多要素認証 (MFA) 必須化！ 緊急アクセス用管理者アカウントのことを考えてみた

2024年10月15日以降、Microsoft Azure ポータル、Microsoft Entra 管理センター、Microsoft Intune 管理センターへのアクセス時に多要素認証 (MFA) の利用が義務付けられます。緊急アクセス用管理者アカウントを用意している場合にも、もれなく MFA の対象となるため対応が必要です。

緊急アクセス用管理者アカウントとは

緊急アクセス用管理者アカウント (BreakGlass アカウント) とは、普段は利用せずに非常時のみ利用する個人アカウントに紐づかない管理者アカウントのことです。
※ 詳細は以前書かせていただいた Micrsoft 365 に緊急アクセス用管理者アカウントを準備するをご覧ください。

緊急時にすぐに利用できるように、今までは MFA は設定非推奨でしたが、今回 Update により MFA の利用が義務化されました。

緊急アクセス用管理者アカウントの MFA

Microsoft 365 の MFA には、電話 (音声、SMS)、Microsoft Authenticator アプリケーション、ハードウェア トークンなど、さまざまな方法が利用できますが、認証強度が 「Best（高い）」 のものを利用することが推奨されています。特に緊急アクセス用管理者アカウントは、Microsoft 365 管理者の役割を持つことになるため、不正利用を防ぐためにも 「Best」 の認証方法の採用をおすすめします。

「Best」 の認証は パスワードレス認証となります。ユーザーアカウントやパスワードの入力が不要になるだけでなく、SMS やトークン コードの入力などの MFA と比べて、安全な認証を実現できます。

出典：Microsoft Entra ID で使用できる認証方法と検証方法

加えて、緊急アクセス用管理者アカウントの MFA は、緊急時に必ず利用できるように用意しておきたいため、懸念点を洗い出して精査することも重要です。

最後に

これらを考慮すると、緊急アクセス用管理者アカウントは 「FIDO2 Security Key」 の利用がよいのでは？ と私は考えてます。
皆さんが MFA 対応される場合の参考になればと思います。

実際に社内の緊急アクセスアカウントに設定してみましたので、次回は FIDO2 セキュリティ キーを利用した MFA 設定方法を備忘録としてご紹介します。