今回は、 Microsoft Entra IDのレガシー多要素認証(以下MFA)とレガシーセルフパスワードリセット(以下SSPR)が2025年9月30日に非推奨となるため、新しい認証方法ポリシーの移行方法についてご紹介します。
現在、企業全体でセキュリティ強化が求められる中、認証方法の管理が複雑化している企業も多いと思います。
その一例として、多要素認証(以下MFA)とセルフパスワードリセット(以下SSPR)の認証方法は別々に管理されているため、管理が複雑で管理者の負担が大きくなっているのが現状です。
しかし、今回新しい認証方法ポリシーに移行することで一元管理が可能になります。また、レガシーポリシーでは使用できなかった認証方法も使えるようになります!これにより、効率化とセキュリティ強化が実現できるため、今回は移行方法をご紹介します!
目次
- 1.現在設定しているポリシーの確認
ーレガシーMFAポリシーの設定確認 - ーレガシーSSPRポリシーの設定確認
- 2.新しい認証方法ポリシーの設定状況を確認
- 3.移行開始
ー移行状況の確認 - ーレガシーMFAポリシーを認証方法ポリシーへ移行
- ーレガシーSSPRポリシーを認証方法ポリシーへ移行
- 4.移行完了
- 5.まとめ
1.現在設定しているポリシーの確認
レガシーMFAポリシーの設定確認
1.Microsoft Entra 管理センターを開き、「ユーザー」のプルダウンを開き「すべてのユーザー」をクリックします。
2.右上の三点リーダーを開き「ユーザーごとのMFA」をクリックします。
3. 「サービス設定」をクリックします。
4. 「検証オプション」の項目でチェックが入っている認証方法が、現在のレガシーMFAポリシーの設定です。
レガシーSSPRポリシーの設定確認
1.Microsoft Entra 管理センターから、「保護」のプルダウンを開き、「パスワードリセット」をクリックします。
2. 「認証方法」の「ユーザーが使用できる方法」の項目でチェックが入っている認証方法が、現在のレガシーSSPRポリシーの設定です。
2.新しい認証方法ポリシーの設定状況を確認
移行することで先ほど確認したMFAとSSPRのポリシーを一つの画面で管理することができます。
1.Microsoft Entra 管理センターから、「保護」のプルダウンを開き、「認証方法」をクリックします。
2.こちらの画面で新しい認証方法ポリシーを確認することができます。
既定ではほとんどの設定の有効状態が 「いいえ」となっています。
2025年9月30日以降はこの画面で設定されている認証方法が優先されるため、移行が必要であることがわかります。
各レガシーポリシー設定に対応する新しい認証方法ポリシーは以下の通りです。
MFA
| レガシーポリシー | 対応する認証方法ポリシー |
| 電話への連絡 | 音声通話 |
| 電話へのテキスト メッセージ | SMS |
| モバイル アプリによる通知 | Microsoft Authenticator |
| モバイル アプリからの確認コードまたは ハードウェア トークンからの確認コード | サード パーティ製のソフトウェア OATH トークン ハードウェア OATH トークン Microsoft Authenticator |
SSPR
| レガシーポリシー | 対応する認証方法ポリシー |
| モバイル アプリの通知 | Microsoft Authenticator |
| モバイル アプリ コード | Microsoft Authenticator サード パーティ製のソフトウェア OATH トークン |
| 電子メール | メールOTP |
| 携帯電話 | 音声通話 SMS |
| 会社電話 | 音声通話 |
| 秘密の質問 | 秘密の質問(未公開) |
3.移行開始
移行状況の確認
次に現在の認証方法ポリシーの移行状態を確認します。
1.先ほど新しい認証方法ポリシーを確認した「認証方法」のページから「移行の管理」をクリックします。
2. 右側に「移行の管理」が表示されます。
「移行前」であることを確認します。
※「移行の管理」の各オプションで優先されるポリシーは以下の通りです。
| 移行の管理のオプション | 種類 | 参照されるポリシー |
| 移行前 | MFA | 認証方法ポリシーとレガシー MFA ポリシー |
| SSPR | レガシー SSPR ポリシーのみ | |
| 移行が進行中 | MFA | 認証方法ポリシーとレガシー MFA ポリシー |
| SSPR | 認証方法ポリシーとレガシー SSPR ポリシー | |
| 移行が完了済み | MFA | 認証方法ポリシーのみ |
| SSPR | 認証方法ポリシーのみ |
※「移行が完了済み」にするとレガシーポリシーで設定していた方法は使用できなくなるため、各ポリシーで有効にしていた認証方法を新しい認証法画面でも有効にする作業が必要になります。
レガシーMFAポリシーを認証方法ポリシーへ移行
手順1.現在設定しているポリシーの確認 で確認したレガシーMFAポリシーの設定内容を元に、新しい認証方法ポリシーを有効にしていきます。
1.「移行が進行中」を選択し「保存」をクリックします。
※表からもわかるように、変更してもレガシーポリシーと認証方法ポリシーの両方が使用可能です。
2.認証方法の画面から「SMS」をクリックします。
3.「有効化およびターゲット」タブから「有効にする」をオンにします。
4.ターゲットを選択し「保存」をクリックします。
※今回は「すべてのユーザー」を選択しています。
5.同様に「Microsoft Authenticator」をクリックします。
6.「有効化およびターゲット」タブから「有効にする」をオンにします。
7.ターゲットを選択し「保存」をクリックします。
※今回は「すべてのユーザー」を選択しています。
8.同様に「音声通話」をクリックします。
9.同様に「有効化およびターゲット」タブから「有効にする」をオンにしターゲットを選択して、「保存」をクリックします。
レガシーSSPRポリシーを認証方法ポリシーへ移行
レガシーMFAポリシーと認証方法が被っていないメールによる認証を有効にします。
10.「メールOTP」をクリックします。
11.「有効化およびターゲット」タブから「有効にする」をオンにしターゲットを選択して、「保存」をクリックします。
12.各レガシーポリシーに対応したポリシーが有効になっていることを確認します。
4.移行完了
「移行が進行中」の状態にて、新しい認証方法ポリシーを設定できたら、次のステップとして、レガシー MFA および SSPR ポリシーのチェックをすべて外して無効にします。
1.レガシー MFA ポリシーのチェックをすべて外し「保存」をクリックします。
2.レガシー MFAポリシーが無効になりました。
3.レガシー SSPR ポリシーのチェックをすべて外し「保存」をクリックします。
4.レガシー SSPRポリシーが無効になりました。
5.移行ステップを「移行が進行中」から「移行が完了済み」に変更し「保存」をクリックします。
※ レガシーポリシーが有効になっている場合は「移行が完了済み」に変更できません。
6.移行が完了しました。
これによりレガシーポリシーは使用ができなくなり、「認証方法」の画面で一元管理することになります。
7.移行が完了したことで、各レガシーポリシーは以下のような表示がされ、新しい認証方法ポリシーで管理されるようになります。
■レガシーMFAポリシーの画面
※「これらのメソッドは現在、認証方法ポリシーで管理されています。認証及びパスワードリセット認証方式ポリシーに使用される方式を管理するには、ここに移動します。」という表示が出ています。
■レガシーSSPRポリシーの画面
※「これらの方法は現在 認証方法ポリシー で管理されています。パスワードのリセットと認証に使用する方法を管理するにはそちらにアクセスしてください。
セキュリティの質問は引き続きここで管理されていますが、回復には他の認証方法を使用することをお勧めします。」という表示が出ています。
セキュリティの質問は引き続きこちらの画面で管理が可能なようです。
5.まとめ
今回は普段使用する機会が多い MFAとSSPRのポリシーを新しい認証方法ポリシーに移行する手順をご紹介しました。
レガシーポリシーについては2025年9月30日に非推奨になりますので、それまでに移行を完了させることをお勧めいたします。
その他お困りごとも動画で解説!
