Azure サインインにおける MFA の義務化:2024年10月の Phase_1 からスタート!

Microsoft Mandates MFA for All Azure Sign-Ins

2024/08/16 InfoSecurity — Microsoft の発表は、すべての Azure サインインに、多要素認証 (MFA) を義務付けるというものだ。ユーザーの選択は、Microsoft Entra を通じて提供される、複数の MFA オプションからニーズに合わせて行われる。以下は、その一例である:

  • Microsoft Authenticator による、プッシュ通知/生体認証/ワンタイムパスコードを使用する、モバイル・アプリからのサインイン承認。
  • Fast Identity Online (FIDO) 標準をサポートする、外部 USB 近距離無線通信 (NFC) などの外部セキュリティ・キーを使用する、ユーザー名/パスワードを必要としないFIDO2 セキュリティ・キーによるサインイン承認。
  • 個人認証 (PIV : personal identity verification) および、共通アクセスカード (CAC : common access card) を用いた、フィッシングに強い証明書ベースの MFA 実施。
  • Microsoft Authenticator を使用する Passkeys の提供。
  • SMS/Voice による承認


なお、外部の MFA ソリューションと連携 ID プロバイダは引き続きサポートされ、MFA クレームを送信するように構成されていれば、上記の MFA 要件を満たすと、Microsoft は付け加えている。

この要件は、Create/Read/Update/Delete (CRUD) 操作を行う、すべてのユーザーに対して適用される。ただし、Azure の Portal/CLI/PowerShell にサインインせずに、Azure でホストされるアプリ/Web サイト/サービスにアクセスするエンド・ユーザーは、この要件の対象外となる。

さらに、Managed Identities や Service Principals などの Workload Identities は、この MFA 実施による影響を受けない。

また、エンド・ユーザーの認証要件は、Web サイト/アプリ/サービスの所有者により、これまで通りに管理される。

段階的な MFA の義務化

Microsoft が明らかにしたのは、MFA の義務化は 2024年後半に開始されることである。その際には、すべての Entra グローバル管理者に対して、電子メールと Azure Service Health Notification を通じて、60日前に通知が行われることだ。

  • Phase_1:2024年10月に開始:Azure Portal/Microsoft Entra Admin Center/Intune Admin Center へのサインインで MFA が要求される。この施行は、すべてのグローバル・テナントに足して順次展開される。
  • Phase_2:2025年初頭に開始:Azure CLI/Azure PowerShell/Azure Mobile App/Infrastructure as Code (IaC) ツールに対して MFA の適用が開始される。

複雑な環境や技術的な障壁を持つユーザーに対して、Microsoft は期間の延長を検討する予定だという。また、テナントで設定したアクセス・ポリシーの上に、ユーザーは新しい MFA 要件を実装する必要があるという。

現時点において、Microsoft が提供するデフォルトを有効化している組織や、Conditional Access ポリシーを用いている組織は、すでに MFA を用いてユーザーが Azure にサインインしているため、既存のログイン方法に変更は生じない。

Microsoft は、「当社の目標は、堅牢なセキュリティ対策を確実に実施しながら、摩擦の少ないエクスペリエンスを、正規ユーザーに提供することだ。すべてのユーザーに対して推奨するのは、コンプライアンスに関する計画の速やかな開始であり、そうすることで、業務の中断を避けてほしいと考えている」と述べている。

Microsoft が約束するセキュリティ強化とは?

Azure MFA の要件は、2023年11月に発表された Microsoft Secure Future Initiative (SFI) の一環である。それは、今日のサイバー脅威の速度/規模/巧妙さの増大に対して、同社が確実に対応することを目的とするものである。

このイニシアチブの柱の1つは、ID とシークレットの保護に特化したものであり、安全に管理されたフィッシング耐性のある MFAで、ユーザー・アカウントの 100% を保護すると、Microsoft は約束している。

2024年6月に、Microsoft の President である Brad Smith は、サイバー安全審査委員会 (CSRB) において、同社のサイバー・セキュリティ慣行に対する批判を受け入れている。米議会での証言で Brad Smith は、Microsoft におけるサイバー・セキュリティ保護を、ユーザー・アカウントのセキュリティを含めて、全面的に強化することを約束している。

文中末尾の、米議会での Brad Smith 証言については、2024/06/14 の「Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言」をご参照ください。また、2024/08/07 の「Microsoft の Security First:すべてにおいてセキュリティが優先する方針を明示」も、関連記事となっています。Microsoft におけるセキュリティ対応が、前倒しで進んでいくと良いですね。