はじめに
はじめまして。2月に入社したゆうすけと申します。
IDチームの配属です。Entra IDやOkta等のIdPを中心にブログを掲載予定です。よろしくお願いします。
今回は「Microsoft Entra ID」の認証方法ポリシーの移行について、ざっくりとわかりやすくご紹介します。
2025年9月30日にレガシー(従来)MFAとSSPRポリシーが非推奨になるというMicrosoftの発表があり、これに伴ってお客様の環境にどんな影響があるのか、またどのように対応すればよいのかをまとめました。移行のポイントを押さえて、安全かつスムーズに切り替えていきましょう!
参考URL:
Microsoft Entra ID の認証方法を管理する (公式ドキュメント)
jpazureid GitHub ブログ: MFA と SSPR を新しい認証方法ポリシーに移行する方法
そもそもどんな影響があるの?
- 対象サービス
Microsoft Entra ID(旧Azure AD)でサインインするあらゆるサービスが影響を受けます。 - 影響の概要
今までMFA(多要素認証)とSSPR(セルフサービスパスワードリセット)は別々の画面で管理していましたが、2025年9月30日以降は、これらのレガシーポリシーが非推奨になり、新しい「認証方法ポリシー」に統合・一元管理されます。
移行を済ませていないと従来の認証方法が利用できなくなり、従来の認証方法でサインインできないなどのトラブルが発生する恐れがあるため、必ず移行が必要となります。
移行の手順はどんな感じ?
移行作業は大きく3つのステップに分かれています。[移行前] → [移行が進行中] → [移行が完了済み] の順に進め、それぞれ数十分~1時間ほどで完了可能です。まずはステータスを[移行前]から[移行が進行中]へ切り替えて新しい認証方法ポリシーをしばらく運用し、問題がなければレガシーポリシーをオフにしてから[移行が完了済み]に変更することで移行は完了となります。
2025年9月が近くなると検証期間が短くなり、安全な移行が難しくなるのでお早めの対応をおすすめします。
(1) 現在の設定状況をチェック
新しい認証方法ポリシーに移行する際、現在の設定と一致するように構成するために現在使用している認証方法を確認します。
- レガシーMFAポリシーの確認
- 「ユーザー」→「すべてのユーザー」→「ユーザーごとのMFA」→「サービス設定」へ
- 有効になっている検証オプション(電話への発信、モバイルアプリ通知など)をメモする
- レガシーSSPRポリシーの確認
- 「保護」→「パスワードリセット」→「認証方法」へ
- 有効になっている検証オプション(電子メール、モバイルアプリの通知など)をメモする
- 新しい認証方法ポリシーの確認
- Microsoft Entra IDポータルで「保護」→「認証方法」→「ポリシー」から、現在の設定状況を把握する
注意:
レガシーポリシーと新しい認証方法ポリシーでは、名称が異なります。対比表を確認ください。
https://learn.microsoft.com/ja-jp/entra/identity/authentication/how-to-authentication-methods-manage#review-the-legacy-mfa-policy例)
モバイルアプリの通知 → Microsoft Authenticator
電話へのテキスト メッセージ → SMS
(2) 実際に移行作業をやってみる
現在の設定状況を基に移行作業を行います。
- Microsoft Entra IDポータル:「保護」→「認証方法」→「ポリシー」に移動し、移行状態を「移行が進行中」に変更
- 「自動ガイドの開始」で移行すると[移行前]に戻せなくなるので、手動でのステータス変更を推奨
- レガシーMFAポリシーの内容を新しい認証方法ポリシーへ移行(レガシーポリシーと同じように設定)
- レガシーSSPRポリシーの内容も新しい認証方法ポリシーへ移行(レガシーポリシーと同じように設定)
- しばらく運用して、ユーザーに影響がないか検証
- 問題がなければレガシーMFAおよびSSPRポリシーを無効にします
- 移行状態を「移行が完了済み」に変更
注意:
「移行が進行中」の状態では、レガシーと新ポリシーの両方が評価される(OR条件)ため新しい認証方法ポリシーで有効化されている認証手段が追加で使えるようになる場合があります。
「移行が完了済み」の状態では新しい認証方法ポリシーのみが評価されるので、移行完了前にきちんと設定を確認しておきましょう
FAQ
Q1. [移行が進行中] ってどんな状態?
A1.
- レガシーと新ポリシーが両方評価されている状態です。
- 既存の認証方法は引き続き利用できますが、レガシーポリシーと新ポリシーの構成が一致していない場合、新ポリシーで許可されている認証方法が「本来は使えないはずの方法」であっても利用できてしまう可能性がある点にご注意ください。
Q2. [移行が進行中] から[移行前]に戻せないの?
A2.
- 「自動ガイドの開始」で移行した場合は、[移行前]に戻せない仕様です。
- 手動でステータスを変更する場合は戻すことが可能です。
Q3. [移行が進行中] にすると、ダウンタイムはある?
A3.
- ダウンタイムはありません。
- レガシーポリシーで利用していた認証方法も引き続き使えます。
- ただし、新ポリシーで有効な認証方法も同時に使えるようになるので、想定外の事象がないか注意しましょう。
Q4. 新しい認証方法ポリシーでMFAとSSPRを分けて構成できないの?
A4.
- 新しいポリシーでは、MFAとSSPRに別々の認証方法を設定することはできません。
- 一度移行すると、MFAとSSPRは同じ設定(許可された認証方法)で運用する形になります。
Q5. レガシーポリシーの廃止はいつ?
A5.
- 2025年9月30日に廃止予定です。
- その時点で[移行が進行中]のままだと、従来の認証方法が無効になり、想定外の影響が起こる可能性があるので要注意です。
最後に
Microsoft Entra IDの認証方法ポリシー移行は、2025年9月30日までに必ず完了させる必要があります。早めに対応することで、充分にテスト・検証を行い、安全に移行ができます。ぜひ計画的に進めてください。ではまた!