Microsoftは、Microsoft Entra IDにおける新しい外部多要素認証(MFA)機能の一般提供(GA)を発表しました。これは、より柔軟で統合された識別セキュリティに向けた重要な一歩です。
この機能は、組織がサードパーティのMFAプロバイダーを使用できるようにすることで、Microsoftの条件付きアクセスとリスクベースのセキュリティポリシーを同時に実施します。
多要素認証は、識別ベースの攻撃に対する重要な防御手段のままです。これらの攻撃は、複雑さと頻度の両面で継続的に増加しています。
Microsoftによると、MFAを有効化することで、アカウント侵害の試みの99%以上をブロックできます。
Entra IDは既にいくつかのネイティブ認証方法をサポートしていますが、多くのエンタープライズは規制要件、レガシー統合、または特定のビジネスニーズのため、外部MFAソリューションに依存しています。このアップデートは、その課題に直接対応しています。
外部MFAが一般提供されるようになり、組織はOpenID Connect(OIDC)標準を使用して、信頼できるサードパーティ認証プロバイダーをMicrosoft Entra IDに統合できます。
これにより、相互運用性を確保しながら、集中化された識別制御プレーンを維持します。複数の切断されたシステム間で認証を管理する代わりに、管理者は単一のインターフェースからネイティブおよび外部のMFAメソッドの両方を構成および監視できます。
この機能は、複数の識別システムが一時的に共存する必要があるM&A(買収・合併)を実施しているエンタープライズ、または業界固有の認証要件を遵守する必要のある組織にとって特に有用です。
また、既存のサードパーティMFA技術への投資を放棄することなく、ユーザー認証体験を標準化しようとしている企業もサポートしています。
技術的観点から、すべての認証リクエストは、
ネイティブまたは外部MFAを使用しているかどうかに関わらず、Microsoft Entra IDの完全なポリシー評価パイプラインを通過します。
これには、条件付きアクセスの実施、リアルタイムリスク評価、およびセッション制御メカニズムが含まれます。その結果、外部プロバイダーが関与している場合でも、セキュリティチームは認証フローに対する完全な可視性と制御を保持します。
Microsoftは、外部MFAを使用する場合に条件付きアクセスポリシーを適切に構成することの重要性を強調しました。
サインイン頻度やセッション有効期間制御などの機能は、過度な認証プロンプトを回避するために慎重にバランスを取る必要があります。
ポリシーのチューニングが不十分だと、ユーザーエクスペリエンスに悪影響を与える可能性があり、ユーザーが反復的なMFAリクエストを精査なく承認するようになるため、フィッシングリスクが増加する可能性があります。
外部MFAのリリースは、2026年9月30日のリタイアメントがスケジュールされている古い「カスタムコントロール」機能の廃止予定を示唆しています。
現在カスタムコントロールを使用している組織は、互換性とサポートを維持するために外部MFAに移行する必要があります。
Microsoftは、既存の構成は移行期間中も機能し続けることを確認しており、詳細な移行ガイダンスが間もなく提供される予定です。
セキュリティ専門家は、このアップデートをゼロトラスト原則,沿った戦略的な動きと見ており、識別がアクセス決定の中央制御ポイントとなります。
ポリシー実施を犠牲にすることなく、サードパーティのMFAソリューションのシームレスな統合を可能にすることで、Microsoftは長年のエンタープライズ要件に対応しながら、全体的な識別セキュリティを強化しています。
新しい機能は現在グローバルに利用可能であり、組織はMicrosoft Entraの構成ツールとMicrosoft Learnのドキュメントを通じて外部MFAプロバイダーの統合を開始できます。
翻訳元: https://cyberpress.org/microsoft-entra-id-introduces-feature-to-eliminate-mfa-limitations/