Microsoft では、最低限のセキュリティ対策として多要素認証の導入を強く推奨しています。 調査によると、多要素認証を有効にすることで、アカウントの侵害リスクが 99% 以上低減することが確認されています。多要素認証は、パスワードだけに頼るセキュリティ対策の脆弱性を補完するための重要な手段とされています。

多要素認証の自動有効化について

多要素認証の有効性は前述の通りですが、Microsoft では多要素認証の普及を進めるにあたり、次の条件を満たしたテナントに対して多要素認証を自動で有効化することを発表しています。

多要素認証が自動で有効になる条件

  1. セキュリティ既定値群が無効になっている *
  2. Microsoft Entra ID P1 および P2 ライセンスを持っている
  3. 条件付きアクセスポリシーで多要素認証を要求するポリシーが作成されていない

* セキュリティ既定値群は、多要素認証関連のセキュリティが一括で有効になる機能です。こちらが有効になっている場合は既に多要素認証を利用されているため、今回の有効化は対象外となります。

どのように有効化される?

多要素認証を要求する以下の3つの条件付きアクセスポリシーが自動で作成されます。

  1. Multifactor authentication for admins accessing Microsoft Admin Portals
  2. Multifactor authentication for per-user multifactor authentication users
  3. Multifactor authentication and reauthentication for risky sign-ins

作成されているか把握されていない場合は、管理者アカウントで以下にアクセスいただくことで確認することが可能です。
[Azure Portal (https://portal.azure.com/)] > [Microsoft Entra ID] > [セキュリティ] > [条件付きアクセス]

自動作成された条件付きアクセスポリシーの内容について

3つのポリシーの内容についてご説明します。

1.Multifactor authentication for admins accessing Microsoft Admin Portals

このポリシーは、次の14の管理者ロールのいずれかが付与されているユーザーが、Microsoft 管理ポータルにアクセスする際に多要素認証を要求するポリシーです。

■対象の管理者ロール

  • グローバル管理者
  • アプリケーション管理者
  • 認証管理者
  • 課金管理者
  • クラウド アプリケーション管理者
  • 条件付きアクセス管理者
  • Exchange 管理者
  • ヘルプデスク管理者
  • パスワード管理者
  • 特権認証管理者
  • 特権ロール管理者
  • セキュリティ管理者
  • SharePoint 管理者
  • ユーザー管理者

※Microsoft 管理ポータルとは、以下が対象です。

  • Azure ポータル
  • Exchange 管理センター
  • Microsoft 365 管理センター
  • Microsoft 365 Defender ポータル
  • Microsoft Entra 管理センター
  • Microsoft Intune 管理センター
  • Microsoft Purview コンプライアンス ポータル
  • Microsoft Teams 管理センター

2.Multifactor authentication for per-user multifactor authentication users

このポリシーは、ユーザーごとの MFA を既に有効としているユーザーに対し、多要素認証を要求するポリシーとなります。
ユーザーごとの MFA とは、以下の画面で個別に多要素認証を設定する機能です。
[Microsoft 365 管理センター (https://admin.microsoft.com/)] > [ユーザー] > [アクティブなユーザー] > [多要素認証]
※ユーザーごとの MFA 画面は Microsoft が利用を推奨しなくなったため、こちらのポリシーに機能を移行しています。


3.Multifactor authentication and reauthentication for risky sign-ins

このポリシーは、Microsoft Entra ID P2 ライセンスを利用中のテナントを対象としており、リスクが高いと判断されたサインインを検出した場合に多要素認証を要求するポリシーです。
リスクの高いサインインの一例としては、短時間で異なる場所からのサインインや、パスワードスプレー攻撃の疑いがあった場合などが該当します。

多要素認証有効化の流れと無効にする方法について

有効化の流れ

条件を満たしたしている場合に、自動で条件付きアクセスポリシーが作成されるのは前述の通りですが、すぐに有効化されるわけではなく、まずは「レポート専用モード」でポリシーが作成されます。

「レポート専用モード」とは条件付きアクセスポリシーの影響を確認することができるモードで、実際にポリシーが有効にはなっていないですが、ポリシーの評価状況をサインインログのレポート専用タブで確認することができます。
なお、レポート専用モードで作成された後、90日以上経過後に自動でオンに切り替わるようになっております。

無効にする方法

レポート専用モードで作成された後、90日以上経過後にオンになりますので、無効にしたい場合は対象の条件付きアクセスポリシーを開いていただき、画面下部の「ポリシーの有効化」項目をオフにすることで無効とすることが可能です。


多要素認証に限らず、セキュリティ強化についてご検討中のお客様は、お気軽にお問い合わせください。