Microsoftは、すべての管理ユーザーに多要素認証(MFA)を義務付けることで、Microsoft 365 管理センターへのパスワードのみのアクセスを廃止します。これは、高権限のクラウドアカウントを狙う認証情報ベースの攻撃を阻止することを目的とした措置です。
適用期限は2026年2月9日に設定されており、2025年初頭に開始された段階的な展開を経て実施されます。
2026年2月9日以降、MFAが有効化されていない管理者はMicrosoft 365 管理センターへのアクセスが完全にブロックされます。
この義務化は、portal.office.com/adminportal/home、admin.cloud.microsoft、および admin.microsoft.com. という3つの重要な管理ポータルに適用されます。
これらのエンドポイントは、テナント管理、ユーザーのプロビジョニング、セキュリティ構成、コンプライアンス設定に対する広範な制御を提供します。
MFAがない状態でパスワードが1つ侵害されるだけで、攻撃者はメール、ファイル、ID制御、監査ログに無制限にアクセスできる可能性があります。
Microsoftは、組織全体でMFAを実装していないレガシーテナントは、期限までに準備しなければグローバル管理者のロックアウトに直面する可能性があると警告しています。
Microsoftは、同社のクラウドエコシステム全体で、毎日数億件のクレデンシャルスタッフィングの試行が発生していると引き続き報告しています。
管理者アクセスにMFAを義務付けることは、フィッシングキャンペーン、パスワードの使い回し、ブルートフォース攻撃、自動化されたクレデンシャルスタッフィングなど、蔓延する攻撃手法に直接対抗します。
セキュリティ専門家は長年、MFAをゼロトラスト・アーキテクチャに不可欠な要素とみなしてきました。特に、ランサムウェア運用者や国家支援型の脅威アクターが頻繁に狙う特権アカウントにおいては重要です。
Entra ID(旧Azure AD)における高権限IDは、ランサムウェアを展開したり機密データを大規模に持ち出したりする攻撃の主要な標的となっています。
Microsoftは、グローバル管理者に対し、組み込みのセットアップウィザードまたは詳細なドキュメントのガイダンスを使用して、組織全体でMFAを有効化することを推奨しています。
対応する認証方法には、Microsoft Authenticator、SMSによる確認コード、ハードウェアセキュリティトークンが含まれます。
管理センターへのアクセスが必要な個々のユーザーは、適用開始前に標準のセットアップポータルを通じてMFA方法を確認し、設定する必要があります。
組織は、オンプレミスのActive DirectoryとEntra IDを組み合わせたハイブリッド環境を含め、すべての特権アカウントを徹底的に監査し、ブレークグラス(緊急用)アカウントやレガシーアカウントにMFA保護が欠けていないことを確認すべきです。
Microsoftは、準拠しているユーザーはサービス中断を経験しない一方、対応を遅らせると、インシデント対応やパッチ管理などの重要な運用中にロックアウトのリスクがあることを強調しています。
MFAの義務化は、SOC 2、 HIPAA、NISTなど、特権ロールに対して強力な認証をますます要求する業界フレームワークとMicrosoftのクラウドセキュリティ態勢を整合させるものです。
このポリシーは、条件付きアクセスや特権ID管理といった既存のセキュリティ機能を補完し、高価値IDに対するより包括的な防御アーキテクチャを構築します。
セキュリティアナリストは、パスワードのみの認証がAI強化型フィッシングや急速に進化するIDベースの脅威に対してますます擁護しがたくなる中、MicrosoftがPower Platformやワークロード別の管理ポータルを含む他の機微な管理プラットフォームにも同様の強制適用を拡大すると予想しています。
翻訳元: https://cyberpress.org/microsoft-enforces-mandatory-mfa-for-microsoft-365-admin-center-logins/