Post

Free AzureAD MFA

Az MFA (Multi-Factor Authentication) bevezetése az Azure AD-nál alapvető fontosságú a modern kiberbiztonsági környezetben. Egyetlen jelszó már nem nyújt megfelelő védelmet a növekvő számú és egyre kifinomultabb támadások ellen. Az MFA egy második hitelesítési lépéssel – például egy mobiltelefonra küldött kóddal vagy biometrikus azonosítással – jelentősen növeli a fiókok biztonságát. Így még ha valakinek sikerül is megszereznie a jelszavad, nem tud hozzáférni a fiókodhoz a második hitelesítési forma nélkül. Ez elengedhetetlen a vállalati adatok és a felhőalapú szolgáltatások védelméhez. Szóval, az MFA bevezetése egyértelműen egy jó dolog, de az ára is van. Az MFA használata ugyanis nem ingyenes, és a felhasználók számától függően jelentős költségekkel járhat. Azonban van egy lehetőség, hogy az MFA használata ingyenes legyen.

Microsoft is bejelentette, hogy minden Azure felhasználó számára kötelező az MFA, de mindezt egy ingyenes tenantban kicsit trükkös már előcsalni.

Ingyenes MFA

A cikk alapján látogassunk el a https://aka.ms/EntraIDMFAWizard oldalra, és mitán kijelöltük, hogy minden felhasználót szeretnénk védeni, máris 3 választás előtt állunk: MFA

3 lehetőségünk van:

  • MFA using security defaults // Egyszerűen bekapcsolható per tenant és ingyenes, de semmit nem tudunk rajta állítani
  • Legacy MFA // Egyszerűen bekapcsolható per user és ingyenes, de sajnos kivezetik (September 30, 2025)
  • Adaptive MFA using Conditional Access policies // Ez a legjobb megoldás, de sajnos nem ingyenes, de ha jól konfiguráljuk, akkor a legjobb védelmet nyújtja.

Szóval marad két megoldás megoldás,

  • MFA using security defaults. Ezt egyszerűen bekapcsolhatjuk, és minden felhasználóra érvényes lesz. A magas jogokkal rendelkező felhasználókat mindig MFA felé fogja irányítani, de az átlag usereket csak akkor, ha valami gyanús történik. Azonban ez a megoldás nem konfigurálható, tehát ha valami speciálisabb dolgot szeretnénk, akkor marad a fizetős verzió.
  • Legacy MFA. Ez a megoldás per user bekapcsolható, és ingyenes. Azonban a Microsoft 2025 szeptemberében kivezeti, szóval hosszú távon nem érdemes erre építeni, viszont folyamatosan az MFA felé tudjuk irányítani a felhasználókat.

Itt csak a Modern Authentication-t befolyásoljuk, ha pl van valakinek egy domainba léptetett gépe, akkor ott nem fog kérni MFA-t hiszen az a gép a DC-vel kommunikál, és nem az Azure AD-vel. Tehát a gépek esetében nem lesz MFA.

Összefoglalás

Kinek mi az ideálisabb, az biztos hogy a felhasználók védelme érdekében az MFA bevezetése elengedhetetlen. Az ingyenes MFA bevezetése viszont akár fájdalmas is lehet, hiszen nem tudjuk finomhangolni a beállításokat, pl. hogy a céges belső hálózatról ne kérjen MFA-t, vagy megbízható gépekről. Szóval a kényelemnek ára van…

This post is licensed under CC BY 4.0 by the author.