次の方法で共有

「統合型の認証方法ポリシーに移行する」について確認したい

MO 0 評価のポイント
2025-10-02T05:18:53.56+00:00

現在テナント内部で条件付きアクセスポリシーによるMFAへの移行を進めています。
認証方法ポリシーにつては移行をしていない状態ですが、移行するにあたってユーザへの
影響など注意事項があるかどうかを確認したいです。

一部のグループに対してMFAへ移行済の状態で、認証強度は作成済です。
この移行作業を実施した場合、多要素、単一要素認証のどちらのエンドユーザに何らかの
影響があるでしょうか。

また、認証強度でFIIODは現在評価していないのですが、認証方法ポリシーでONにした場合は対象に入れるべきといったルールはありますか?

Azure Advisor
Azure Advisor

ユーザーがベスト プラクティスに従って Azure のデプロイを最適化するための、パーソナル設定が行われた Azure のレコメンデーション エンジン。

2 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. チャブーン 6,716 評価のポイント MVP ボランティア モデレーター
    2025-10-03T06:49:47.5066667+00:00

    チャブーンです。

    この件ですが、「統合型の認証方法ポリシーに移行する」の意味合いですが、レガシーポリシーである

    • (MFA)クラウドベースの多要素認証の追加設定-サービス設定
    • (SPRR)パスワードリセット-認証方法

    の2つが、既存の認証方法ポリシー(Microsoft Authenticator等)に統合されるということです。

    MFA と SSPR のポリシー設定を Microsoft Entra ID の認証方法ポリシーに移行する方法

    Microsoft Entra ID の認証方法を管理する

    原則として「今までのポリシーで禁止しない限り」認証方法は現存されると資料にありますので、旧ポリシー→新ポリシーが「同じメソッド」であれば、影響を受けない可能性があります。新旧のマップは以下のようになっているようです。

    多要素認証ポリシー 認証方法ポリシー
    電話の呼び出し 音声通話
    電話の呼び出し 音声通話
    電話へのテキスト メッセージ SMS
    モバイル アプリでの通知 Microsoft Authenticator
    モバイル アプリからの確認コードまたはハードウェア トークン サード パーティ製のソフトウェア OATH トークン ハードウェア OATH トークン Microsoft Authenticator

    とはいえ同資料内に「移行ガイドでは、テナント ポリシー設定のみを移行します。 個々のユーザー設定は移行されません。」とあるので、再設定の可能性は前提としておくべきかと思います。

    ところで質問者さんは「認証強度でMFAを(条件付きアクセスで)強制している」ということですが、実態として以下の状況なのでしょうか?

    • 「クラウドベースの多要素認証の追加設定」はデフォルトから一切いじっていない
    • 認証方法ポリシーでMFAに関する設定は一切有効にしていない(デフォルト設定は無効)

    認証強度のデザインですが、条件付きアクセスで細かく認証条件(オプション)を指定するための、突き出し的なポリシーです。認証方法ポリシーと関連はありますが、本質的には別物ポリシーとして、設定そのものには影響はありません。条件付きアクセスでは、認証強度ポリシーで合致していれば評価を行い、条件に合致していない(かみあわない場合等)、認証方法ポリシーにリダイレクして再評価、という動作ということのようなので、リダイレクト動作が発生した際に、何らかの挙動の変化があるかもしれません。ここはポリシー次第なので、実際のポリシーを見て、確認してください。

    この回答は役に立ちましたか?

  2. Aditya N 2,990 評価のポイント Microsoft 外部スタッフ モデレーター
    2025-10-02T07:26:19.4333333+00:00

    Hello @MO

    Microsoft Q&A にお問い合わせいただきありがとうございます。 翻訳機能を使用しているため、文法的な誤りがある場合はご容赦ください。

    現在の構成と新しいポリシー設定によっては、テナント内で条件付きアクセス ポリシーを使用した MFA に移行すると、エンドユーザーに特定の影響が生じる可能性があります。

    既存の MFA ユーザー: 既に MFA をセットアップしているユーザーは、新しいポリシーの設定方法に基づいて新しい認証方法を登録する必要がある場合があります。認証強度が設定された条件付きアクセス MFA を既に使用しているユーザーは、新しい認証方法ポリシーによって現在の構成と比較して必要な方法が無効化、変更、または追加されない限り、通常、変更に気付くことはありません。

    単要素認証ユーザー: 一部のユーザーがまだ単要素認証を使用している場合、新しいポリシーの設定方法によっては、追加の検証を求められる場合があります。

    条件付きアクセスで FIDO2 が認証強度によって評価されていない場合、認証強度ポリシーに明示的に含まれていて条件付きアクセスによって割り当てられていない限り、ユーザーはアクセスに FIDO2 セキュリティ キーを使用する必要はありません。

    詳細な説明については、以下の公式ドキュメント リンクをご覧ください。

    回答が役に立った場合は、「回答を承認」をクリックして、ぜひ高評価をお願いします。この回答についてご質問がある場合は、「コメント」をクリックしてください。

    https://learn-microsoft-com.translate.goog/en-us/entra/identity/authentication/how-to-authentication-methods-manage?_x_tr_sl=en&_x_tr_tl=ja&_x_tr_hl=en&_x_tr_pto=wapp

    https://learn-microsoft-com.translate.goog/en-us/entra/identity/authentication/concept-authentication-strengths?_x_tr_sl=en&_x_tr_tl=ja&_x_tr_hl=en&_x_tr_pto=wapp

    ありがとう

    Aditya

    この回答は役に立ちましたか?

    0 件のコメント

お客様の回答

質問作成者は回答に "承認済み"、モデレーターは "おすすめ" とマークできます。これにより、ユーザーは作成者の問題が回答によって解決したことを把握できます。