Wstęp
Microsoft od pewnego czasu zachęca Klientów do modernizacji sposobu obsługi uwierzytelniania wieloskładnikowego (MFA) i samoobsługowego resetowania haseł (SSPR). 30 września 2025 roku starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła zostaną wycofane, a zarządzenie metodami uwierzytelniania będzie możliwe tylko z poziomu centrum administracyjnego Microsoft Entra ID w sekcji Metody uwierzytelniania.
Stan obecny
Aktualnie istnieją 3 miejsca z których można zarządzać metodami uwierzytelniania dostępnymi dla użytkowników:
1. Portal „Per-user MFA”, określany też jako „legacy MFA”, dostępny na przykład z poziomu Microsoft 365 admin center.
2. Zakładka z dostępnymi metodami uwierzytelniania podczas samodzielnego resetu hasła w centrum administracyjnym Microsoft Entra.
3. Zakładka docelowa z dostępnymi metodami uwierzytelniania w Microsoft Entra.
Taka sytuacja powoduje nieścisłości i błędy w konfiguracji. Przykładowo wyłączony SMS w metodach uwierzytelniania, a włączony w portalu per-user MFA powoduje, że SMS jest dostępny dla użytkownika jako metoda uwierzytelniania. Między innymi dlatego Microsoft postanowił zmienić obecną sytuację i docelowo metody uwierzytelniania (czyli opcja nr 3) będą jedyną dostępną metodą.
Co teraz?
Udostępniony zautomatyzowany kreator migracji pozwala zmigrować miejsce zarządzania metodami uwierzytelniania za pomocą kilku kliknięć. Zaczynamy!
- Rozpocznij zautomatyzowany przewodnik
2. Przegląd
3. Przegląd i migracja
Na tym etapie można wyłączyć dane metody uwierzytelniania, które były wcześniej używane przez użytkowników. Z punktu widzenia bezpieczeństwa rekomendowane jest wyłączenie metod oznaczonych jako niski poziom bezpieczeństwa, w szczególności połączenie głosowe i SMS.
4. Potwierdzenie migracji
Sam proces migracji trwa kilka sekund i kończy się odpowiednim powiadomieniem w Microsoft Entra.
Uwagi
- W przypadku problemów z passwordless u użytkowników należy zweryfikować ustawienia Microsoft Authenticator i z listy rozwijanej Tryb uwierzytelniania wybrać pozycję Dowolny.
2. Niezgodność metod między starymi, a nowymi ustawieniami może zablokować logowanie użytkowników.
3.
Pytania zabezpieczające dotychczas dostępne w metodach uwierzytelniania
podczas samodzielnego resetu hasła nie są dostępne w docelowych
metodach.
4. Wybór dostępnych metod uwierzytelniania nie powoduje
wymuszenia ich stosowania. Za to drugie odpowiedzialne są polityki
warunkowego dostępu.
5. W artykule od Microsoftu dostępne są tabele z nazwami metod uwierzytelniania we wszystkich 3 dostępnych miejscach: https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-authentication-methods-manage
Podsumowanie
Migrację metod uwierzytelniania należy potraktować jako okazję do poprawy bezpieczeństwa tożsamości i dostępu w organizacji. W szczególności należy rozważyć całkowite wyłączenie połączeń głosowych i SMSów jako dostępnych metod. Ujednolicenie zarządzania metodami uwierzytelniania z pewnością spowoduje mniejszą ilość błędów w konfiguracji.
Zalecane jest podjęcie działań już teraz, w nieco spokojniejszym okresie wakacyjnym. Z kolei niepodjęcie żadnych działań do 30 września może poskutkować brakiem dostępu do aplikacji Microsoft 365 dla użytkowników końcowych.