M365で勝手にMFA。なぁぜなぁぜ？

こんにちは。
ICTLINKの福原です。

今日は最近問い合わせの多い「Microsoft 365で急にAuthenticatorを使ったMFA認証を求められるようになった」について書こうと思います。

＜Microsoft Authenticatorって何？＞

Microsoft 365にはMFA＝多要素認証という機能があります。
MFAとは、自身のMicrosoftアカウントにログインする際に、パスワードだけでなくスマートフォン上のアプリケーションなどからも認証を必要とする、セキュリティ強化のための機能とお考えください。

そしてMicrosoft Authenticatorは、Microsoftが提供する多要素認証（二段階認証）アプリケーションです。

Microsoft Authenticator

このMicrosoft Authenticatorはスマホアプリなのですが、利用する際には一度ユーザーのアカウントと関連付けられ、ログイン時に自動的に通知が来ます。その通知に対してユーザーが許可を出すことで、二段階目の認証が完了する、という仕組みです。

＜いつのまにかAuthenticator＞

最近、今まではパスワード入力するだけでMicrosoft 365にサインインできていたお客様やパートナー様から「何も設定とかしてないのに(Authenticatorを使わないと)サインインできなくなっちゃいました・・。」というご相談をいただきます。

この”勝手にAuthenticator。なぁぜなぁぜ？”は多くの場合以下が理由です。

＜Microsoftが自動的に設定変更していた？＞

実はMicrosoftが（たしか）昨年、「今後は原則としてMFA使ってもらうように、順次適用していくからね〜」という案内文を出しています。

具体的には「セキュリティの既定値群 (セキュリティ デフォルト)」が自動的に有効化される、というものです。

Azure Active DIrectory

このセキュリティの既定値群というのは、Azure Active DIrectoryから確認できるセキュリティ設定項目です。

セキュリティの既定値群は、いわゆるMFAを含めたセキュリティに関する設定等を一括で司る設定であり、そのためここが有効になると、これまでパスワードのみでサインインできていた企業様であっても、ある日突然Authenticatorの使用を求められてしまうことになるようです。

＜有効化されたセキュリティの規定値群を再び無効にする方法＞

1.グローバル管理者アカウントで下記URLに入って画面下の「セキュリティ規定値の管理」をクリックすると右メニューが出てきます。

https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties

セキュリティ規定値群の管理

2.右メニューの「セキュリティの規定値群」の値が”有効”か”無効”か確認してください。

セキュリティ規定値群の有効/無効設定項目

上記確認の結果、値が”有効”だったら無効に変えて「保存」してみてください。

割と早めに反映される設定値なので、無効にしたら再度サインインを試してみると、いつも通りパスワードのみでサインインできると思います。

余談ですが、今回貼り付けたURLはAzure Active DirectoryのURLです。
このAADは、この度名称をMicrosoft Entra IDと変更しています。

＜予兆はないのか＞

私がこの目で確認したわけではないのですが、何の前触れもなくMFAが強制適用されるわけではないようです。

一応、数日前から”セキュリティの規定値群を有効化してね”というポップアップが出るそうで、これを放置していると自動的に”セキュリティの規定値群が有効化されるようです。

＜おわりに＞

MFAがある日突然適用されてしまうとビジネスが止まってしまうと思いますので、上記手順がリカバリーのお役に立てばと考えています。

とはいえ、パスワードのみによるアカウント保護は、昨今においてはほぼ無防備に近いともいえます。

セキュリティ強化の手段は色々ありますが、セキュリティの規定値群を有効化させることによるMFAの適用は、比較的簡単に企業の防御力を大幅UPさせることが可能です。

そのためには新しい運用方法を考えたり、ユーザー向けに手順を広めたりと色々面倒ごとは多いですが、もしも「何をすればいいのかわからない！」といった場合には、ぜひ弊社へご相談ください。

それでは。