Vào ngày 26 tháng 8 năm 2025, Microsoft đã công bố một động thái bảo mật quan trọng: áp dụng yêu cầu xác thực đa yếu tố (MFA) bắt buộc cho tất cả các tài khoản đăng nhập vào cổng thông tin Azure và các trung tâm quản trị liên quan.
Chính sách này, lần đầu tiên được giới thiệu vào năm 2024, nhằm mục đích giảm đáng kể các trường hợp tài khoản bị xâm nhập. Việc này được thực hiện bằng cách thực thi một lớp xác minh danh tính bổ sung trên các cổng quản trị Azure và Microsoft 365.
Nghiên cứu của Microsoft chỉ ra rằng việc bật MFA ngăn chặn hơn 99,2 phần trăm các cuộc tấn công chiếm đoạt tài khoản. Điều này làm cho MFA trở thành một trong những biện pháp phòng thủ hiệu quả nhất chống lại truy cập trái phép.
Lộ Trình Triển Khai Yêu Cầu Xác Thực Đa Yếu Tố Của Azure
Microsoft đã cung cấp tùy chọn MFA trong nhiều năm, nhưng giờ đây sẽ thực thi nó theo mặc định cho các điểm truy cập quản trị quan trọng. Thông báo này nhấn mạnh cam kết của công ty trong việc bảo vệ tài nguyên đám mây cho khách hàng của mình.
Việc thực thi xác thực đa yếu tố sẽ được triển khai theo hai giai đoạn cụ thể:
Giai đoạn 1: Triển khai Ban Đầu (Tháng 10/2024 – Tháng 2/2025)
- Bắt đầu từ tháng 10 năm 2024, các lần đăng nhập vào cổng Azure, trung tâm quản trị Microsoft Entra và trung tâm quản trị Microsoft Intune sẽ yêu cầu MFA.
- Yêu cầu này áp dụng cho bất kỳ hoạt động tạo, đọc, cập nhật hoặc xóa nào.
- Trong giai đoạn này, các công cụ như Azure CLI, Azure PowerShell, ứng dụng Azure mobile, công cụ Infrastructure as Code (IaC) hoặc các điểm cuối API REST vẫn chưa bị ảnh hưởng.
Giai đoạn 2: Mở Rộng Phạm Vi (Ngày 1 tháng 10 năm 2025)
- Việc thực thi đầy đủ sẽ áp dụng cho CLI, PowerShell, ứng dụng di động và các công cụ IaC bắt đầu từ ngày 1 tháng 10 năm 2025.
- Động thái này sẽ tăng cường đáng kể bảo mật Azure cho hoạt động quản trị trên toàn bộ nền tảng.
- Tất cả các tài khoản người dùng truy cập các ứng dụng được liệt kê ở trên phải hoàn thành MFA khi quy định này có hiệu lực.
Hậu Quả Đối Với Tài Khoản Quản Trị và Tự Động Hóa
Các quản trị viên dựa vào tài khoản người dùng cho các tập lệnh tự động hóa cần chuyển đổi sang các định danh workload (workload identities).
Điều này bao gồm các định danh được quản lý (managed identities) hoặc service principals để tránh gián đoạn khi giai đoạn 2 bắt đầu thực thi yêu cầu xác thực đa yếu tố.
Các tài khoản break-glass và emergency-access cũng phải tuân thủ MFA. Các tổ chức được khuyến khích cấu hình passkeys (FIDO2) hoặc xác thực dựa trên chứng chỉ cho các tài khoản quan trọng này.
Các định danh workload vẫn không bị ảnh hưởng, nhưng bất kỳ tài khoản dịch vụ dựa trên người dùng nào cũng phải tuân thủ chính sách mới.
Cập Nhật Quy Trình Xác Thực Cho Nhà Phát Triển
Luồng OAuth 2.0 Resource Owner Password Credentials (ROPC) không tương thích với MFA.
Các ứng dụng sử dụng API ROPC của MSAL phải di chuyển sang các luồng tương tác (interactive flows) hoặc luồng dựa trên chứng chỉ (certificate-based flows).
Các nhà phát triển nên cập nhật bất kỳ mã nào dựa vào phương thức AcquireTokenByUsernamePassword hoặc UsernamePasswordCredential trong Azure Identity. Họ cần làm theo hướng dẫn di chuyển của Microsoft cho .NET, Go, Java, Node.js và Python.
Microsoft khuyến nghị mạnh mẽ áp dụng MFA ngay lập tức để bảo vệ các tài khoản quản trị có giá trị cao và giảm thiểu mối đe dọa ngày càng tăng từ các cuộc tấn công dựa trên thông tin xác thực.
Để tìm hiểu thêm về các bản cập nhật và hướng dẫn chi tiết, bạn có thể tham khảo tài liệu chính thức của Microsoft: Mandatory multifactor authentication in Microsoft Entra ID.
Khuyến Nghị và Biện Pháp Chuẩn Bị An Toàn Thông Tin
Để đảm bảo an toàn thông tin và hoạt động liên tục, các tổ chức nên thực hiện các bước chuẩn bị sau:
- Đánh giá tài khoản: Xác định tất cả các tài khoản người dùng đang truy cập các trung tâm quản trị Azure và Microsoft 365.
- Chuyển đổi tự động hóa: Di chuyển các tác vụ tự động hóa dựa trên tài khoản người dùng sang định danh workload (managed identities hoặc service principals).
- Cấu hình khẩn cấp: Triển khai passkeys (FIDO2) hoặc xác thực dựa trên chứng chỉ cho các tài khoản break-glass và emergency-access.
- Cập nhật mã nguồn: Nhà phát triển cần sửa đổi các ứng dụng sử dụng luồng ROPC để chuyển sang các phương thức xác thực tương thích với MFA.
- Áp dụng MFA ngay lập tức: Chủ động bật và thực thi MFA cho các tài khoản quản trị quan trọng trước thời hạn bắt buộc.
Sau khi việc thực thi bắt đầu, các biểu ngữ trên cổng Azure sẽ thông báo cho quản trị viên về yêu cầu xác thực đa yếu tố. Nhật ký đăng nhập cũng sẽ xác định các thử thách MFA, giúp việc giám sát trở nên minh bạch hơn.
