Microsoft Entra の強化：厳格な認証要件の導入による ID ベース攻撃の低減

Microsoft Tightens Entra ID Password Resets With New Authentication Change

2026/06/01 cybersecuritynews — Microsoft が発表したのは、Entra ID Self-Service Password Reset (SSPR) 機能に対する重要なセキュリティ・アップデートであり、より厳格な認証要件を導入することで、アイデンティティ・ベース攻撃の低減を目的とするものだ。このアップデートにより、明示的に登録された認証メソッドの使用が必須となるため、正式に検証されていないディレクトリ保存の連絡先情報への依存が排除される。

この変更は、Microsoft の Secure Future Initiative の一環であり、同社プラットフォーム全体におけるアイデンティティ検証強化を目的としている。

この強制の適用は 2026年9月7日から開始される予定であり、その前段として 2026年7月6日から登録キャンペーンが開始され、ユーザーに対して適切な認証メソッドのコンフィグを促すことになる。

現時点の Microsoft Entra ID では、パスワード・リセット時の本人確認において、モバイル電話番号／業務用電話番号／代替メールアドレスなどのディレクトリ属性に保存された、連絡先情報の利用が可能となっている。

Microsoft Entra ID パスワードリセットの強化

これらの連絡先情報は、認証メソッドとして明示的に登録または検証されていない状態でディレクトリに存在する場合があるため、セキュリティリスクを生じさせる。

新しいポリシーでは、ユーザーが明示的に登録した認証メソッドのみが、SSPR 検証で使用できるようになる。

したがって、mobilePhone／businessPhone／otherMails といったディレクトリ属性は、認証メソッドフレームワーク内で正式に登録されていない限り、有効な手段として認められない。

その結果、この登録プロセスを完了していないユーザーは、予定されている強制適用が開始された後にパスワード・リセットが実行不能になる。

Microsoft によると、現在のパスワード・リセット検証の約 86% は、すでに登録済みメソッドに依存しているため、多くの組織における影響は限定的と見込まれる。

しかし、未登録のディレクトリ情報に依存しているユーザーが、事前の対応を行わない場合には、アクセスの問題に直面する可能性がある。

このアップデートは、Entra ID が導入されている、すべての環境に対して広く適用される。そこに含まれるものには、民間の組織が使用するパブリック・クラウドに加えて、米国政府用の GCC／GCC High／DoD といったクラウド環境がある。そのため、一般のエンタープライズおよび政府機関において準備が必要となる。

運用の観点では、この変更は SSPR が有効化されているテナント内の、すべてのユーザー (管理者を含む) に影響する。

したがって、ユーザー組織にとって必要なことは、それぞれのユーザーが少なくとも 1 つの準拠した認証メソッドを登録していることを、強制が適用される期限前に確認することである。

Microsoft が管理者に対して推奨するのは、Entra admin center を通じた登録状況の確認および、登録キャンペーンの有効化によるユーザー準拠の促進に加えて、IT チーム／ヘルプデスク／エンドユーザーへの明確な周知である。

さらに、自己登録が困難なユーザーに対するフォールバック・プロセスの確立も推奨される。これには、ヘルプデスク支援による登録ワークフローや、制限付きユーザーまたはリモートユーザー向けの代替オンボーディング手順の実装が含まれる。

これらの対策が未整備の場合には、未登録ユーザーがパスワード・リセットを実行できなくなるため、強制適用後のヘルプデスク対応件数が大幅に増加する可能性がある。

2026年5月28日に公開された Message ID MC1325414 には、「このアップデートは検証済み認証メソッドのみにパスワード・リセット・フローを制限することでコンプライアンス制御を強化する。また、Entra admin center における認証メソッド登録状況の可視性を向上させ、管理者の監視能力も強化される」と記されている。

このアップデートは、強固なアイデンティティ保証と未検証データへの依存の低減という、業界全体の潮流を反映したものであり、アカウント乗っ取りや不正アクセスリスクの軽減に寄与する。

訳者後書：Microsoft Entra ID における変更の背景にあるのは、 パスワード・リセット機能において、正式に検証されていないディレクトリ内の古い連絡先情報などが認証手段として利用できるという運用の仕組みです。 具体的に言うと、明示的な登録プロセスを経ていない携帯電話番号や代替メールアドレスといったデータが、そのまま本人確認に使われるという、 認証プロセスの設計におけるギャップに起因する問題があります。 新しいポリシーでは、 ユーザーが事前に正式登録した検証済みの認証メソッドのみを用いることで、 未検証データの悪用によるアカウント乗っ取りや不正アクセスのリスクを低減する設計となっています。強制が適用された後に、未対応ユーザーのロックアウトが多発し、社内のヘルプデスクや IT 運用チームに大きな負荷が生じる可能性があります。Entra ID を管理するすべてのセキュリティ担当者およびシステム管理者は、Entra admin center を通じて自組織の認証メソッド登録状況を直ちに確認する必要があります。