Microsoft Entra ID、外部MFAがGA（一般提供開始）——サードパーティMFAをConditional Accessに統合、2026年9月のCustom Controls廃止前に移行を

Microsoftは2026年3月、Microsoft Entra IDにおいてOpenID Connect（OIDC）標準に基づく外部MFA（External MFA）を一般提供（GA）として正式リリースした。これにより、組織が使用するサードパーティのMFAソリューションをConditional Access（条件付きアクセス）ポリシーと統合できるようになった。

外部MFAとは何か

従来のMicrosoft Entra IDでは、「Custom Controls」という機能でサードパーティ連携は可能だったものの、Conditional Accessポリシーとの統合が限定的で、細かなポリシー制御に制約があった。

外部MFAはこの制約を解消する。OIDCを通じてサードパーティのMFAプロバイダーと認証フローを統合し、Entra IDが認証要求を評価したうえでユーザーを外部プロバイダーに誘導する。検証後はEntra ID側で最終的なアクセス判断を下す——つまりポリシー制御の中枢はあくまでEntra IDに集約される設計だ。

設定と運用の仕組み

設定後、外部MFAはテナントの認証メソッドポリシーに「外部認証メソッド設定」として追加される。管理者は特定のユーザーグループへの適用・除外を柔軟に制御でき、組み込みの認証オプションと並べて管理できる。

外部プロバイダーが認証中にユーザー情報にアクセスするには、管理者の同意（Admin Consent）の付与が必要だ。この点はセキュリティ上の重要なポイントであり、実装前に社内ポリシーのレビューを行っておきたい。

MicrosoftのPrincipal Product Lead、Swaroop Krishnamurthy氏は「サインイン頻度とセッション制御を適切に調整すれば、再認証とユーザー生産性のバランスを取れる」とコメントしている。一方で「過剰な再認証はフィッシングリスクを高める可能性がある」とも警告しており、ポリシーの適切なチューニングが不可欠だ。

主なユースケース

外部MFAが特に力を発揮するのは以下のシナリオだ：

• M&A（合併・買収）シナリオ: 買収先企業が既存のMFAインフラを持っている場合、完全移行前の過渡期でもシームレスな認証統合が実現できる
• 規制・コンプライアンス要件: 特定のMFAソリューション使用を義務付けるセクター規制（金融・医療等）への対応
• 既存MFAインフラの維持: オンプレミスやSaaSで稼働中のMFAソリューションをEntra IDに統合し、ユーザー体験を統一する

【重要】2026年9月30日 Custom Controls廃止——移行は今すぐ着手を

既存のCustom Controls機能は2026年9月30日に廃止予定。現在使用中の設定は移行期間中は動作し続けるが、移行ガイダンスは廃止日前にMicrosoftが公開予定だ。

Custom Controlsを利用中の組織は早急に移行計画を立てることを強く推奨する。特に規模の大きい組織ではテスト・パイロット運用に相応の時間が必要になるため、「そのうちやる」は危険な先送りになる。

日本のエンジニア・IT管理者への実務インパクト

移行チェックリスト（Custom Controls利用中の場合）

• 現状把握: Entra IDの認証メソッドポリシーからCustom Controls設定を洗い出す
• 外部プロバイダーの対応確認: 利用中のサードパーティMFAベンダーが外部MFA（OIDC）に対応しているか確認
• テスト環境での検証: パイロットグループを設定して動作検証を実施
• ポリシーチューニング: サインイン頻度・セッション制御の再調整
• 本番移行と監視: ログ・サインインレポートで異常を早期検知

ゼロトラスト戦略との整合性

外部MFAはConditional Accessによる中央集権的なポリシー管理を維持したまま外部ソリューションと統合できる点で、ゼロトラストアーキテクチャとの相性が非常に良い。「認証はどのプロバイダーでも、ポリシー判断はEntra IDで一元化」という分離は、ネットワーク境界に依存しないIDベースのアクセス制御原則と自然に整合する。

筆者の見解

外部MFAのGA化は、Entra IDが企業のIDプラットフォームとして成熟していることを示す好例だと感じている。MFAの選択肢を外部に開きながらもポリシー制御をEntra IDに集約する設計は、M&Aや業界規制が絡む現実の企業IT環境をよく理解した実装だ。

ゼロトラスト推進の観点から言えば、「どのMFAを使うか」よりも「ポリシー評価と認可判断がどこで行われるか」のほうが本質的に重要だ。その中枢をEntra IDに置いたまま選択肢を広げられるのは理にかなっている。

ひとつ実務的な注意点を加えると、Admin Consentの管理とConditional Accessポリシーの再設計には相応の工数が伴う。Custom Controls廃止まで6ヶ月を切っているいま、日本の大規模エンタープライズが先送りするリスクは小さくない。廃止日という明確な締め切りがある以上、今月中に着手計画を立てることを強くすすめたい。Entra IDには正面から勝負できる実力が備わっている。その力を使いこなせるかどうかは、運用側の準備次第だ。

出典: この記事は Microsoft Entra ID: External MFA now generally available の内容をもとに、筆者の見解を加えて独自に執筆したものです。