Entra IDで多要素認証の「サービス設定」なるものを見てみる

多要素認証環境において、特定の場所では多要素認証をスキップさせたり、多要素認証をした際に再度確認したい期間を制御する方法があったので確認した。

前回は多要素認証環境にする流れを調べた。

多要素認証設定画面

下記にアクセス

Sign in to your account

下図の赤丸の「サービス設定」をクリック

下記の画面が表示される。

多要素認証サービス設定

アプリケーションパスワード

Leanは以下

Microsoft Entra 多要素認証のアプリ パスワードを構成する - Microsoft Entra ID

既定ではこの設定は「許可しない」らしいが、昔から使っている環境では「許可する」になっているようだ。
使用用途としては多要素認証に対応していないメールクライアントソフト等を使う場合に「許可」をする。

多要素認証の場合SMTP認証は使えなくなるが、特定のユーザだけは限定的に使えるようにすることができるらしいのでやってみた。

アプリケーションパスワードを試してみる。

下記にアクセスする
多要素認証設定を「有効」にしているアカウントで以下にアクセスする。

Sign in to your account

下記の「サインイン方法の追加」をクリック

「アプリ パスワード」があるので選択する。

一意の名前を設定する。

専用のパスワードが配布されるので、保存する。

一覧に以下が追加される。

アプリケーションパスワードでメールが送れるか

下記でやってみたが・・・。NG
VBSは非推奨だから仕方ない。

Thunderbird等のメールクライアントではこのパスワードでの認証が可能なようだ。

信頼済みIP

前提としてMicrosoft Entra ID P1ライセンスが必要。
Leanは以下

Microsoft Entra 多要素認証を構成する - Microsoft Entra ID

信頼できる IP には、MFA Server を使用する場合にのみ、プライベート IP 範囲を含めることができます。 クラウドベースの Microsoft Entra 多要素認証では、パブリック IP アドレス範囲のみを使用できます。

とあるため、使用しているグローバルアドレスを指定すると多要素認証がスキップできるらしいので試してみた。
設定後、1日程おいてからアクセスすると反映していた。

管理者権限を持ったユーザでは毎度に多要素認証をどの状況でも求められたが、それ以外のユーザでは記載したグローバルアドレスから認証した場合、多要素認証は求められず、そうでない場所からは求められた。

多要素認証の設定が、強制、有効であっても登録したグローバルアドレスでは求められなかった。

検証オプション

Leanは以下

Microsoft Entra 多要素認証を構成する - Microsoft Entra ID

ユーザが設定できる多要素認証の項目を制限する項目。
「モバイルアプリまたはハードウェアトークからの確認コード」限定にすると不正アクセスが多数来た時に通知が来なくて済むか、ぐらいと考える。

信頼済みデバイスで多要素認証を記憶する

Leanは以下

Microsoft Entra 多要素認証を構成する - Microsoft Entra ID

多要素認証が成功した場合は一定期間(推奨は90日以上）そのデバイスは多要素認証をしなくて済むようにする。
正しいものであれば利便性を考えると何度も確認してくても良いとは思う。

利用するにあたっての懸念事項

• レガシーなポリシーになるため、2025/09/30には非推奨になること

• この機能がONになっていると認証方法ポリシーの「移行完了」が選べない。

MFA と SSPR を新しい認証方法ポリシーに移行する方法

• SMTP AUTH認証も同時期に終了するため代替にはならないこと

Exchange Online での基本認証の廃止

最後に

@ta93p様、@GOETAN_GOETAN様
アドバイスありがとうございました。

今回は以上