【改悪】Office 365 Baseline Policyで、除外アカウントが設定できなくなる

Office 365 Baseline Policyの概要はこちら。

ベースライン ポリシー: 管理者に MFA を要求する – Azure Active Directory | Microsoft Docs

2018年6月にプレビューが開始された機能です。

Office 365 管理者アカウント 強制MFA機能(Baseline security policy)と対処法

この昨日は、Office 365 で特定レベルの管理者権限を持つアカウントに強制的にMFAをかけつつ、除外するアカウントも指定できるものでした。これが、ここ1週間くらいで

  • 全ての管理者アカウントに対してMFAを有効にする
  • 全ての管理者アカウントに対してMFAを有効にしない

の2択となり、除外アカウントの設定が出来なくなってます。

問題点

現実的には、全ての管理者アカウントに対してMFAを有効にするのはリスクがあるため、MFA除外アカウントを作成するのがセオリーでした。マイクロソフト社も推奨しています。

緊急アクセス用管理者アカウントの管理 – Azure Active Directory | Microsoft Docs

これを実現するためには、素のOffice 365アカウントではなく、Azure AD Premium 1以上のライセンスが必要でした。貧乏人はOffice 365を守ることが出来ません…。

回避法

twitterで裏側のAPIを叩いて設定変更できるぜ!と言っている人がいるけど…。

ライセンスに違反する可能性もあるし、やめた方がいいでしょう。おとなしくAzure AD Premium 1のライセンスを買うか、マイクロソフト社の推奨通り、1要素認証のアカウントのパスワードを複雑にして対処するしかなさそうです。

Posted by tera