「サインインを改善する」ポップアップにご用心
Microsoft 365へのサインインにおいて、パスワード入力後の多要素認証(SMSで通知された認証コード)を実施すると、以下画像のメッセージが表示されるケースがあります。先週、当社カスタマーサポート部門に複数の取引先から「Microsoft Authenticator アプリをインストールしないと先に進めなくなった」という問合せがあったため、原因と回避手段を紹介いたします。ご存知の内容でしたらご容赦ください。
調査したところ、上記メッセージが表示される原因はマイクロソフト社の「登録キャンペーンによる先進的で強力な認証の推進」でした、、、これだけだと何のことかわからないので詳しく解説します。
「登録キャンペーンによる先進的で強力な認証の推進」とは?
従来より、マイクロソフトは Microsoft 365についてのセキュリティを高めてもらうために、 多要素認証要素として Microsoft Authenticator アプリ(以下、Authenticator)で認証を行う運用を推奨しています。
日本マイクロソフトのサポートチームのブログによると、2023年5月に「システムが優先する MFA 機能」の一般提供が開始されました。例えば、あるユーザーが SMS と Authenticator の両方を登録して、既定がSMS だったとします。この場合「システムが優先する MFA機能」を有効にすることで、推奨する方法としてユーザーにAuthenticator が提示されます。
この機能は、既定で「 Microsoft マネージド 」(無効) に設定されていましたが、その後、登録キャンペーンにより、一部のテナントで「Microsoft マネージド」が自動的に有効化されているようです。
2023年7月からユーザーがより良い認証方法を登録できるように上記機能が改善(?)されました。主な変更点は以下2点です。
① ポップアップのスキップ回数に上限導入(3回まで)
② MFAの方法でSMS または音声を利用しているユーザーに対して、①の機能を自動的に有効
前置きが長くなりましたが、当社に問合せのあった取引先のテナントでは、
・ 登録キャンペーンの状態が、自動的に「Microsoft マネージド」(有効) になっていた
・Authenticator をインストールしていないユーザーに「サインインの改善」のポップアップが表示された
・ 該当ユーザーが3回スキップしたため、次から Authenticator をインストールしないと先に進めなくなった、という状況だった、ということになります。システム管理者にとってはありがた迷惑な話ですね!
Authenticator を利用しない場合の回避方法
組織のセキュリティポリシーによっては、何らかの理由や事情により、Authenticator アプリを登録しない(できない)ケースがあると思います。その場合は、以下の設定を行う事でポップアップを回避可能ですのでお試しください。
[Azure Portal] (portal.azure.com) > [Microsoft Entra ID] > [セキュリティ] > [認証方法] > [登録キャンペーン]
さいごに
SMS認証は導入が容易で、ユーザーにとって理解しやすい方法であるためMFAの方法として広く普及してきました。しかし、セキュリティの脆弱性(暗号化されていない場合が多く、第三者によって傍受される可能性がある等)が指摘されており、今日では安全な認証方法とはいえなくなりました。先のサポートチームのブログで紹介されていましたが、マイクロソフトの最近の MFA に関する調査研究 によると、SMS は悪意のある攻撃者を阻止する効果が、 Authenticator アプリと比較して40% 低いと結論づけられています。
近年、セキュリティのリスクを考慮して、一般企業においても、より安全な認証方法(アプリケーションベースの認証、ハードウェアトークン、バイオメトリクスなど)が採用される傾向にあります。皆様の組織が、SMS認証を既定とした運用を行っている場合、ユーザーを保護するために、より安全な認証方法(Authenticator アプリ、パスワードレス認証 など)の採用をご検討ください。
セキュリティ対策が重要なことはわかっているが何から手をつけてよいかわからない、そもそも現状が危険な状態かどうかも分からない...…という場合は、当社でもお手伝いができるのでお気軽にご相談ください!