Azure やその他の管理ポータルの必須多要素認証の計画
Microsoft では、お客様に最高レベルのセキュリティを提供することに取り組んでいます。 そのため、2024 年から、すべての Azure サインイン試行に対して必須の多要素認証 (MFA) が適用されます。 このトピックでは、影響を受けるアプリケーションと、必須の MFA を準備する方法について説明します。
適用範囲
このセクションでは、必須の MFA 要件を持つアプリケーションとアカウントについて説明します。
アプリケーション
アプリケーション名 | アプリ ID | 実施段階 |
---|---|---|
Azure Portal | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024 年後半 |
Microsoft Entra 管理センター | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024 年後半 |
Microsoft Intune 管理センター | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024 年後半 |
Azure コマンド ライン インターフェイス (Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | 2025 年初頭 |
Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | 2025 年初頭 |
Azure Mobile App | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | 2025 年初頭 |
コードとしてのインフラストラクチャ (IaC) ツール | Azure CLI または Azure PowerShell IDを使用する | 2025 年初頭 |
取引先企業
作成、読み取り、更新、または削除 (CRUD) 操作を実行するために前に一覧表示されたアプリケーションにサインインするすべてのユーザーは、適用の開始時に MFA が必要になります。 Azure でホストされているアプリケーション、Web サイト、またはサービスにアクセスしても一覧表示されているアプリケーションにサインインしないエンド ユーザーは、MFA を使用する必要はありません。 エンド ユーザーの認証要件は、アプリケーション、Web サイト、またはサービス所有者によって制御されます。
マネージド ID やサービス プリンシパルなどのワークロード ID は、MFA 適用の影響を受けません。 自動化を実行するためにユーザー ID がサービス アカウントとしてサインインする場合 (スクリプトやその他の自動化されたタスクを含む)、適用が開始されたら、それらのユーザー ID は MFA でサインインする必要があります。 自動化にはユーザー ID は推奨されません。 これらのユーザー ID をワークロード ID に移行する必要があります。
適用が開始されたら、MFA を使用してサインインするために、非常時アクセス アカウントまたは緊急時アクセス アカウントも必要です。 これらのアカウントを更新して、パスキー (FIDO2) を使用するか、MFA の証明書ベースの認証を構成することをお勧めします。 どちらの方法も MFA 要件を満たしています。
適用フェーズ
MFA の適用は、次の 2 つのフェーズで実施されます。
フェーズ 1: 2024 年後半以降、MFA は Azure portal、Microsoft Entra 管理センター、および Microsoft Intune 管理センターにサインインするのに必要になります。 適用は、世界中のすべてのテナントに徐々に実施されます。 このフェーズは、Azure CLI、Azure PowerShell、Azure mobile app、IaC ツールなどの他の Azure クライアントには影響しません。
フェーズ 2: 2025 年初めから、Azure CLI、Azure PowerShell、Azure mobile app、IaC ツールへのサインインに対する MFA の適用が徐々に開始されます。 一部のお客様は、Microsoft Entra ID のユーザー アカウントをサービス アカウントとして使用できます。 これらのユーザー ベースのサービス アカウントは、ワークロード ID を使用した安全なクラウド ベースのサービス アカウントに移行することをお勧めします。
通知チャネル
Microsoft は、次のチャネルを通じてすべての Microsoft Entra グローバル管理者に通知します。
メール: メール アドレスを構成したグローバル管理者には、今後の MFA の適用と準備に必要なアクションがメールで通知されます。
サービス正常性通知: グローバル管理者は、Azure portal から追跡 ID が 4V20-VX0 のサービス正常性通知を受け取ります。 この通知には、メールと同じ情報が含まれています。 グローバル管理者は、サービス正常性通知をメールで受信するために登録することもできます。
ポータル通知: グローバル管理者がサインインすると、Azure portal、Microsoft Entra 管理センター、および Microsoft Intune 管理センターに通知が表示されます。 必須の MFA 適用の詳細については、ポータル通知がこのトピックにリンクされています。
Microsoft 365 メッセージ センター: メールおよびサービス正常性通知と同じ情報を含むメッセージが Microsoft 365 メッセージ センターに表示されます。
多要素認証の準備
アプリケーションに記載されている管理ポータルと Azure クライアントにアクセスするすべてのユーザーは MFA を使用するように設定する必要があります。 管理ポータルにアクセスするすべてのユーザーは、MFA を使用する必要があります。
以下のリソースを使用して、ユーザーの MFA を設定します。
- Microsoft Entra 多要素認証、および使用可能なさまざまな認証方法について説明します。
- 1 つ以上の MFA 方法に対してユーザーを有効にする
- より安全な フィッシングに強い MFA 方法を使用する
- 現在、テナントで MFA を必要としない場合は、次のいくつかのオプションを使用して設定できます (優先順に一覧表示されています)。
- 次の人々を対象に、条件付きアクセス ポリシー (レポート専用モードで開始) を使用します。
- すべてのユーザー
- レポート専用モードでは、例外を構成しないでください。 この構成は、Microsoft Entra MFA プログラムの適用パターンをより厳密に反映しています。
- Microsoft 管理ポータル (この Microsoft Entra MFA 適用の範囲内のポータルを含む)
- 多要素認証を要求、または、より細かい制御が必要な場合は、認証強度を使用します
- すべてのユーザー
- セキュリティの既定値群の有効化
- 次の人々を対象に、条件付きアクセス ポリシー (レポート専用モードで開始) を使用します。
- MFA の構成とデプロイに役立つ情報を確認します。
- Microsoft Entra 多要素認証を使用した安全なサインイン イベント
- Microsoft Entra 多要素認証展開をプランする
- Microsoft Entra MFA のフィッシングに強い MFA 方法について説明します
- Microsoft Entra ID MFA ウィザードを使用する
- MFA を使用して、あるいは使用せずに Azure にサインインしているユーザーを特定するには、次のリソースを使用します。
- PowerShell を使用して、ユーザーとその認証方法の一覧をエクスポートする
- 多要素認証ギャップ ブックを使用する
- クエリで次のアプリケーション ID を使用します。
- Azure portal: c44b4083-3bb0-49c1-b47d-974e53cbdf3c
- Azure CLI: 04b07795-8ddb-461a-bbee-02f9e1bf7b46
- Azure PowerShell: 1950a258-227b-4e31-a9cf-717495945fc2
- Azure mobile app: 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa
外部認証方法と ID プロバイダー
外部 MFA ソリューションのサポートは、外部認証方法プレビュー段階であり、MFA 要件を満たすために使用できます。 従来の条件付きアクセスのカスタム制御プレビューでは、MFA 要件は満たされません。 Microsoft Entra ID で外部ソリューションを使用するには、外部認証方法プレビューに移行する必要があります。
Active Directory フェデレーション サービス (AD FS) などのフェデレーション ID プロバイダー (IdP) を使用していて、MFA プロバイダーがこのフェデレーション IdP と直接統合されている場合は、MFA 要求を送信するようにフェデレーション IdP を構成する必要があります。
適用の準備により多くの時間を要求する
一部のお客様は、この MFA 要件の準備により多くの時間を必要とする場合があるでしょう。 Microsoft では、複雑な環境や技術的な障壁を持つお客様に対して猶予期間を設けています。
2024 年 8 月 15 日から 2024 年 10 月 15 日までの間に、グローバル管理者は Azure portal にアクセスして、テナントの適用開始日を 2025 年 3 月 15 日に延期できます。 グローバル管理者は、このページで MFA の適用の開始日を延期する前に、昇格されたアクセス権を持っている必要があります。
グローバル管理者は、適用の開始日を延期したいすべてのテナントに対してこのアクションを実行する必要があります。
Azure portal などの Microsoft サービスにアクセスするアカウントは、脅威アクターにとって非常に価値のあるターゲットであるため、適用を開始する日を延期すると、追加のリスクが発生します。 すべてのテナントで MFA を今すぐ設定し、クラウド リソースをセキュリティで保護することを推奨します。