トップ > Tech > Azure Active Directory の認証において多要素認証時に最適な認証方法が自動選択されます

Azure Active Directory の認証において多要素認証時に最適な認証方法が自動選択されます

Tech Azure Active Directory

Azure Active Directory の認証において多要素認証時に最適な認証方法が自動選択されるようになります。 この機能によって、サインイン時に多要素認証となる場合、適切な方法で認証が行われるようになります。

多要素認証時におけるリスクについて

現在、ほとんどのテナントでは多要素認証を利用しているかと思います。

多要素認証では、本人の持ち物であるデバイスや登録されている指紋を利用して追加の本人確認を行うことができます。悪意のある人がたとえパスワードを知っていたとしても本人確認ができないとサインインできないため、セキュリティが担保されます。

ただし、この「追加の本人確認」のやり方によっては、多要素認証を使っていたとしてもリスクが発生するケースがあります。具体的に見ていきましょう。

多要素認証の適切な利用例

  • 悪意のある人が ID とパスワードを入力しサインインを試みる
    • → デバイスを所持していないためサインインできない

基本的にはデバイスが本人の手から離れないことが前提となっています

多要素認証として登録されている電話番号が盗まれている場合

ここで多要素認証として電話番号が登録されていた場合

  • 悪意のある人がスマートフォンを盗み出しIDとパスワードを入力しサインインを試みる
    • → SMSへワンタイムパスワードが送られる
  • この時、スマートフォンを盗み出している場合、中に入っているSIMカードを別の端末に挿入し通知内容を閲覧することができます
    • ※スマートフォンが盗まれた場合はロックがかかっているため問題ありませんがSIMカードの場合抜き差しができるため、ほかのデバイスに入れた場合SMS受信が可能となります

このように登録されている多要素認証の認証方法によっては、悪意のあるユーザーがサインインを試み突破されるリスクがあります。

また、近年では、SMSは主デバイス(スマートフォン)で受け取ったものを別端末(PCやタブレット)で受け取るような機能もあります。

これらの機能によって、例えば家族で共有しているiPadやPCに多要素認証の通知が送られる可能性があります。これを利用して、本人ではない人が多要素認証を突破できる場合があります。

そのためSMS通知での多要素認証はリスクがあると考えられるようになってきました。

  • Twitter社もSMSへの多要素認証の通知はリスクととらえ有料プランのユーザー以外利用できなくなりました*1

Azure Active Directory へのサインイン時最適な認証方法が自動選択されるように

上記の問題に対処すべく、Azure Active Directory では、ユーザーの設定にかかわらず最適な認証法が自動選択されるようになります。

この機能は システム優先多要素認証(System-preferred authentication for MFA) と呼ばれ、現在利用可能となっています。

現在この機能については有効/無効が選択可能ですが、将来的には廃止となり、強制的に有効になる予定です*2

設定ページへのアクセス方法

  1. Entra管理センターへアクセス
  2. 保護とセキュリティ保護
  3. 認証方法
  4. 設定

システム優先多要素認証の設定手順

設定内容による機能について
  • Microsoft マネージド
    • マイクロソフトによって有効/無効 が制御されます(制御予定時期は後述)
  • 有効
    • 強制的に最適な認証方法の自動選択が有効となります
  • 無効
    • 最適な認証方法の自動選択が無効となります

アップデート予定時期

Microsoft マネージド設定では機能の有効/無効がマイクロソフトによって制御されます。

  • 2023年4月 無効 にされた状態で展開
  • 2023年6月下旬 有効 へ変更予定

現在優先される設定

この機能が有効になっている場合、設定されている場合以下の順序で多要素認証時に最適な認証法が自動選択されます。

この情報は2023年6月時点での最新情報となり今後変更が加わる可能性があります。詳しくは下記のリンクを参照ください。

システム優先多要素認証 - 認証方法ポリシー

  1. 一時アクセス パス
  2. 証明書ベースの認証
  3. FIDO2 セキュリティ キー
  4. Microsoft Authenticator プッシュ通知
  5. 時間ベースのワンタイム パスワード (TOTP)*3
  6. テレフォニー*4

筆者からのひとこと

本機能によって最適な認証方法が自動選択され、セキュリティ的に脆弱な多要素認証方法が回避されることとなります。

今回のアップデートを受けて、電話番号への通知自体をオフにすると認証できなくなってしまうユーザーが現れる可能性があるので、エンドユーザーへ問題があることを周知しつつセキュリティを強化していきましょう。

*1:Twitter Support

*2:メッセージセンターMC523051参照

*3:Microsoft Authenticator、Authenticator Lite、またはサードパーティ製アプリケーションからのハードウェアまたはソフトウェアの TOTP が含まれます。

*4:SMS と音声通話が含まれます。

PR:Microsoft 365 のアップデート情報をチェックし、重要情報をお伝えするJBSサービスのご紹介

JBSサービス"アップデートキュレーション for Microsoft 365"では、日々Microsoft 365 Message Centerの内容をチェックし、機械翻訳ではなく人間が読みやすい形での要約情報をお届けしています。ただ情報をお伝えするだけではなく、日本のシステム管理者が意識するであろうセキュリティ・ガバナンス面からのアドバイス、重要情報はPowerPoint形式でより分かりやすくお伝えするなどの工夫を行っております。

ただいま、30日間無料キャンペーンを行っておりますので、是非お気軽にお試しください。

執筆担当者プロフィール
笠井 新

笠井 新(日本ビジネスシステムズ株式会社)

Microsoft 365周りを日々修練中。

担当記事一覧