Microsoft dwingt vanaf 9 februari 2026 multi-factor authenticatie (MFA) af voor alle gebruikers die toegang willen tot het Microsoft 365 admin center. Beheerders zonder MFA krijgen vanaf volgende maand te maken met inlogblokkades.
De maatregel is onderdeel van Microsofts strategie tegen credential-based attacks, die nog altijd een belangrijke aanvalsvector vormen. Het bedrijf begon vorig jaar in februari met een zachte uitrol, maar vanaf volgend maand wordt de verplichting volledig afgedwongen voor alle tenants.
De afdwinging richt zich op drie specifieke portalen: portal.office.com/adminportal/home, admin.cloud.microsoft en admin.microsoft.com. Het admin center wordt gebruikt voor het beheren van tenants, gebruikers en compliance-processen. Zonder MFA geeft een gestolen wachtwoord aanvallers volledige toegang tot gevoelige bedrijfsdata.
Hoog-privilege admin-accounts vormen een geliefd doelwit voor ransomware-campagnes die Entra ID-zwakheden uitbuiten. Microsoft benadrukt dat meer dan 99,9 procent van de gecompromitteerde accounts geen MFA had ingeschakeld, waardoor ze kwetsbaar blijven voor phishing en wachtwoordhergebruik.
Legacy-setups zonder MFA op tenantniveau kunnen global admins volledig buitensluiten. Microsoft roept organisaties op om nu actie te ondernemen via de MFA Wizard of de gedetailleerde handleiding op learn.microsoft.com.
Implementatie en verificatie
Global admins kunnen MFA organisatiebreed activeren met methodes zoals Microsoft Authenticator-pushmeldingen, SMS-codes of hardware-tokens. Individuele gebruikers kunnen hun methodes controleren of toevoegen via aka.ms/mfasetup.
Gebruikers met actieve MFA hoeven niets te wijzigen, maar moeten accounts wel auditen op volledigheid. Dat geldt vooral voor hybride omgevingen die on-premises Active Directory met Entra ID combineren.
De uitrol is gefaseerd, maar uitstel verhoogt het risico op uitval tijdens kritieke taken zoals het patchen van kwetsbaarheden of het reviewen van auditlogs. Microsoft belooft dat gebruikers met correcte MFA-configuratie geen downtime ervaren.