Ensure that 'Multi-Factor Auth Status' is 'Enabled' for all Non-Privileged Users
Prečo je to dôležité
Multi-Factor Authentication (MFA) je jedna z najúčinnejších kontrol na zabránenie útokom na prevzatie účtu. Bez povolenej MFA môže jediné kompromitované heslo používateľa bez oprávnení poskytnúť útočníkovi oporu vo vašom tenante, čo môže viesť k laterálnemu pohybu a eskalácii privilégií. Vynútenie MFA pre všetkých používateľov bez oprávnení výrazne znižuje toto riziko a je základnou bezpečnostnou praktikou odporúčanou spoločnosťou CIS.
Čo kontroluje Aether365
Aether365 overuje, či všetci používatelia bez oprávnení v Microsoft Entra ID majú stav per-user multi-factor authentication nastavený na "Enabled." Táto kontrola sa zobrazuje v dashboarde Aether365 v časti Entra ID.
Ako to opraviť
Ak chcete povoliť per-user MFA pre používateľov bez oprávnení prostredníctvom portálu Azure, postupujte podľa týchto krokov:
- V portáli Azure otvorte službu Microsoft Entra ID.
- V časti "Manage" vyberte možnosť "Users."
- Na hornom paneli s ponukou kliknite na tlačidlo "Per-User MFA" a otvorte stránku správy multi-faktorovej autentifikácie.
- Začiarknite políčka vedľa každého používateľa bez oprávnení, pre ktorého chcete povoliť MFA.
- Kliknite na tlačidlo "Enable MFA" v ponuke akcií.
- Potvrďte akciu kliknutím na "Enable" v dialógovom okne.
Dôležité: Ak vaša organizácia používa pravidlá Conditional Access, tie majú prednosť pred nastaveniami per-user MFA. V takom prípade nakonfigurujte MFA prostredníctvom Conditional Access namiesto tejto metódy per-user.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 2.1.3 (Level 2)
- EIDSCA
- CISA
Súvisiace zdroje
- Dokumentácia k Azure Multi-Factor Authentication
- Správa stavov per-user MFA v Microsoft Entra ID
- Azure security baseline: Identity management controls
- Identity management best practices