Microsoft はクラウド顧客向けのセキュリティを強化するため、Microsoft 365 管理センターにアクセスするすべてのユーザーに対して多要素認証を必須とし、高権限の管理ポータルにおけるパスワードのみのログインを事実上終了させます。
この強制適用は、2025年初頭に開始された段階的な展開を経て、2026年2月9日に全面的に開始されます。
期限と適用範囲
新しいポリシーの下では、MFA が有効化されていない管理者ユーザーは期限後に Microsoft 365 管理センターへサインインできなくなり、組織は強力な認証を構成しなければ運用上の混乱を招くリスクがあります。
適用対象は、portal.office.com/adminportal/home、admin.cloud.microsoft、admin.microsoft.com の3つの主要な管理エンドポイントで、テナント、ユーザー、セキュリティ、コンプライアンス設定の管理に使用されます。
これらのポータルは Microsoft 365 環境に対する広範な制御権を付与するため、MFA なしでパスワードが1つ侵害されるだけで、攻撃者はメール、ファイル、ID 設定、監査ログに対して「神のような」アクセス権を得られます。
Microsoft は、組織レベルで一度も MFA を有効化したことのないレガシー テナントでは、準備を怠るとグローバル管理者がロックアウトされる可能性があると指摘しています。
Microsoft は 認証情報攻撃 をクラウド エコシステムにおける最大級の脅威の一つとして引き続き捉えており、最近の防御レポートでは、1日に数億回のクレデンシャル スタッフィング(資格情報詰め込み)試行が報告されています。
管理者アクセスに MFA を義務付けることで、同社はフィッシング、パスワードの使い回し、ブルートフォース、そして自動化されたログイン詰め込みといった一般的な攻撃手法を抑止することを狙っています。
セキュリティ実務者は長らく、MFA をゼロトラスト アーキテクチャの基礎的なコントロールとして扱ってきました。特に、ランサムウェア運用者や国家支援の攻撃者が常に狙う特権アカウントにおいては重要です。
Entra ID(旧 Azure AD)の高権限管理者 ID は、ランサムウェアを展開したり大量のデータを持ち出したりするキャンペーンにおいて、しばしば最初の標的となります。
Microsoft は、組み込みのセットアップ ウィザードまたはドキュメントの手順ガイダンスを用いて、組織全体で MFA を有効化するようグローバル管理者に促しています。これらは Microsoft Authenticator アプリ、SMS コード、ハードウェア トークンなどの方法をサポートしています。
管理センターへのアクセスが必要な個々のユーザーには、強制適用が始まる前に、標準のセットアップ ポータルで MFA 方法を確認し、必要に応じて追加することが推奨されています。
管理者は、オンプレミスの Active Directory と Entra ID を組み合わせたハイブリッド環境では特に、すべての特権アカウントを監査し、ブレークグラス(緊急用)アカウントやレガシー アカウントが MFA なしで残っていないことを確認すべきです。
同社によれば、準拠しているユーザーはダウンタイムを経験しない一方、対応を先延ばしにした場合、インシデント対応やパッチ管理などの重要な作業中にロックアウトに直面する可能性があります。
管理者アクセスに MFA を義務付けることは、SOC 2、HIPAA、NIST などのフレームワークにおける要件とも整合しており、これらは特権ロールに対する強力な認証をますます求めるようになっています。 Cybersecuritynews が報じました。
この変更は、条件付きアクセス および Privileged Identity Management の機能も補完し、組織にとって高価値 ID に対するより強固な防御スタックを提供します。
アナリストは、AI によって強化されたフィッシングや急速に進化する ID 脅威を前に、パスワードのみのアクセスが受け入れられなくなるにつれて、同様の強制適用が Power Platform などの他の機微な管理領域や、ワークロード固有の管理ポータルにも拡大すると見ています。
翻訳元: https://gbhackers.com/microsoft-mandates-mfa-for-microsoft-365/
