Microsoft Entraの2026年5月アップデートが公開され、パスキー運用の柔軟性向上と、レガシー認証の完全廃止という2つの重要な変更が同時に動き始めた。特に後者は「いつかやらなきゃ」と先送りしてきた組織に対する事実上の強制終了通知だ。認証基盤の刷新を後回しにしてきた日本のIT部門にとって、今月は明確な転換点となる。
パスキープロファイルとグループベース管理の導入
今回の目玉機能のひとつが「パスキープロファイル」だ。これまでEntra IDのパスキー設定はテナント全体で一律に適用されていたが、今後はプロファイル単位で設定を定義し、グループに割り当てる形で管理できるようになる。
具体的には、デバイスの種別やリスクレベル、職種に応じて異なるパスキーポリシーを設定できる。たとえば特権ユーザーグループには厳格なFIDO2キー要件を、一般ユーザーグループにはスマートフォンのパスキーを許可する、といった細粒度の制御が可能になる。大規模組織や多様なデバイス環境を持つ企業にとって、これは運用負荷を大きく下げる改善だ。
全認証手段を失ったユーザーのアカウント復旧
あまり注目されていないが、実務的に重要な機能も追加予定だ。登録済みの認証方法をすべて失ったユーザー(デバイス紛失・故障など)に対する、管理者介在型のアカウント復旧フローが整備される。
これまで「全MFA手段を失ったユーザーの救済」はヘルプデスク業務の中でも工数がかかるケースのひとつだった。専用フローが標準化されることで、対応品質のばらつきを減らせる。
レガシー認証の永久ブロック開始(2026年5月〜)
今回の変更の中で最もインパクトが大きいのは、Basic認証をはじめとするレガシー認証プロトコルの永久ブロックだ。これまでも段階的な非推奨化が進んでいたが、2026年5月をもって完全に遮断される。対象はExchange Online、SharePoint Online、Entra IDに対するレガシープロトコルへの接続全般だ。
移行先はOpenID Connect(OIDC)とOAuth 2.0。モダン認証へ移行できていないアプリケーション、とりわけ古い業務システムや自動化スクリプトが接続を試みている場合、今月から突然エラーになる可能性がある。
実務への影響——日本のIT管理者が確認すべきこと
1. レガシー認証の利用状況を今すぐ確認する Entraの「サインインログ」でクライアントアプリのフィルターを使えば、レガシープロトコルを使っている接続元を特定できる。Entra IDのサインインログ > フィルター「クライアントアプリ」> レガシー認証クライアントで絞り込みが可能だ。気づかずに動いているバッチ処理や監視ツールが意外に多い。
2. パスキープロファイルの設計を先回りしておく 現時点でパスキー展開を検討している組織は、グループ設計と合わせてプロファイル設計を行う絶好のタイミングだ。後から分割するより、最初から役割別に整理した方が運用が楽になる。
3. アカウント復旧フローをヘルプデスクに展開する 復旧機能が正式リリースされたら、マニュアル更新とヘルプデスクへの周知を早めに行いたい。特に人事異動や入退社が集中する時期の直前に整備しておくと効果的だ。
筆者の見解
正直に言えば、セキュリティ系の話題は細かい仕様が多くて得意分野ではない。だが今回のレガシー認証ブロックについては、方向性として完全に正しいと思っている。
ゼロトラストを本当に実現しようとするなら、「誰でもどこからでも接続できてしまう古いプロトコル」を残しておくことは根本矛盾だ。VPNで境界を作って「内側は安全」と思い込む時代はとっくに終わっている。レガシー認証の存在はその典型例で、廃止は遅すぎたくらいだ。
一方で日本の大企業の現場を見ていると、ゼロトラストへの移行を進めながら、古いセキュリティモデルのシステムが隅に残り続けている状況が少なくない。パッチワーク的な移行が積み重なって、全体として非常に複雑な構成になっているケースも多い。今回の強制ブロックが、そういった積み残しに向き合うきっかけになるなら、むしろ歓迎だ。
パスキープロファイルのグループ管理については、Non-Human Identities(NHI)の管理体制を整える流れとも親和性が高い。自動化を推進するには、人間と機械が使う認証をきちんと分けて管理できる基盤が不可欠で、その基盤が少しずつ整備されてきていると感じる。Entraがこの方向で機能を積み重ねてくれていることは、素直に評価したい。
出典: この記事は What’s New in Microsoft Entra: May 2026 の内容をもとに、筆者の見解を加えて独自に執筆したものです。