現在、Microsoft Entra 管理センターの[認証方法]にて以下内容がアナウンスされています。
2024 年 9 月 30 日に多要素認証およびセルフサービス パスワード リセットのレガシ ポリシーは廃止され、すべての認証方法を認証方法ポリシーによってここで管理することになります。
https://entra.microsoft.com/#view/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/~/AdminAuthMethods/fromNav/Identity?Microsoft_AAD_IAM_legacyAADRedirect=true
「何かが廃止されるから移行しないといけないみたいだけど、よくわからない。」
「公開情報を読んでも相変わらずよくわからない。」
ということで、この記事では新しい認証ポリシーと具体的な移行方法について記載します。
移行が必要な背景
2024 年 9 月 30 日にレガシ MFA ポリシーとレガシ SSPR ポリシーが廃止され、新しい認証ポリシーに統合されます。
期日がくれば勝手に統合されますが、レガシ MFA ポリシーとレガシ SSPR ポリシーが引き継がれるわけではないので既存の設定を踏襲したい場合は移行作業が必要です。
レガシ ポリシーと新しい認証ポリシーとは
レガシ MFA ポリシーとレガシ SSPR ポリシー、新しい認証ポリシーについて説明します。
レガシ MFA ポリシー
MFAで使う認証方法を設定する従来のポリシーです。
Microsoft Entra 管理センター>[ユーザー]>[すべてのユーザー]>[ユーザーごとの MFA]>[検証]より確認できます。
レガシ SSPR ポリシー
セルフパスワードリセットで使う認証方法を設定する従来のポリシーです。
Microsoft Entra 管理センター>[保護とセキュリティ]>[パスワード リセット]>[認証方法]>[ポリシー]より確認できます。
新しい認証ポリシー
MFAとSSPRで使う認証方法を設定する新しい認証ポリシーです。
従来はMFAの認証方法とSSPRの認証方法が個別存在していましたが、新しい認証ポリシーでは両者が同じ認証方法を用いることになります。
新しい認証ポリシーのメールOTP(ワンタイムパスワード)はSSPRでのみ利用できます。
Microsoft Entra 管理センター>[保護とセキュリティ]>[認証方法]より確認できます。
移行が必要なケース
組織でMFAかSSPRまたはその両方を利用しており、レガシ MFA ポリシーとレガシ SSPR ポリシーが構成されている(チェックが入っている)テナントは基本的に移行が必要になります。
また、MFAとSSPRで異なる認証方法を採用している組織も、両者の認証方法が統一されることからこの移行のタイミングでポリシーの棚卸と再検討をおすすめします。
移行ステップ
基本的な移行ステップは以下の通りです。組織やテナントの状況に応じて柔軟に対応してください。
- 現在のレガシポリシーを確認
- 新しい認証ポリシーで用いる認証方法を決定
- 新しい認証ポリシーへ設定
- 移行ステータスを移行が進行中へ変更
- レガシポリシーを無効化
- 移行ステータスを移行が完了済みへ変更
現在のレガシポリシーを確認
現在テナントで設定されているレガシ MFA ポリシーとレガシ SSPR ポリシーの認証方法を確認します。
画像の例だとMFAではSMSとMicrosoft Authenticator、ハードウェアトークン、SSPRではメールのOTPとSMSおよび通話による承認が認証方法として設定されていることがわかります。
| レガシ MFA | レガシ SSPR | |
|---|---|---|
| 通話 | 〇 | |
| SMS | 〇 | 〇 |
| Authenticator | 〇 | |
| ハードウェアトークン | 〇 | |
| メール | 〇 |
新しい認証ポリシーで用いる認証方法を決定
現在のレガシポリシーをもとに、新しい認証ポリシーで設定する認証方法を決定します。
新しい認証ポリシーではMFAとSSPRで同じ認証方法が用いられる為、両者に必要な認証方法を検討し決定する必要があります。※本手順ではSMSとMicrosoft Authenticatorを採択します。
| レガシ MFA | レガシ SSPR | 新しい認証ポリシー | |
|---|---|---|---|
| 通話 | 〇 | ||
| SMS | 〇 | 〇 | 〇 |
| Authenticator | 〇 | 〇 | |
| ハードウェアトークン | 〇 | ||
| メール | 〇 |
新しい認証ポリシーへ設定
決定した認証方法を新しい認証ポリシーへ設定します。
Microsoft Entra 管理センター>[保護とセキュリティ]>[認証方法]を確認し、決定した認証方法の有効列ステータスが”はい”になっているか確認します。"いいえ"になっている場合は以下手順で有効化します。また不要な認証方法が”はい”になっている場合は”いいえ”へ変更して無効化します。
SMSが”いいえ”になっているため、[SMS]をクリックします。
[有効にする]のトグルをオンにして[保存]をクリックする。
メールOTP(ワンタイムパスワード)はテナントユーザーのSSPRに加え、マイクロソフトアカウントを持たないゲストユーザーの認証に使われます。
メールOTP(ワンタイムパスワード)を無効化するとゲストユーザーがサインインできなくなる可能性があるので注意してください。
移行ステータスを移行が進行中へ変更
移行ステータスを[移行が進行中]へ変更します。
これによりレガシポリシーと新しい認証ポリシーの両方が有効になるハイブリッド状態になります。
Microsoft Entra 管理センター>[保護とセキュリティ]>[認証方法]>[移行の管理]より移行ステータスを変更します。
[移行が進行中]を選択し[保存]をクリックします。
レガシポリシーを無効化
レガシ MFA ポリシーとレガシ SSPR ポリシーを無効化します。この無効化作業を実施しないと移行ステータスを[移行が完了済み]へ変更することができません。また、前手順で移行ステータスを[移行が進行中]へ変更していない正しく無効化できません。
無効化はレガシ MFA ポリシーとレガシ SSPR ポリシーそれぞれのチェックを外したうえで[保存]をクリックすることで可能です。
移行ステータスを移行が完了済みへ変更
移行ステータスを[移行が完了済み]へ変更します。
これにより新しい認証ポリシーのみが有効になり移行が完了します。
Microsoft Entra 管理センター>[保護とセキュリティ]>[認証方法]>[移行の管理]より移行ステータスを変更します。
[移行が完了済み]を選択し[保存]をクリックします。
まとめ
この記事では新しい認証ポリシーと具体的な移行方法について紹介しました。
移行作業は計画的に実施する必要があるため面倒ですが、レガシ MFA ポリシーの見づらいUIから解放されたりバラバラの管理画面が統一されることを考えるとメリットもあります。
いずれにしても2024 年 9 月 30 日には強制的に移行されてしまうので、検討は必須です。
WITHWITでは認証ポリシーの移行作業や計画のご相談も受け付けております。
ぜひお気軽にお問い合わせください。
参考:MFA と SSPR のポリシー設定を Azure AD の認証方法ポリシーに移行する方法
Microsoft 365に関するご相談はWITHWITへ
Microsoft 365に関するご相談やお悩みがございましたら、ぜひWITHWITまでお気軽にお問い合わせください。
数あるクラウドサービスの中でMicrosoft 365 に特化してきたからこそ導入前から導入後の定着に至るまで、幅広いご相談に対応いたします。
