Microsoftは、Entra IDでユーザーのIDを検証するセルフサービスパスワードリセット(SSPR)のセキュリティを強化しました。これにより、ユーザーが明示的に登録することなく、ディレクトリに保存された未検証の連絡先情報がアカウント回復手段として使用できてしまうという長年の脆弱性が解消されます。
この変更は2026年5月28日、メッセージセンター通知MC1325414として発表されており、MicrosoftのSecure Future Initiativeの一環です。2026年9月7日から適用が開始されるため、組織はすべてのユーザーの準備を整える猶予期間が限られています。
これまでSSPRでは、パスワードリセット時のユーザーID検証において、mobilePhone、businessPhone、otherMailsといった連絡先情報をディレクトリ属性から直接取得して利用できていました。これらの値が認証方法として正式に登録されていない場合でも、同様に使用可能でした。
つまり、人事システムによって追加された電話番号や、オンボーディング時に設定された代替メールアドレスが、明示的な登録プロセスを経ることなく、ひっそりとセキュリティ回復手段として機能していたことになります。
Microsoftは今回、明確な線引きを行います。ディレクトリ属性はあくまでユーザーに関するデータであり、認証方法はアカウントのロック解除を信頼されたセキュリティオブジェクトです。この二つを同等に扱ってはならないという考え方です。
攻撃者はフロントエンドのMFA制御が強化されると、回復フローへの侵入を試みるケースが増えており、脆弱または古くなった回復チャネルは深刻なリスク要因となっています。
この変更は二段階で展開されます。まず2026年7月6日からSSPR登録キャンペーンが開始され、影響を受けるユーザーおよび管理者に対して認証方法の登録を自動的に促すプロンプトが表示されます。
2026年9月7日からは適用が始まり、ディレクトリ属性から取得した連絡先情報はSSPR検証に使用できなくなります。一般提供(GA)は、パブリッククラウド、GCC、GCC High、DoD環境において2026年9月中旬にかけて順次展開される予定です。
Microsoftによると、SSPRによる認証の86%はすでに登録済みの方法を使用していますが、残りの14%は実際のリスクとなっています。
大規模なエンタープライズテナントでは、この少数派が数千人規模のユーザーに相当する場合があります。こうしたユーザーがポリシー変更を知るのは、パスワードの有効期限切れ、デバイスの交換、または業務時間中のアカウントロックアウトといった事態が発生して初めて、というケースも十分に考えられます。
特に管理者アカウントは優先的に対応が必要です。特権アカウントで回復パスが機能しない場合、通常のロックアウトが重大な業務障害に発展するおそれがあります。
管理者はまず、Microsoft Entraの管理センターで「認証方法」→「ユーザー登録の詳細」に移動し、カバレッジのギャップを確認してください。管理者アカウントや緊急アクセス(ブレークグラス)アカウントを含むすべてのユーザーが、SSPRポリシーを満たす少なくとも1つの登録済み方法を持っているかを確認することが重要です。
組み込みの登録キャンペーンを有効にすると、適用開始前に影響を受けるユーザーへ自動的にプロンプトが表示されます。
また、自己登録ができないユーザーへの対応策として、一時アクセスパス(Temporary Access Pass)のワークフローやヘルプデスクによる登録支援プロセスも事前に準備しておくことをお勧めします。
コミュニケーションも同様に重要です。フィッシング対策トレーニングを受けたユーザーは、IT部門からの事前通知がなければ突然のプロンプトを不審に思う可能性があります。そのため、社内への早期アナウンスが混乱を大幅に軽減します。
Microsoftは数ヶ月前から通知を行い、管理センターでのレポート機能や自動ユーザープロンプトも提供しています。対応を先送りにした組織は、9月7日以降にヘルプデスクへの問い合わせが急増することが容易に予想されます。
翻訳元: https://cyberpress.org/microsoft-strengthens-entra-id-password-resets/