En un movimiento de seguridad significativo, Microsoft anunció el 26 de agosto de 2025 que requerirá autenticación multifactorial obligatoria (MFA) para todas las cuentas que se registran en el portal de Azure y los centros administrativos relacionados.
La política, introducida por primera vez en 2024, tiene como objetivo reducir drásticamente el compromiso de la cuenta mediante la aplicación de una capa adicional de verificación de identidad en los portales de administración de Azure y Microsoft 365.
A partir de octubre de 2024, los firmantes al portal de Azure, el centro de administración de Microsoft Entra y el centro de administración de Microsoft Intune requerirán MFA para cualquier operación de creación, lectura, actualización o eliminación. La aplicación completa de las herramientas CLI, PowerShell, Mobile e IAC sigue el 1 de octubre de 2025, fortaleciendo significativamente la seguridad administrativa.
Microsoft Research muestra que habilitar los bloqueos de MFA más del 99.2 por ciento de los ataques de compromiso de la cuenta, lo que lo convierte en una de las defensas más efectivas contra el acceso no autorizado.
Después de haber ofrecido MFA opcional durante años, Microsoft ahora lo hará cumplir de forma predeterminada para puntos de acceso administrativos críticos. El anuncio subraya el compromiso de la compañía de salvaguardar los recursos en la nube para sus clientes.
Alcance de la aplicación
La aplicación se está implementando en dos fases:
Fase 1 (octubre de 2024 – febrero de 2025)
Azure Portal SIGN-In para todas las operaciones de CRUD. Microsoft Entra Admin Center iniciar sesión para todas las operaciones CRUD. Microsoft Intune Admin Center iniciar sesión para todas las operaciones CRUD. Los requisitos de inicio de sesión del centro de administración de Microsoft 365 comienzan en febrero de 2025.
La Fase 1 aún no cubre Azure CLI, Azure PowerShell, Azure Mobile App, Infraestructura como herramientas de código (IAC) o puntos finales de API REST.
Fase 2 (1 de octubre de 2025)
Azure CLI y Azure PowerShell para crear, actualizar y eliminar operaciones. Aplicación móvil Azure para las operaciones Crear, Actualizar y Eliminar. Herramientas IAC y puntos finales de API REST para las operaciones Crear, actualizar y eliminar. Las operaciones de solo lectura permanecen exentas.
Los administradores que dependen de las cuentas de los usuarios para la automatización con guión deben hacer la transición a las identidades de carga de trabajo, como identidades administradas o principales de servicio, para evitar interrupciones cuando comienza la aplicación de la fase 2, Microsoft dicho.
Aplicaciones y plazos afectados
Application NameEnforcement StartAzure portalSecond half of 2024Microsoft Entra admin centerSecond half of 2024Microsoft Intune admin centerSecond half of 2024Microsoft 365 admin centerFebruary 2025Azure CLI & PowerShellOctober 1, 2025Azure mobile appOctober 1, 2025IaC tools & REST APIOctober 1, 2025
Todas las cuentas de usuario que acceden a las aplicaciones enumeradas anteriormente deben completar MFA al hacer cumplir. Las cuentas de vidrio y acceso de emergencia también requieren MFA; Se alienta a las organizaciones a configurar PassKeys (FIDO2) o autenticación basada en certificados para estas cuentas críticas. Las identidades de carga de trabajo no se ven afectadas, pero cualquier cuentas de servicio basadas en el usuario debe cumplir.
El flujo de contraseña OAuth 2.0 del propietario del propietario de los recursos (ROPC) es incompatible con MFA. Las aplicaciones que utilizan las API ROPC de MSAL deben migrar a flujos interactivos o basados en certificados.
Los desarrolladores deben actualizar cualquier código que se base en AdquirTokenByUserNamePassword o UserNamePassWordCredential en identidad de Azure, siguiendo las guías de migración de Microsoft para .NET, GO, Java, Node.js y Python.
Las organizaciones pueden prepararse por:
Verificación de la configuración de MFA a través del portal de ID de Microsoft Entra. Aplicar o actualizar políticas de acceso condicional (requiere Entra ID P1/P2). Habilitando los valores predeterminados de seguridad si el acceso condicional no está disponible. Migrar cuentas de servicio basadas en el usuario a identidades de carga de trabajo.
Los inquilinos que necesitan más tiempo pueden posponer la aplicación de la Fase 1 hasta el 30 de septiembre de 2025, al hacer que un administrador global seleccione una nueva fecha de inicio en https://aka.ms/managemfaforazure. Del mismo modo, la fase 2 se puede diferir hasta el 1 de julio de 2026, a través de https://aka.ms/PostponePhase2MFA.
Después de la aplicación, las pancartas de portal de Azure notificarán a los administradores de MFA requerido, y los registros de inicio de sesión identificarán los desafíos de MFA. Microsoft recomienda encarecidamente la adopción inmediata de MFA para asegurar cuentas administrativas de alto valor y mitigar la creciente amenaza de ataques basados en credenciales.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
