皆さんこんにちは。国井です。
先日マイクロソフトさん主催でAZ-500試験対策講座を開催させていただきましたが、その中で多要素認証に関しての話題がありました。私の認識不足もあり、話があっちこっちに行ってしまったので改めて整理しておこうと思います。
2024年10月4日変更
レガシーのMFAは移行が必要なのですが、ユーザーごとのMFAメニュー自体は廃止されないとの指摘を受けましたので修正しました。私の思い込みで、講座の中でもブログの中でも混乱させてしまってごめんなさい!
レガシーMFA
これまで多要素認証 (MFA) と言えば、Microsoft Entra 管理センターのユーザー一覧にある [ユーザーごとのMFA]メニューを使ってユーザー単位でMFAの有効・無効を設定していました。ですが、この設定から行う多要素認証の認証方法の選択設定は2025年9月30日で廃止されることが発表されています。
ユーザーごとのMFAから設定する認証方法の選択は使えなくなるので、そこで設定した内容は他の設定 (新しいMFA) へ移行しなければなりません。何をすればよいかはここに書いてあるので私が言うまでもないのですが、改めてまとめておきましょう。
1. ユーザーごとのMFAで使う本人確認方法を確認する
[サービス設定]タブはどのIPアドレスからの接続でMFAを使わないか?やMFAを利用する方法 (通話、SMS、Authenticatorなど)を選択する画面がそれぞれ登場します。
これらの設定の[検証オプション]が多要素認証の認証方法の選択画面にあたるので、現在の設定を確認しておきます。
2. セルフサービスパスワードリセットで使う本人確認方法を確認する
セルフサービスパスワードリセット (SSPR) で使う本人確認方法はMFAで使う本人確認方法と同じものを採用しており、MFAの新しいUIではMFAとSSPR設定は統合されています。そのため、こちらの画面で設定してある内容も確認しておき、後で移行できるようにします。
設定はMicrosoft Entra管理センターの保護 > パスワードリセット > 認証方法から参照できます。
新しいMFAへの移行
新しいMFAの設定はMicrosoft Entra管理センターの保護 > 認証方法からアクセスできます。
ここでの設定はMFAとSSPRの設定共通のものになっていて、認証方法を選択できます。
(※2024年10月時点ではSSPRの秘密の質問だけは利用不可)
これを使って[ユーザーごとのMFA]設定の[ユーザー]タブに入っていたMFAの有効化設定や、[サービス設定]タブやSSPR設定に入っていた本人確認方法として何を使うか?を選択します。
以前のMFAだと携帯電話の認証またはMicrosoft Authenticatorの2択でしたが、FIDO2、メールOTP、証明書、さらにはアカウントの初期セットアップで使用する一時アクセスパスなど多彩な選択肢から選択できるようになります。
設定項目はクリックした様子としてMicrosoft Authenticatorを紹介します。ここではユーザーごとに有効化するだけでなく、MFA (プッシュ)の設定のほかにパスワードレスを選択することもできます。
2025年9月末まではこのように古いUIと新しいUIが混在するわけですが、どちらが採用されるかについては認証方法画面の[移行の管理]から選択します。
クリックすると、このような選択肢が登場するのでここで古いUIから新しいUIへの切り替えを行います。
どうやって移行するか?
最後に移行するときにどうすべきかを簡単に考察してみたいと思います。
まず最初に過去の設定と新しい設定はまったく同じものではないのでそのまま移行すべきでないという考えはMFAにも当てはまります。最たるものは「秘密の質問は新しいUIで今は使えないけど、秘密の質問ってそもそも秘密なんでしたっけ?」っていうところでしょう。
そういったことを精査しながら、そのまま移行するのではなく、新しいUIでできることに沿った実装を行ってください。