こんちには！テクバン サポート チームの白井です。

今回はちょっと注意が必要なプレビュー機能についてご紹介です。

 

MFAとは

---

MFA(Multi Factor Authentication)とは、Office 365 でアカウントを認証するときに
パスワードに加えてワンタイムのコードや電話(コール)での確認など、
もう一つの要素を使ってユーザーを認証する仕組みです。

これにより、万が一パスワードが漏えいしてしまっても、
なりすましなどを防ぐことができることがあるので、
Office 365のセキュリティ強化に有効な仕組みといえます。

MFAポリシーとは

---

なりすましや第三者からのアカウント乗っ取り攻撃には有効なMFAですが、
現在のところOffice 365 では標準で有効にはなっていません。

これを既定の設定にしてしまおう、というのが
「MFAポリシー(Baseline policy: Require MFA for admins (プレビュー)」です。

現在のところ「for admins」とあるように、Office 365の管理者に対してのみ
有効なポリシーですが、これが適用されると多要素での認証が必要になります。

プレビューですので正式機能ではないのですが、
「将来、ポリシーを自動的に有効化」されるように設定されています。

適用対象の管理者は
・全体管理者
・Exchange管理者
・SharePoint管理者
・セキュリティ管理者
・条件付きアクセス管理者
となっています。

ポリシーを適用しない方法

---

セキュリティレベルがあがるポリシーですが、
「うちは使わないからいいや」とそのままにしておくと、
どこかのタイミングで有効化されてしまいます。

管理者アカウントなのでセキュリティは高める必要はありますが、
日々の運用などを考慮すると強制的に適用されるのは困る、
というユーザーもいらっしゃるかと思います。
＃ExchangeやSharePointなどのサービス管理者も対象となっているため、
それらを使ったOffice 365以外の連携サービスや外部サービスと連携するWebパーツなどが
動かなくなることも考えられます。(ID+パスワード以外の認証プロセスが増えるため）

 

そこで、今回はポリシーを適用しない方法をご紹介します。

 

1.まずは、Office 365 に管理者でサインインし、「管理センター」から

「Azure Active Directory」をクリックして、Azure ポータルにアクセスします。

 

 

 

 

 

 

2.「Azure Active Directory 管理センター」に移りますので、
左メニューにある「Azure Active Directory」をクリックします。

 

 

 

 

3.「Azure Active Directory」のメニューが展開されますので、
今度は下の方にある「条件付きアクセス」をクリックします。

 

 

 

 

 

4.「条件付きアクセス」のポリシーが表示されますので、
「ポリシー」をクリックして一覧を表示します。
この中に、「Baseline policy: Require MFA for admins(プレビュー)」があります。
これをクリックすると、ポリシーの設定が開きます。

 

 

 

 

 

5.ポリシーの設定は既定で「将来、ポリシーを自動的に有効化」にチェックがついていると思いますので、
「ポリシーを使用しない」をチェックし「保存」をクリックします。

 

 

 

 

 

これで完了です。
5. の場面で、ユーザー単位で除外する設定もできますので、
「全体管理者だけは適用するけどそれ以外は除外する」などの
設定をすることも可能です。このあたりは運用に併せて適宜設定されるとよいかと思います。

 

最後に

---

おそらく、Microsoftとしては将来的にすべてのユーザーに対して
既定でMFAを有効にするのだろうと思いますが、
やはり日々利用するサービスで認証の手間が増えるのは、
利用者からすると不便に感じることもあるかと思います。

ただ、近年では海外からのアタックを受けたり、推測しやすいパスワードを使っていたために
第三者にログインされてしまった、などの事象も耳にしますので、
セキュリティレベルはできる限り高くしたいものですね。

今回の手順で設定を有効に戻すこともできますので、
MFAをどうやって運用するかを検討の上、
再有効化してセキュリティを強化することも必要かと思います。

以上、「Office 365 管理者へのMFAポリシー強制」についてご紹介でした。