Oletko koskaan pysähtynyt miettimään, kuinka monta kertaa päivässä kirjaudut sisään eri palveluihin? Jokainen kirjautuminen on potentiaalinen hyökkäyspinta, ja siksi monivaiheinen tunnistautuminen, eli MFA (Multi-Factor Authentication), on yrityksen tietoturvan kulmakivi.
Microsoftin ilmoittama takaraja vanhojen, perus MFA- ja SSPR (Self-Service Password Reset) -käytäntöjen hallinnan poistumiselle oli 30. syyskuuta 2025. Tämä muutos on toteutunut tai on parhaillaan toteutumassa automaattisesti niillä organisaatioilla, jotka eivät ole siirtymää itse tehneet. Kyseessä ei ole vain tekninen päivitys, vaan strateginen siirto kohti huomattavasti modernimpaa ja turvallisempaa digitaalista ympäristöä.
Mitä muutos konkreettisesti tarkoittaa nyt?
Muutos koskee ensisijaisesti IT-hallintaa, mutta ajan myötä se ohjaa koko organisaatiota turvallisempiin tunnistautumismenetelmiin.
Vanha, eli Legacy MFA -malli, jossa asetuksia hallittiin hajautetusti käyttäjäkohtaisesti, on nyt poistunut käytöstä hallintatyökaluna. Se oli vaikea skaalata ja auditoida. Lisäksi vanha malli tuki usein epävarmoja menetelmiä, kuten tekstiviestejä (SMS) ja puhelinsoittoja, jotka ovat alttiita tietojenkalastelulle.
Nyt kaikki tunnistautumismenetelmien hallinta on siirretty yhteen, keskitettyyn paikkaan: uuteen Authentication Methods Policy -käytäntöön. Tämä uusi malli sijaitsee Microsoft Entra ID:n (ent. Azure AD) hallintakeskuksessa. Se mahdollistaa keskitetyn hallinnan – kaikki asetukset ovat yhdessä paikassa, mikä helpottaa ylläpitoa.
Uusi malli tuo uusia, turvallisempia vaihtoehtoja, kuten Microsoft Authenticator -sovelluksen numeroyhdistelmän (number matching), FIDO2-suojausavaimet ja salasanattoman kirjautumisen. Samalla MFA ja SSPR on nyt yhdistetty samaan hallintamalliin. On kuitenkin hyvä huomioida, että uuden mallin myötä saavutettu lisääntynyt joustavuus (esim. yksityiskohtaisempi hallinta ehdollisten pääsykäytäntöjen (Conditional Access) avulla) on suoraan sidoksissa käytössä oleviin Microsoft 365 -lisenssitasoihin.
Mitä muutos tarkoittaa peruskäyttäjälle ja järjestelmänvalvojalle?
Peruskäyttäjälle muutos tarkoittaa, että siirtyminen turvallisempiin tunnistautumistapoihin on nyt vauhdittunut. Vaikka vanhemmat tavat saattavat edelleen toimia automaattisesti siirretyissä ympäristöissä, suositeltavat ja turvallisimmat menetelmät, kuten Authenticator-sovelluksen numeroyhdistelmä tai FIDO2-avaimet, yleistyvät. Pidemmällä aikavälillä tämä parantaa jokaisen käyttäjän suojaa, kun heidän tietonsa ovat entistä turvallisempia.
Järjestelmänvalvojalle muutos on suurempi. Vanhojen, hajautettujen asetusten hallinnointi on nyt historiaa. Sen sijaan kaikki tunnistautumismenetelmät hallitaan yhdestä keskitetystä paikasta, uuden Authentication Methods Policy -käytännön kautta. Tämä yksinkertaistaa hallintaa ja tekee siitä tehokkaampaa. Järjestelmänvalvoja voi nyt hallita kaikkia tunnistautumismenetelmiä yhdellä kertaa ja määrittää turvallisuuspolitiikat ryhmäkohtaisesti tai ehdollisten pääsykäytäntöjen (Conditional Access) avulla. Tämä mahdollistaa joustavammat ja yksityiskohtaisemmat tietoturvapolitiikat, säästäen aikaa ja vähentäen inhimillisten virheiden riskiä.
Miksi nyt on aika varmistaa siirtymän onnistuminen?
Vaikka Microsoft on hoitanut siirtymän uuteen hallintamalliin jo automaattisesti osalle organisaatioista, tämä ei takaa, että organisaatio on siirtynyt käyttämään turvallisimpia MFA-menetelmiä. Monissa tapauksissa automaattinen siirto on vain siirtänyt vanhat, heikommat asetukset uuteen hallintamalliin. Siksi on kriittisen tärkeää siirtyä käyttämään turvallisimpia MFA-menetelmiä.
Muutoksen hyötyjä (nyt toteutettavissa):
- Parannettu tietoturva: Turvattomien menetelmien (kuten SMS) poistaminen ja siirtyminen numeroyhdistelmään estää tehokkaasti esimerkiksi “MFA-spam”-hyökkäykset.
- Yksinkertaistettu hallinta: Keskitetty politiikka vähentää IT-hallinnollista taakkaa ja tekee tietoturvan hallinnasta selkeämpää.
- Parempaa käyttäjäkokemus: Modernit ja turvalliset menetelmät, kuten FIDO2-avaimet, tarjoavat nopeamman ja saumattoman kirjautumiskokemuksen.
Miten Getafix auttaa sinua nyt?
Vaikka Microsoftin ilmoittama takaraja on ohitettu ja siirtymä uuteen hallintamalliin on toteutunut, tässä piilee merkittävä sudenkuoppa. Kuten Getafixin IT-asiantuntijat huomauttavat, automaattinen siirto on vain siirtänyt vanhat asetukset uuden sateenvarjon alle. “Muutos itsessään ei ratkaise tietoturvaongelmaa, jos organisaatio käyttää edelleen heikkoja tunnistautumismenetelmiä kuten tekstiviestejä,” he kiteyttävät. Siksi on kriittisen tärkeää siirtyä käyttämään turvallisimpia MFA-menetelmiä.
Nyt on aika auditoida ja optimoida tilanne. Me Getafixilla olemme varmistamassa, että siirtymä on hallittu, turvallinen ja että hyödynnätte uuden mallin täyden potentiaalin.
Toimintasuunnitelmamme siirtymän jälkeiseen optimointiin on selkeä ja tehokas:
- Auditointi: Arvioimme, miten Microsoft on hoitanut automaattisen siirtymän ja mitä turvattomia tunnistautumismenetelmiä teillä on edelleen sallittuina.
- Siirtymän viimeistely: Suunnittelemme toimenpiteet, joilla poistetaan käytöstä turvattomat menetelmät (esim. tekstiviesti) ja siirretään käyttäjät pakotetusti turvallisempiin tapoihin.
- Toteutus: Asiantuntijamme toteuttavat muutokset uuteen, keskitettyyn Authentication Methods Policy -käytäntöön varmistaen, että asetukset ovat konfiguroitu parhaiden käytäntöjen mukaisesti.
- Koulutus: Autamme kouluttamaan henkilöstöänne uusien, turvallisempien tunnistautumismenetelmien käyttöön, jotta tietoturva paranee ilman käyttäjäkokemuksen heikkenemistä.
Ota yhteyttä asiantuntijoihimme jo tänään, niin varmistetaan yhdessä, että yrityksesi on todella turvallinen Microsoftin uusien vaatimusten mukaisesti.
Lyhennykset ja ammattisanasto selkokielellä
MFA (Multi-Factor Authentication): Monivaiheinen tunnistautuminen. Tarkoittaa sitä, että käyttäjän täytyy todistaa henkilöllisyytensä vähintään kahdella eri tavalla (esim. salasanalla ja puhelinsovelluksen kautta tulevalla koodilla), mikä tekee tunnusten varastamisesta huomattavasti vaikeampaa.
SSPR (Self-Service Password Reset): Itsepalveluna tapahtuva salasanan nollaus. Järjestelmä, jonka avulla käyttäjät voivat itse vaihtaa tai palauttaa unohtuneen salasanansa ilman, että heidän tarvitsee ottaa yhteyttä IT-tukeen.
Microsoft Entra ID: Microsoftin identiteetinhallintapalvelu. Aiemmin tunnettu nimellä Azure AD. Se on perusta, joka hallinnoi yrityksesi käyttäjätunnuksia ja pääsyä kaikkiin Microsoft 365- ja pilvipalveluihin.
Legacy MFA: Vanha MFA-hallintamalli. Viittaa Microsoftin vanhaan, hajautettuun tapaan hallita MFA-asetuksia, joka on nyt korvattu uudella, keskitetyllä mallilla. Tuki usein turvattomampia varmennustapoja, kuten tekstiviestiä.
Authentication Methods Policy: Uusi, keskitetty tunnistautumismenetelmien käytäntö. Microsoft Entra ID:n uusi paikka, jossa kaikkia käyttäjien tunnistautumisasetuksia (sekä MFA:ta että SSPR:ää) hallitaan yhtenäisesti.
Conditional Access (Ehdollinen pääsy): Pääsynvalvontaa sääntöjen avulla. Tämän työkalun avulla IT-hallinto voi määrittää, milloin ja miten käyttäjillä on pääsy palveluihin. Esimerkiksi: “Vaadi MFA-varmennus, jos käyttäjä yrittää kirjautua tuntemattomasta maasta tai laitteesta.”
FIDO2-suojausavain:Fyysinen avain salasanattomaan kirjautumiseen. Erittäin turvallinen laite (esim. USB-tikku), jota käytetään salasanattomaan kirjautumiseen. Se on vastustuskykyinen tietojenkalastelua vastaan.
