Microsoftは2026年7月13日、Entra ID(旧Azure AD)の多要素認証(MFA)において、SMSワンタイムコードと音声通話による認証方式を2027年2月1日をもって提供終了すると発表した。管理者向けメッセージセンター通知(MC1426371)で明らかにしたもので、Microsoft自身がホストするSMS・音声認証サービスが姿を消し、以降はパスキーが既定の認証方式となる。
何が終了し、何が変わるのか
現在Entra IDでは、MFAチャレンジの選択肢としてMicrosoftが無償でSMSワンタイムコードや音声通話の確認コードを送信している。この仕組みが2027年2月1日で終了する。それでもSMS・音声認証を続けたいテナントは、2026年9月18日から提供されるMicrosoft Security Store経由でテレコムプロバイダーのサービスを別途購入する必要がある。「無料でついてくる」認証方式ではなくなるわけだ。Microsoft Authenticatorアプリやパスキーは対象外で、引き続き無償で使える。
なぜ電話認証を切り捨てるのか
SMS・音声によるMFAは、共有シークレットと公衆電話網に依存する認証方式で、SIMスワッピング(攻撃者が携帯キャリアを騙して被害者の番号を自分のSIMに移す手口)やメッセージ傍受、番号の再割り当て、ソーシャルエンジニアリングによる突破が以前から知られていた。パスキーは公開鍵暗号方式のため、こうした攻撃への耐性が格段に高い。
Microsoftは2024年時点でMFA応答の44%がSMS・音声経由であり、SMSはAuthenticatorアプリより突破される確率が40%高いというデータを示している。管理者向けMFA必須化以来、段階的に電話認証からの移行を促してきたMicrosoftだが、今回はいよいよ「終了日」を明示した格好だ。
移行スケジュールとテナントの準備
2026年9月からEntra IDはSMS・音声利用者に対して自動的にパスキーを有効化し、登録キャンペーンを「Microsoft managed」に設定してパスキー作成を促す。ユーザーは一時的にスキップできるが、最終的には登録が必要になる。2027年2月1日以降、準備が整っていないユーザーはMFAチャレンジに応答できずサインインできなくなる可能性があり、ヘルプデスクへの問い合わせ増加は避けられないだろう。対象ユーザーの洗い出しには、Microsoftが提供する「passwords and authentication methods report」PowerShellスクリプトが使える。
実務への影響
日本企業のEntra ID管理者にとって、これは対岸の火事ではない。現場作業員や非デスクワーカー向けにSMS認証を採用している企業、取引先・協力会社アカウントでSMSを既定にしている企業、古い条件付きアクセスポリシーのままMFA方式を限定していないテナントは要注意だ。まずは前述のPowerShellレポートで対象アカウントを棚卸しし、パスキー対応デバイス(Windows Hello、iOS/AndroidのFIDO2対応、セキュリティキー等)の可用性を確認したい。17か月の猶予は十分に見えるが、非デスクワーカーへのデバイス展開や取引先への周知には想像以上に時間がかかる。年内に移行計画を立てて動き出すのが賢明だ。
筆者の見解
今回の発表は、素直に評価できる判断だと思う。SMSや音声通話は仕組み上どうしても攻撃の余地が残る認証方式で、SIMスワップ被害のニュースは以前から後を絶たない。ゼロトラストの観点でも認証層の強度を底上げする今回の動きは筋が通っている。
好感が持てるのは、いきなり「禁止」にするのではなく、自動でパスキーを有効化しつつ登録キャンペーンで気づかせ、猶予期間を設けて段階的に移行させる設計になっている点だ。ユーザーが一番使いやすいと感じる方式が結果的に一番安全な方式になる——これがセキュリティ施策の理想形で、Microsoftはこの手の「使ってもらう工夫」に関しては昔から強い。応援したくなる部分だ。
一方で、日本の大企業の現場を見ていると、SMS認証に頼っているアカウントが今でも相当数残っているのが実情だ。昔ながらのセキュリティ運用と中途半端なゼロトラスト導入が混在したテナントでは、今回のような「土台からの変更」に対応しきれず、2027年2月に駆け込みで慌てる組織が出てくるのは目に見えている。今のうちから対象アカウントを洗い出し、パスキー移行を粛々と進めておくことをお勧めしたい。正面から準備すれば怖くない変更のはずだ。
出典: この記事は Microsoft to Stop Providing Telephony-Based Authentication Methods for MFA in February 2027 の内容をもとに、筆者の見解を加えて独自に執筆したものです。