MicrosoftがAzure Entra IDの認証方式に重大な変更を加えると発表した。この変更は一部のユーザーおよびIT管理者のパスワードリセット(セルフサービスパスワードリセット/SSPR)へのアクセスに直接影響を及ぼす可能性があり、対応を後回しにしていた組織は早急な確認が必要だ。
何が変わるのか
Microsoftは長らく「レガシー認証ポリシー」と「統合認証メソッドポリシー」の2つを並行運用してきた。今回の変更の核心は、この2本立ての構造を統合認証メソッドポリシーへ一本化していく方向性の強化だ。
これにより影響を受ける可能性があるのは主に次の2点だ。
1. SSPRでのMFA要件の厳格化
パスワードをリセットする際に要求される本人確認レベルが引き上げられる。従来は「秘密の質問」や「メールによるコード送信」だけで通過できたケースでも、今後はより強固な認証方法(Microsoft Authenticator、FIDO2キー等)が必要になる場合がある。
2. テナント全体のポリシー管理への移行
「ユーザーごとのMFA設定」という古い管理方式から、テナント全体で一元管理する条件付きアクセス(Conditional Access)ベースのポリシーへの完全移行が加速する。レガシーなユーザーごとMFA設定に依存している環境では、移行後に意図しないアクセス制限が発生するリスクがある。
なぜこれが重要か
この変更が単なる「機能アップデート」でない理由は、アイデンティティがセキュリティの中心軸となった現代の構造そのものに関わるからだ。
エンドポイントやネットワーク境界での防御が形骸化しつつある今、「誰が」「いつ」「どのような条件で」リソースにアクセスできるかを正確にコントロールすることが最重要になっている。パスワードリセットというプロセスは攻撃者にとって「アカウントを乗っ取るための合法的な入口」であり、ここに脆弱性が残ると他のゼロトラスト施策がすべて無意味化する。
MicrosoftがSSPRの認証要件を引き締める方向性は、この文脈で理解する必要がある。
実務への影響と対応ポイント
日本のIT管理者・エンジニアが確認すべき事項を整理する。
即時確認事項
- Entra ID管理センター → 認証方法 → 統合認証メソッドポリシーと従来のSSPR設定の現状把握
- 「ユーザーごとのMFA」が有効になっているアカウントの洗い出し(これがレガシー設定に依存している可能性が高い)
- SSPR登録状況レポートの確認(未登録ユーザーへの事前周知が必須)
移行時の注意点
- ヘルプデスクへのリセット依頼が一時的に急増する可能性がある。変更前にコミュニケーション計画を立てること
- 条件付きアクセスポリシーのテストはレポートのみモードで必ず事前検証する
- 特権アカウント(グローバル管理者等)はSSPRではなくPrivileged Identity Management(PIM)との連携で管理するのが正解
特にハイブリッド環境(AD + Entra ID)への注意
オンプレミスのActive DirectoryとEntra IDをハイブリッド同期している環境では、パスワードライトバックの設定が影響を受ける場合がある。Entra ConnectまたはCloud Syncの設定も合わせて確認しておくこと。
筆者の見解
この方向性は正しい。パスワードリセットという「認証の抜け穴」を塞ぐのは、ゼロトラスト実装において避けて通れない作業だ。
問題は「変更の方向性」ではなく「移行の複雑さ」にある。日本の大規模エンタープライズ環境では、何年もかけて積み上げた複雑なレガシー設定が混在していることが多い。統合ポリシーへの移行は技術的には正しくても、現場への影響調査と段階的な移行計画なしに進めると「突然ログインできなくなった」というインシデントに直結する。
Microsoftには、こういった破壊的変更をするなら移行ツールの充実と猶予期間の明確化をセットで提供してほしい。実力のある製品だからこそ、現場を混乱させずに進化できるはずだ。管理者が振り回されるような変更の出し方は、せっかくの技術的な正しさを台無しにする。
まずはEntra ID管理センターの「認証方法」セクションを今すぐ開いて現状確認することから始めよう。後回しにしていいタスクではない。
出典: この記事は Microsoft is making a major change to Entra ID authentication の内容をもとに、筆者の見解を加えて独自に執筆したものです。