Microsoft Azureの多要素認証(MFA)必須化、2025年10月から段階的に開始|セキュリティニュース-セキュリティ対策 Lab

投稿日時: 2025年09月08日更新日時: 2025年09月08日

Microsoft (マイクロソフト)は、Azureへのサインインに多要素認証（MFA）義務化 フェーズ2を、2025年10月1日から段階的に開始すると発表しました。フェーズ1（Azure Portal／Microsoft Entra 管理センター／Intune 管理センター）は2025年3月に全テナントへ適用完了。

次の段階では、Azure Resource Manager（ARM）経由のリソース管理操作に対して、クライアントの種類を問わずMFAが必須になります。

MFAはアカウント侵害の99.2%超を阻止するとされ、Azure全体のベースライン防御を底上げする取り組みです。

1 何が変わるのか（フェーズ2の要点）
2 想定される利用者への影響

何が変わるのか（フェーズ2の要点）

対象となる操作：ARMレイヤーでのリソース管理全般
例）Azure CLI、Azure PowerShell、Azure Mobile App、REST API、各種SDK、IaC（Bicep／Terraformなど）からの作成・更新・削除・構成変更等
適用方法：Microsoftのセーフデプロイメントプラクティスに従い、Azure Policyを用いて段階的に各テナントへ適用
開始日：2025年10月1日からロールアウト開始（段階適用）
通知：Microsoft Entra のグローバル管理者にメールとAzure Service Healthで順次通知
フェーズ1との関係：ポータル等の対話サインインはすでに全適用済み。フェーズ2で自動化／スクリプト／ツール経由の運用もMFA要件に整合します。

想定される利用者への影響

Azure Resource Manager（ARM）経由のリソース管理操作に多要素認証（MFA）の必須化が適用されることで、対話・非対話を問わず、人が自分のユーザー資格情報で行う作成・更新・削除などの操作は、実行前にMFAを完了していない場合ブロックされるようになります。

Azure PortalやMicrosoft Entra／Intune管理センターに続き、Azure CLI・Azure PowerShell・REST API・各種SDK・IaCツールからの操作にも一貫したMFA要件がかかるため、運用全体の認証フローがより厳格になります。

日常運用では、所有者・共同作成者・運用担当者がコマンドラインやスクリプトから実施している作業にMFAが都度（もしくはトークン有効期間の失効タイミングで）求められるため、未登録のユーザーや長期間サインイン状態に依存する作業は停止・失敗する可能性があります。

特に、ユーザー資格情報で動作している定期ジョブや簡易スクリプトは影響を受けやすく、Service PrincipalやManaged Identityへの移行、または認証フローの見直しが必要になります。

開発・検証環境でも、az login や Connect-AzAccount 実行時にMFAを前提としたフローが標準となり、古いクライアントを使っている場合に認証手順の不整合が発生しやすくなります。互換性確保のため、Azure CLI 2.76以降、Azure PowerShell 14.3以降への更新を全社で揃える必要があり、移行期間中は開発者やSREの作業が一時的に滞るリスクがあります。

出典

Azure mandatory multifactor authentication: Phase 2 starting in October 2025