Jako cloudový architekt často vidím, že bezpečnostní změny, které zpočátku vypadají jako „drobnost", nakonec způsobí největší komplikace, pokud se na ně včas nepřipravíte.
Jednou z takových změn je vynucení vícefaktorového ověřování (MFA) fáze 2, které vstupuje v platnost od 1. října 2025 — a týká se nejen uživatelů portálu, ale i skriptů, automatizací a nástrojů pro správu infrastruktury.
Co je fáze 2 a jaké změny přinese
- Fáze 1 (již probíhá): MFA povinná pro přihlášení do Azure portálu, Microsoft Entra admin centra a Intune admin centra.
- Fáze 2 (od 1. října 2025): MFA bude vyžadována i pro Azure CLI, PowerShell, mobilní aplikaci, nástroje IaC a REST API při operacích Create/Update/Delete.
Microsoft navíc doporučuje přestat používat uživatelské účty jako servisní účty a přejít na workload identity nebo spravované identity.
Kdo a co bude ovlivněno
- DevOps skripty využívající Azure CLI / PowerShell
- Nástroje IaC (Terraform, Bicep, ARM template skripty)
- Vlastní aplikace volající REST API pro správu Azure
- Automatizace běžící pod běžnými uživatelskými účty
Doporučené kroky: Co udělat teď
- Inventura všech skriptů, automatizací a servisních účtů — Identifikujte všechny části infrastruktury, kde se používá přihlašování bez MFA.
- Přechod na workload identity / spravované identity — Nahraďte uživatelské účty bezpečnějšími entitami, které MFA nevyžadují.
- Aktualizace nástrojů — Azure CLI verze 2.76 nebo vyšší, PowerShell verze 14.3 nebo vyšší.
- Testování v prostředí mimo produkci — Simulujte operace s MFA zapnutým.
- Požádat o odložení, pokud je třeba — Microsoft umožňuje odložení platnosti na 1. července 2026.
- Školení a komunikace — Informujte vývojáře, provozní týmy a uživatele.
Závěr
Vynucení MFA ve fázi 2 je krok, kterým Microsoft jasně signalizuje, že přístup k infrastrukturním nástrojům bude přísněji chráněný. Pokud začnete nyní s identifikací slabých míst a testováním změn, můžete přechod zvládnout bez výpadků.