2023 年 3 月の更新で AzureAD における MFA の優先的な手法をシステム側でコントロールする機能が追加されることになりました。
詳細は以下の Learn を読むとイメージが付くと思いますが、 2023 年 4 月に GA し、 2023 年 7 月にはこのコントロールが既定で有効になるという流れになったようです。
この優先度を変える機能では、安全性を軸に順番が決められるようになるようで、以下順序で 2 要素目が決められるとのこと。
個人的には証明書が一番強いかなと思っていたのですが、一時アクセスパスが最優先で、次いで証明書、 FIDO2 と続くようです。この辺りは順当な感じですね。
この機能、前述のように 7 月には自動的に利用できるようになるのですが、それより前に利用したい人は今から設定もできます。
設定は Graph Explorer を利用するのが簡単です。
https://developer.microsoft.com/en-us/graph/graph-explorer
ここで以下アドレスを PATCH で入力することで設定できるようになります。
https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
ただし、権限がない場合は以下のように失敗します。
これが出たら Modify permissions タブから permissions panel を起動しましょう。
ここで Policy.ReadWrite.AuthenticationMethod を Consent すれば設定や確認が行えるようになります。検索時は AuthenticationMethod で探すとよいでしょう。
これで認証設定とプロファイル読み込み、メンテナンス権限が Graph Explorer に付与されます。
今度は GET で動かしてみたところです。
https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
この systemCredentialPreferences の値が設定ですね。
状態と除外範囲、適用範囲の 3 つを JSON で流し込む形になります。
グループごとに適用できるのはうれしい機能ですね。
MFA は最近のクラウドへの攻撃などを考えると必須機能といえる状況かと思います。安全に Microsoft 365 を利用するためにも、こういった設定を行っておくことが重要ですね。
音楽:メイン・織田