Microsoft 365 はクラウドシステムなので、論理的にはいつだれがサインインを試みるか判断することが難しくなっています。
そのため、 Microsoft Authenticator などのサインイン難化のソリューションを用いて、できる限りの不正アクセスを行わせないようにセキュア化していく動きが重要です。
例えば Microsoft Authenticator を利用するときも以下のようにサインインを行った場所を表示させるなどで間違えたサインインを行わないように設定を行ったりします。
これ、例えばアメリカからサインインがされそうになっても表示されるというものだったのですが、 2023 年 9 月よりこの仕様が変更となるようです。
メッセージセンターにこの辺りの説明が書かれていました。
この変更によって先ほどの例のようにアメリカなどの IP からアクセスが来たときには認証依頼の通知が来ないという動きとなるようです。
これを見ると通知が来ないだけなので、正規ユーザーがアクセスしたときは自ら Microsoft Authenticator を開いてアクセスしていくのかと思われます。
Microsoft Entra ID P2 があれば自動的な拒否などまで行けるのですが、この非通知だけでもかなりの問題が防げるように感じますね。
特に設定などいらないようなので、動きが変わることだけは覚えておくとよいでしょう。
音楽:深い緑のベルベット