Microsoft Entra ID の条件付きアクセスポリシーの「Microsoft マネージド ポリシー」がレポート専用(90日間)で追加されている場合は、自動でロールアウトされる時期です。
自組織のテナントにこのポリシーが追加されていたら、自動的に有効化される前に再確認しておいた方が良さそうです。
Auto Rollout of Conditional Access Policies in Microsoft Entra ID - Microsoft Community Hub
Microsoft は、増加するサイバー脅威に対してテナントのセキュリティを底上げしようとしており、これもその一環として、昨年11月の Ignite で3つの Microsoft マネージドポリシーを自動ロールアウトすることを発表していました。
Automatic Conditional Access policies in Microsoft Entra streamline identity protection | Microsoft Security Blog
テナントごとのライセンスや設定状況により条件が合致する場合は、昨年11月から12月後半にかけて、以下3つのポリシーが自動的に「レポート専用」で順次追加されています。
- Microsoft 管理ポータルへアクセスする管理者に多要素認証を必須とする
- ”ユーザーごとの MFA” 機能を使用しているユーザーに多要素認証を必須とする
- リスクの高いサインインに対して多要素認証と再認証を必須とする
これらのポリシーが追加された場合は、90日間の「レポート専用」となっているため、ユーザーへの影響はありません。
しかし、90日間が経過すると自動的に「有効化」されるため、放置していた場合は、ある日から突然、認証の挙動が変わることになり得ます。
緊急用のアカウントやサービス アカウントなどを除外しておかないと、不測の事態になりかねません。
これらのポリシーは、テナントごとの状況と適用タイミングがまちまちなため、個別に自テナントで確認する必要があります。
90日の期限が切れる前に確認し、ポリシーを試して有効化するか、個別にポリシー設定している場合は無効化しておくなど、能動的な操作をしておくことがおススメされています。
詳しい内容については、11月頃の以下の日本語ブログに詳細に記載されています。
Microsoft マネージド条件付きアクセス ポリシー | Japan Azure Identity Support Blog
(参考)
Microsoft マネージド条件付きアクセス ポリシーを使用してリソースをセキュリティで保護する - Microsoft Entra ID | Microsoft Learn
