Microsoft AzureのMFA義務化、2025年10月1日から第2フェーズへ：Azure CLI、PowerShell、モバイルアプリ、IaCツール、REST APIなどでMFAが必須に

Microsoftは、「Microsoft Azure」クラウドへのサインインに対する多要素認証（MFA）の義務化の第2フェーズを、2025年10月1日から開始する。MFAを完了していないユーザーはリソース管理の操作ができなくなる。

[＠IT]

　Microsoftは2025年9月5日（米国時間、以下同）、「Microsoft Azure」（以下、Azure）クラウドへのサインインに対する多要素認証（MFA）の義務化の第2フェーズを、2025年10月1日から開始すると発表した。

リリース

　Microsoftは、「MFAはアカウント侵害攻撃の99.2％以上をブロックできる」という自社の調査結果を踏まえ、最も効果的なセキュリティ対策の一つとして、MFAを推進している。

Azure Portalは既に100％MFA義務化

　Microsoftは、AzureにおけるMFA義務化の第1フェーズとして、2024年10月から、「Azure Portal」「Microsoft Entra」管理センター、「Microsoft Intune」管理センターへのサインインに対するMFA義務化を、世界中の全てのテナントを対象に段階的に実施した。

　そのうちAzure Portalへのサインインに対するMFA義務化は、2025年3月にはAzureテナントの100％に展開されたとMicrosoftは説明している。同社はMFA義務化を段階的に進めた理由として、「顧客が十分な時間をかけて実装を計画、実行できるようにするためだった」と述べている。

MFA義務化の第2フェーズ

　Microsoftは2025年10月1日以降、「Azure CLI」（CLI：コマンドラインインタフェース）、「Azure PowerShell」「Azureモバイルアプリケーション」「IaC（Infrastructure as Code）ツール」「Azure SDK（ソフトウェア開発キット）クライアントライブラリ」「REST APIエンドポイント」などにサインインして、Azureリソースの管理操作（作成、更新、削除）をするアカウントに対して、MFA義務化の適用を段階的に開始する。読み取り操作については、MFAは必要ないとしている。

　第2フェーズの義務化は、Microsoftのプラクティスに従い、AzureポリシーによってAzureテナント全体に段階的に適用される。

　第2フェーズのMFA義務化によって、Azureユーザーはリソースを管理、操作する前に、MFAによる認証が必要になる。ただし、マネージドIDやサービスプリンシパルなどのワークロードIDは、第1、第2フェーズともMFA義務化の影響を受けない。

　Microsoftは2025年9月第1週からMicrosoft Entraグローバル管理者に、MFA義務化の適用開始日と今後の義務化に向けた準備方法を、電子メールとAzureサービスヘルス通知で伝えている。なお、2025年10月1日までにテナントでMFAを有効にできない場合、テナントのグローバル管理者は、Azure Portalを通じて義務化の適用開始を延期できる。

第2フェーズのMFA義務化に備えるポイント

　Microsoftは、AzureのMFA義務化の第2フェーズに備えるポイントとして、以下を挙げている。

ユーザーのMFAを有効にする

　管理者は、ユーザーがリソース管理操作ができるように、2025年10月1日までにユーザーのMFAを有効にする必要がある。

潜在的な影響を理解する

　管理者は、第2フェーズの義務化開始前に組織が潜在的な影響を理解できるように、ユーザーがMFAで認証していない場合にリソース管理操作をブロックする、組み込みのAzure Policy定義を割り当てることができる。このポリシー定義は、さまざまなリソース階層スコープ、リソースタイプ、リージョンにわたって段階的に適用できる。

Azure CLIおよびPowerShellクライアントを更新する

　互換性確保のために、テナント内のユーザーはAzure CLI v2.76およびAzure PowerShell v14.3以降を使用する必要がある。

このニュースのポイント

Q: Microsoftが発表した内容は？

A: 2025年10月1日からMicrosoft Azureへのサインインに対する多要素認証（MFA）義務化の第2フェーズを開始すると発表した。

Q: 第2フェーズの適用範囲は？

A: Azure CLI、Azure PowerShell、Azureモバイルアプリ、IaCツール、Azure SDK クライアントライブラリ、REST APIエンドポイントなどでのリソース管理操作（作成、更新、削除）に対するサインイン。リソースの読み取り操作にはMFA不要。

Q: MFA義務化の影響を受けないものは？

A: マネージドIDやサービスプリンシパルなどのワークロードIDは対象外。

Q: 管理者が準備すべきポイントは？

A:

• 2025年10月1日までにユーザーのMFAを有効化する
• 影響把握のために「MFA未認証ユーザーの管理操作をブロックするAzure Policy定義」を割り当てる
• Azure CLI v2.76以降、Azure PowerShell v14.3以降に更新する必要がある