マイクロソフトはいつの時代も、認証を中心としたセキュリティに力を注いでいますが、最近は Microsoft Authenicator や Windows Hello for Business を中心とした多要素認証の在り方を特に意識しているように思っていたのですが、 2023 年 2 月 27 日より Microsoft 365 で Microsoft Authenicator を利用している場合、番号入力が必須となるようです。
以下の Azure AD セキュリティ画面にその旨が記述されていました。
https://portal.azure.com/#view/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/~/AdminAuthMethods
この設定が行われていない場合、 Microsoft Authenticator のサインイン時に番号選択であったり、許可するボタンの押下のみだったりと、ユーザーのチェックが簡単になり、おざなりな対応を行ってしまいやすくなるという弊害があったのです。
更にこの画面では認証要求を行っているアプリ名や IP ベースの場所通知機能も有効化できるようになっていました。
この 2 つは利用できることを認識できていなかったので、これを機に有効化してみました。
すると Microsoft Authenticator でのサインイン時にアプリ名 ( Edge から Azure Portal へのサインインでした)と場所( IP ベースなので近県が正しいのですが、埼玉となっていました)が表示されました。
若干画面サイズが日本向きではないのか、スクロールが必要となっているのが微妙なところですが、ここまでやってもらえば間違えてサインインということはほぼなくなりそうですよね。
この Microsoft Authenticator を利用し、サインイン時の URL チェックを行っておけばとりあえずは安心です。(クライアント認証を用いないため、プロキシ動作となる AiTM には弱いんですよね。)
セキュリティは数年でトレンドが変わっていくものなので、これといったベストプラクティスはないのが残念ですが、時々の最新を追っていくことが重要な要素となっています。
この機能、早めに利用したほうがよさそうですね!
音楽:Dog Fight