どうも、株式会社ソフトクリエイト で情報屋やってます。山口です。
普段は企業様向けに Microsoft 365 活用のご支援をおこなっています。
2024年より、Microsoft による多要素認証(MFA)義務化の段階的展開も進行中です。
現時点(2025年)では管理者や管理ポータルへのサインインを対象にMFA必須化が段階的に実施されています。
Microsoft 管理センター等へのMFA強制化解説
一般ユーザーへの直接影響:
現状、このMFA義務化は管理者が利用するサービスやスクリプト実行用のユーザーアカウントに焦点を当てたものです。
通常の従業員が日常業務で使用する Teams や Exchange Online、SharePoint Online など一般業務アプリへのサインイン自体は、Microsoft による一律のMFA強制対象には含まれていません。
例えばメールや社内ポータルにサインインする際に Microsoft 側から強制的にMFAを要求されることは、現時点ではございません。
なお、この工程の流れで、新規テナントではセキュリティ既定値により全ユーザーにMFAを促す設定がデフォルト有効になるなどの変更も生じており、新規テナントに対しては、従来とは異なる、テナントの利用開始が生じる状況である点は、ご認識おき下さい。
■ 2024年10月 - フェーズ1 開始
- 対象:Azure Portal、Microsoft Entra 管理センター、Intune 管理センターでCRUD操作を行うアカウント
(CRUD 操作:「作成 (Create)」「読み取り (Read)」「更新 (Update)」「削除 (Delete)」) - 内容:サインイン時のMFA必須化を順次適用開始
- 優先対象:グローバル管理者などの管理者役割を持つユーザー
フェーズ1では2024年後半より Azure 系のWeb管理ポータルで管理作業を行う際にMFAが必須となりました。
例えば Azure ポータルや Entra ID 管理センター、Intune 管理センターでユーザーや設定を変更・作成するときにはMFAによる追加認証が強制され、2025年2月以降は Microsoft 365 管理センターにも対象が広がり、テナント管理者が Office 365 管理画面にログインする場合にも順次MFAが必要になりました。
■ 2025年2月 - Microsoft 365 管理センターに拡大
- 対象:Microsoft 365 管理センター(admin.microsoft.com)へのサインイン
- 内容:MFA義務化が段階的に展開開始
- 補足:管理者が Microsoft 365 管理ポータルにアクセスする際もMFAが求められる
■ 2025年9月15日 - フェーズ2 開始
- 対象:Azure CLI、Azure PowerShell、Azure モバイルアプリ、IaCツール、Azure REST API などのプログラム的アクセス
- 内容:MFA必須化を順次適用開始
- 補足:Azure 上でリソースの作成・更新・削除を行う場合、ユーザーアカウントはMFA認証が必要(読み取りのみの場合は除く)
フェーズ2では2025年9月15日から、スクリプトやAPI経由で Azure にアクセスするケース(Azure CLI、PowerShell、REST APIなど)にもMFA要求が拡大されます。
具体的には、これまでパスワードだけで自動実行していたユーザーアカウントベースのスクリプトが、MFA未設定だと更新系操作に失敗する可能性があります。
また、読み取り専用の操作にはMFA不要ですが、作成・更新・削除といった変更操作にはMFAが必要となります。
もし一般ユーザーの資格情報を用いたバッチやサービスがある場合、マネージドIDやアプリ登録 (サービスプリンシパル) への移行が推奨されています。
※ サインインの失敗動作については、必要に応じて、Microsoft Entra ID のサインインログの確認で、状況を確認することも必要となります。
本件の仕様変更に際して Microsoft は「最高レベルのセキュリティ」を提供するためこのような措置を取っていると説明しています。
なお、将来的な一般ユーザーへの強制的なMFAを要求の強制化の可能性については、弊社でも情報を把握できていない状況です。
