Microsoftは来月から、Microsoft 365 管理センターにアクセスするすべてのユーザーに対して多要素認証(MFA)を強制適用し始めます。
管理センターに対するMFA要件は2025年2月に展開が開始されましたが、Microsoftは今後これをすべてのユーザーに対して強制し、変更が2026年2月9日に有効化された後は、MFAを有効にしていないユーザーのMicrosoft 365 管理ポータルへのサインインをブロックします。
これは、IT管理者がMicrosoft 365のアカウントやサービスを管理するために使用する、portal.office.com/adminportal/home、admin.cloud.microsoft、admin.microsoft.com の管理センターURLに影響します。
Microsoftは、管理センターへのすべてのサインインにMFAを強制することで、標準的なパスワードセキュリティを超える重要な保護が追加され、攻撃者がアカウントを侵害することが大幅に難しくなると述べています。
「Microsoft 365 管理センターでMFAを実装することで、アカウント侵害のリスクを大幅に低減し、不正アクセスを防止し、機密データを保護します」と、Microsoftは述べています。
「標準的なユーザー名とパスワードによる認証に加えて追加の保護層を設けることで、MFAは攻撃者がデータを盗むことをより困難にし、フィッシング、クレデンシャルスタッフィング、総当たり、またはパスワードの再利用攻撃による不正アクセスを防ぎます。」
Microsoftはまた、IT運用や管理機能の中断を避けるために管理者へ直ちに対応するよう促しており、2月の期限までにMFAを有効化しない組織では、管理者がサインイン失敗を経験し始めることでアクセスの中断が発生するとしています。
グローバル管理者は、Microsoftのセットアップウィザードを使用するか、公式ドキュメントに従ってMFAを構成できます。個々のユーザーは、MicrosoftのMFAセットアップポータルから確認方法を確認し、認証オプションを追加できます。
Microsoftはまた、2025年3月以降、すべてのテナントでAzure PortalへのサインインにMFAを強制しており、これは2024年5月に発表された変更で、リソースを管理するためにAzureにサインインするすべてのユーザーに対してMFAを要求し始めたものです。また、攻撃からユーザーのアカウントを保護するため、2025年10月にはAzure CLI、PowerShell、SDK、APIに対してもMFAの強制適用を開始しました。
2023年11月のMicrosoftの調査では、MFAで保護されたアカウントの99.99%がハッキングの試みを成功裏に阻止しており、さらに認証情報が漏えいしている場合でも、MFAによってアカウント侵害の可能性が98.56%低下したことが示されました。
