みち草

Azure中心にまとめる技術情報ブログ

新規Azure ADを作成したらMFAを強制された

はじめに

今回はAzure ADの話です。

先日、Azure ADを新規で作成する機会がありましたが、その際にMFA(多要素認証)を強制されました。

備忘も兼ねて原因と解除方法を紹介します。

目次

MFAの強制

起きたこと

先日、検証環境を用意するため、クレジットカードを用いてサブスクリプションを作成しました。

MFA1

その後、新規にAzure ADを作成し、既定のディレクトリから新規Azure ADへディレクトリ変更を行いました。

MFA2

新規Azure ADには社用組織アカウントを招待しており、それでログインしサブスクリプションを使おうとしたところ、MFAの設定画面が表示されました。
社用アカウントは元々MFA必須のため、このときはそれが原因かと思い特に気にしていませんでした。

MFA3

その後、検証用に新規に作成した組織アカウントすべてでも同様にMFA設定を求められ、さすがに何かしらの力が働いている...と思い調べたところ今回の設定に至りました。

MFA4

原因

原因はこれ、Azure ADのセキュリティデフォルトでした。

Azure Active Directory security defaults | Microsoft Docs

以下は上記サイトの抜粋です。

Microsoft では、誰もがセキュリティ既定値を利用できるようにしています。 目標は、すべての組織が追加の費用なしで基本レベルのセキュリティを確実に有効にできるようにすることです。 セキュリティ既定値は、Azure portal で有効にします。
---中略---
テナント内のすべてのユーザーは、Azure Multi-Factor Authentication サービスのフォームを使用して多要素認証 (MFA) に登録する必要があります。

ということで、近頃のAzure ADはセキュリティ強化のための設定が既定で有効化されており、それによりMFAがテナント内の全ユーザーに強制されます。

解除方法

今回のような単なる検証用途では都度対応するのが面倒である、そんな方のための解除方法を記します。

Azureポータルにて、[Azure Active Directory]の[プロパティ]を開きます。
一番下にある青文字の[セキュリティ既定値の管理]をクリックします。
セキュリティ既定値の設定が面が開くので[いいえ]を選びます。

MFA5

理由を問われるため任意に指定し[保存]をクリックします。

MFA6

通知が表示されれば変更完了です。

MFA7

これで解除完了です。

おわりに

様々な脅威にあふれる昨今、追加の料金なく、すべてのユーザーに対してMFAを設定しセキュリティを強化できるのは結構すごいことではないでしょうか。

今回は検証環境のため無効としましたが、実環境の場合には、有効としたままの利用も考慮する価値がある設定だと感じます。

ただ、私はこの設定の存在を知らずにいきなりMFAを求められ驚いたので、まずは同じような方に要否関係なく知ってもらえればいいなと思います。