【改悪】Office 365 Baseline Policyで、除外アカウントが設定できなくなる
Office 365 Baseline Policyの概要はこちら。
ベースライン ポリシー: 管理者に MFA を要求する – Azure Active Directory | Microsoft Docs
2018年6月にプレビューが開始された機能です。
Office 365 管理者アカウント 強制MFA機能(Baseline security policy)と対処法
この昨日は、Office 365 で特定レベルの管理者権限を持つアカウントに強制的にMFAをかけつつ、除外するアカウントも指定できるものでした。これが、ここ1週間くらいで
- 全ての管理者アカウントに対してMFAを有効にする
- 全ての管理者アカウントに対してMFAを有効にしない
の2択となり、除外アカウントの設定が出来なくなってます。
今見たら、baseline security policyで除外管理者を設定できなくなってる。スクリプト利用や緊急用管理者はMFA除外するのはMSの推奨。これどういうことよ? pic.twitter.com/OZzxb9d9YS
— tera (@teraco) July 3, 2019
問題点
現実的には、全ての管理者アカウントに対してMFAを有効にするのはリスクがあるため、MFA除外アカウントを作成するのがセオリーでした。マイクロソフト社も推奨しています。
緊急アクセス用管理者アカウントの管理 – Azure Active Directory | Microsoft Docs
これを実現するためには、素のOffice 365アカウントではなく、Azure AD Premium 1以上のライセンスが必要でした。貧乏人はOffice 365を守ることが出来ません…。
回避法
twitterで裏側のAPIを叩いて設定変更できるぜ!と言っている人がいるけど…。
Hmm, what happened to the exclude users option for the @azuread baseline policies? Checked in several tenants now, although docs says it should be there. pic.twitter.com/Q1gyQSqaMs
— Jan Vidar Elven 🏳️🌈 (@skillriver) June 27, 2019
ライセンスに違反する可能性もあるし、やめた方がいいでしょう。おとなしくAzure AD Premium 1のライセンスを買うか、マイクロソフト社の推奨通り、1要素認証のアカウントのパスワードを複雑にして対処するしかなさそうです。