以前に紹介した、MFA関連です。
本アップデートの内容としては、展開が9/25から始まって10/20に実行されるという内容で、9/15から始まるというアナウンスが間違っていたという修正です。
以前に取り上げていなかったのですがメッセージ本体の内容は、上記の以前の記事にもある通り、電話回線を使用したSMSや音声認証はMFAとして最弱なのでMSが提供するイケテルMicrosoft Entra(昔のAzure Active Directory)経由でのMFAに切り替えろというものです。
How this affects your organization:
以下の内容としては、
現在PSTNを利用しているユーザーに対して、Microsoft Authenticatorアプリを利用するように促すプロンプトが表示されます。3回までスキップできますが、その後はAuthenticatorアプリを登録しないと利用できなくなります。 とはいえ、一応管理者側でこの通知のON/OFFだったり細かい回数設定はいじれます。
といった感じです。
管理者がやるべきことである
What you can do to prepare:
以下ですが、
“We urge you to motivate your users to immediately stop using SMS and voice for MFA.”
とあります。基本的にMSはこの件に関してはとっととAuthenticatorアプリを入れろというスタンスを崩さず、ここもかなり強い言い方です。
urge = 本能・衝動という意味ですが、転じて、「そのレベルで強く求める」というかなり強い要請となります。管理者が設定しない限り抜け道はないし、セキュリティ的には強固になって手間もそこまで大きくないので、ユーザーには納得してもらいましょう。
以下元記事引用
メッセージの概要
Updated September 18, 2023: Deployment will begin September 25th and will run to October 20th. These dates replace the dates mentioned in the email “We’re enabling a stronger form of multifactor authentication beginning September 15, 2023” that you might have received. We apologize for the inconvenience.
Publicly switched telephone networks (PSTN) such as SMS and voice authentication are the weakest forms of MFA. To help your users move away from these less secure MFA methods we are introducing changes to the Microsoft managed state of the registration campaign (aka Nudge) feature in Microsoft Entra (previously Azure Active Directory).
When this will happen:
Starting late September 2023 and expect to complete by late October 2023.
How this affects your organization:
Users in your organization who are relying on PSTN (SMS and/or voice) for MFA will be prompted to use the Microsoft Authenticator app. Users can skip this prompt for a maximum of 3 times, after which registration of the app will be required by default. Note: admins can decide it they want to opt out of the “limited” 3 snooze configuration or give their end users the ability to snooze indefinitely.
What you can do to prepare:
We urge you to motivate your users to immediately stop using SMS and voice for MFA. You can take advantage of several new admin levers to achieve this such as system-preferred MFA and Microsoft Authenticator Lite, in addition to registration campaign. However, if some of your users require more time you can exempt them for now. Sign in as Global Administrator or Authentication Policy Administrator and go to Microsoft Entra > Identity > Protection > Authentication methods > Registration campaign and exclude these user groups.
Stay alert, stay secure!
Microsoft Identity & Network access (IDNA) product group
