Microsoft Azureの管理者は多要素認証によるサインオンが必須に。今年（2024年）7月から段階的に開始

マイクロソフトは今年（2024年）7月から、Microsoft AureのAzureポータルやCLIなどの管理関連の操作を行うユーザーに多要素認証によるログインを要求することを明らかにしました。

5月14日付けとして公開されたブログ「Microsoft will require MFA for all Azure users」（マイクロソフトはすべてのAzureユーザーに多要素認証を要求する予定です）で、次のように説明されました。

This July, Azure teams will begin rolling out additional tenant-level security measures to require multi-factor authentication (MFA). Establishing this security baseline at the tenant level puts in place additional security to protect your cloud investments and company.

今年7月、Azureチームはテナントレベルの追加セキュリティ対策として多要素認証（MFA）の要求を展開していく。テナントレベルでこのセキュリティのベースラインを確立することで、クラウド投資と企業を保護するためのセキュリティがさらに強化される。

しかしこのブログのタイトルが「すべてのAzureユーザーに多要素認証を要求する」と、まるでエンドユーザーに至るすべてのAzureユーザーが対象のような表現であったこと、加えて本文の説明が「テナントレベルの追加セキュリティ対策として多要素認証（MFA）の要求を展開していく」という非常に分かりにくい表現だったことが混乱を生みました。

分かりにくい説明で混乱が広がり、コメント欄で補足説明

ブログのコメント欄には「一体どこまでのAzureユーザーが多要素認証を要求されるのか？」「Azureでホストされたアプリケーションの一般ユーザーまで多要素認証が必要になるのか？」などの多数の質問コメントが寄せられることになったのです。

その結果、コメント欄で具体的な補足説明が追加され、多要素認証が要求されるのは次のように、Azureポータル、Azure CLI、PowerShell、AzureリソースをTerraformで管理する場合などの、管理に関連する操作を行うユーザーがサインオンする場合であることが明らかになりました。

Scope: All users signing into Azure portal, CLI, PowerShell, or Terraform to administer Azure resources are within the scope of this enforcement.

多要素認証として利用可能な手段が以下の通りであることも分かりました。

• Microsoft Authenticator
• Authenticator Lite (in Outlook)
• Windows Hello for Business
• FIDO2 security key
• OATH hardware token (preview)
• OATH software token
• SMS
• Voice call

計画としては自動化スクリプトに影響を与える可能性があることを考慮し、7月からまずAzureポータルのサインインに関して多要素認証を必須都市、その後CLI、PowerShell、Terraformへと段階的に展開していくとしています。

今後、関連するユーザーには電子メールや通知を通じて詳細な情報やスケジュールが事前に提供される予定です。