Entra IDの認証を他のIDPに委ねた場合、他のIDPで、どの認証方法(パスワードのみ認証、MFA等)を用いているか、Entra IDはチェックしているか
結論:チェックしていない
“Microsoft Entra ID は、最終的な認証結果のみを信じる" というフェデレーション認証時の考え方に基づいています。
Microsoft Entra ID は、信頼関係を構成したサードパーティー製フェデレーションサービスへ認証処理を委任し、当該サービスから返却される認証結果を信頼することで、最終的なサインイン可否を判断します。
ただし、MFAを実施したかの結果は受け入れることができる
また、Microsoft Entra ID のサインイン時に MFA が要求される構成の場合、フェデレーション サービス側で MFA 実施済みであることを示すクレームが発行され、かつ Microsoft Entra ID が当該クレームを受け入れる設定となっている場合、Microsoft Entra ID 側の MFA 要件を満たすことが可能となります。
Microsoft Entra ID 側における MFA クレームの扱い (Microsoft Entra ID 側でも MFA 実施済と見なすか) については、一般的に “federatedIdpMfaBehavior" という値で制御が行われます。以下の公開情報が参考になります。
— 参考情報 ———————————-
Title : MFA のサポートを計画する
///一部抜粋
///一部抜粋
補足
マネージド / フェデレーション認証はカスタムドメイン単位で設定が行われるため、特定のユーザーのみ認証方法を切り替える(サードパーティのIDPに委ねる)ことはできません。