Microsoftは5月16日(米国時間)、「Microsoft will require MFA for all Azure users」において、7月からAzureポータルのサインインに多要素認証(MFA: Multi-Factor Authentication)が必要になると発表した。この施策は段階的に実施され、原則として拒否することはできない。
多要素認証の必要性
働き方が多様化した近年、オフィスの外で働くことが珍しくなくなり、従業員はさまざまな場所から業務システムにアクセスする。そのような従業員の一部は安全ではないネットワーク、デバイス、パスワードを使用することがあり、故意ではないにしても不正アクセスの原因になることがある。このような不正アクセスからシステムおよびアカウントを保護するために、多要素認証が必要とされる。
Microsoftの調査によると、侵害されたアカウントの99.9%は多要素認証を設定していなかったという。多要素認証を設定したアカウントは攻撃の99.2%以上をブロックできるとして、効果的なセキュリティ対策の1つと評価されている。
セキュリティ対策の詳細
Microsoft AzureプロダクトマネージャーのNaj Shahid氏は、Azureポータルのサインインについて、詳細を次のように述べている。
- Azureポータル、CLI、PowerShell、TerraformにサインインしてAzureリソースを管理するすべてのユーザーは、多要素認証が必要となる
- 学生、ゲストユーザー、その他のエンドユーザーも多要素認証を必要とする。ただし、Azureでホストされるアプリ、Webサイト、サービスには適用されない。Azureでホストされるアプリ、Webサイト、サービスの認証ポリシーは、所有者により制御される
- サービスプリンシパル、マネージドID、ワークロードID、自動化に使用されるトークンベースのアカウントは除外される。緊急アクセス用管理者アカウント(別名:ブレークグラスアカウント)や特別な回復プロセスなど、特定のシナリオについては顧客の意見を募集している
- 「Microsoft Entra multifactor authentication overview - Microsoft Entra ID | Microsoft Learn」に記載されたすべての多要素認証メソッドがサポートされる
- オプトアウト(拒否する手段)はない。回避策が利用できない場合、例外プロセスが提供される。例外プロセスの詳細は、公式通知にて発表予定
- 2024年7月からAzureポータルへの段階的適用が開始される。Azureポータルへの適用完了後にCLI、PowerShell、Terraformへの適用が開始される
多要素認証の設定
MicrosoftはAzureユーザーに対し、多要素認証を速やかに設定するよう推奨している。多要素認証の設定はMicrosoft Entraの「MFAウィザード」からセットアップすることができる。