpar för närvarande inte MFA i Azure för amerikanska myndigheter eller andra nationella Azure-moln.
Fråga: Hur kan vi följa reglerna om vi framtvingar MFA med hjälp av en annan identitetsprovider eller MFA-lösning, och vi inte tillämpar med hjälp av Microsoft Entra MFA?
Svar: MFA från tredje part kan integreras direkt med Microsoft Entra-ID. Mer information finns i microsoft entra-referens för multifaktorautentisering för extern metodprovider. Microsoft Entra-ID kan konfigureras med en federerad identitetsprovider. I så fall måste identitetsproviderns lösning konfigureras korrekt för att skicka multipleauthn-anspråket till Microsoft Entra-ID. För mer information, se Uppfyll Microsoft Entra ID multifaktorautentisering (MFA)-kontroller med MFA-anspråk från en federerad IdP.
Fråga: Kommer obligatorisk MFA att påverka min möjlighet att synkronisera med Microsoft Entra Connect eller Microsoft Entra Cloud Sync?
Svar: Nej. Kontot för synkroniseringstjänsten påverkas inte av det obligatoriska MFA-kravet. Endast program som anges tidigare kräver MFA för inloggning.
Fråga: Kommer jag att kunna välja bort?
Svar: Det finns inget sätt att välja bort. Den här säkerhetsrörelsen är viktig för säkerheten och säkerheten för Azure-plattformen och upprepas mellan molnleverantörer. Se till exempel Secure by Design: AWS to enhance MFA requirements in 2024 (Skydda efter design: AWS för att förbättra MFA-kraven 2024).
Ett alternativ för att skjuta upp startdatumet för verkställighet är tillgängligt för kunder. Globala administratörer kan gå till Azure-portalen för att skjuta upp startdatumet för verkställigheten för sin klientorganisation. Globala administratörer måste ha förhöjd åtkomst innan de skjuter upp startdatumet för MFA-verkställighet på den här sidan. De måste utföra den här åtgärden för varje klient som behöver få uppskov.
Fråga: Kan jag testa MFA innan Azure tillämpar principen för att säkerställa att inget går sönder?
Svar: Ja, du kan testa din MFA genom den manuella konfigurationsprocessen för MFA. Vi rekommenderar att du konfigurerar detta och testar. Om du använder villkorsstyrd åtkomst för att framtvinga MFA kan du använda mallar för villkorsstyrd åtkomst för att testa din princip. Mer information finns i Kräv multifaktorautentisering för administratörer som har åtkomst till Microsofts administratörsportaler. Om du kör en kostnadsfri utgåva av Microsoft Entra-ID kan du aktivera standardinställningar för säkerhet.
Fråga: Vad händer om jag redan har MFA aktiverat?
Svar: Kunder som redan kräver MFA för sina användare som har åtkomst till de program som anges tidigare ser ingen ändring. Om du bara behöver MFA för en delmängd användare måste alla användare som inte redan använder MFA nu använda MFA när de loggar in på programmen.
Fråga: Hur kan jag granska MFA-aktivitet i Microsoft Entra-ID?
Svar: Om du vill granska information om när en användare uppmanas att logga in med MFA använder du Inloggningsloggarna för Microsoft Entra. Mer information finns i Information om inloggningshändelser för Microsoft Entra multifaktorautentisering.
Fråga: Vad händer om jag har ett "break glass"-scenario?
Svar: Vi rekommenderar att du uppdaterar dessa konton så att de använder nyckel (FIDO2) eller konfigurerar certifikatbaserad autentisering för MFA. Båda metoderna uppfyller MFA-kravet.
Fråga: Vad händer om jag inte får ett e-postmeddelande om att aktivera MFA innan det verkställdes och sedan blir utelåst. Hur ska jag lösa det?
Svar: Användare bör inte låsas ut, men de kan få ett meddelande som uppmanar dem att aktivera MFA när tillämpningen för klientorganisationen har startats. Om användaren är utelåst kan det finnas andra problem. Mer information finns i Konto har låsts.
Relaterat innehåll
Läs följande avsnitt om du vill veta mer om hur du konfigurerar och distribuerar MFA:
- Så här skjuter du upp verkställigheten för en klientorganisation där användarna inte kan signera
- Så här kontrollerar du att användare har konfigurerats för obligatorisk MFA
- Självstudie: Skydda användarinloggningshändelser med Microsoft Entra multifaktorautentisering
- Säkra inloggningsaktiviteter med Microsoft Entra multifaktorautentisering
- Planera en distribution av multifaktorautentisering i Microsoft Entra
- Nätfiskeresistenta MFA-metoder
- Microsoft Entra multifaktorautentisering
- Autentiseringsmetoder