Entraフリーライセンスにて、一般ユーザによるMicrosoft 365へのアクセスに対して、常にMFAを強制させる方法はないか
表題の件、質問を受けたので改めて確認してみました。
結論:なし
常にMFAを要求する方法はありませんが、セキュリティ規定値群という機能(Entraフリーライセンスで使える機能)を有効にしていると、MFAを要求するケースもあるようです。
セキュリティ既定値群とは
セキュリティの既定値群を有効にすると、下記のセキュリティ機能が一括で有効になります。
1. すべてのユーザーに対して、Azure AD Multi-Factor Authentication への登録を必須にします。
2. 管理者に多要素認証の実行を要求します。
3. 必要に応じてユーザーに多要素認証を要求します。
4. レガシ認証プロトコルをブロックします。
5. Azure portal などへのアクセスに多要素認証を要求します。
セキュリティ既定値群を有効にした場合、Azure Portalや管理センターなどの管理者向けサービスにアクセスした際、MFAを要求されますが、Microsoft 365にアクセスした際は、必ずしもMFAは要求されません。
セキュリティ既定値群の「3. 必要に応じてユーザーに多要素認証を要求します。」とは
MSドキュメントに記載が見つからなかったので、MSサポートへ確認してみました。以下がMSサポート回答です。
——————————————————————————————————————-
Azure Portalや管理センターなどの管理者向けサービス以外のサービス(Microsoft 365など)へのアクセスは、Microsoft Entra ID が判断し、”必要に応じて” MFA が要求されるようになります。
つまり、M365(Web)へアクセスする際には常にではなく必要に応じて MFA が要求される動作となります。
※セキュリティ規定値群で一般ユーザーがサインイン時に MFA を求められる条件の詳細は非公開となっておりますため詳細についてはお伝えできないことご了承いただけますと幸いです。
一般ユーザによるMicrosoft 365へのアクセス時に、常ににMFAを強制させる方法
条件付きアクセスポリシーで実現できます(王道ですね)。
こちらは、Entra ID P1 (有償)以上のライセンスが必要になります。