Microsoft Entraでセキュリティの既定値群を有効化（多要素認証導入）した後の挙動について

Question

「セキュリティの既定値群」を有効化に変更する方法でのMFA（多要素認証）導入を検討しています。（現在は期限を延長して無効化）

Entraホーム > [ユーザー] > [AAA（ユーザー名）]で各ユーザーの「認証方法」を確認した時、
ほとんどのユーザーは未設定です。

---

しかし、一部のユーザーは、PCのサインインに職場アカウントを使用していて、
携帯電話番号とWindows Hello（PINコード）が登録済みです。
システムが優先するMFAはSMSになっています。

---

このような設定で、セキュリティの既定値群を有効化に変更した場合、
前者は、各種サービスへのログイン時にMFAの導入を求める画面が表示されると思われますが、
後者は、設定の変更（Microsoft Authenticatorのインストール＆設定）画面が出てくるでしょうか？
それとも、現状の設定がそのまま引き継がれますか？

ドキュメントを読んだのですがわからなかったので、質問させていただきました。
よろしくお願いします。

Answer 1

セキュリティの既定値群を有効化すると、以下の制御が行われます。

• すべてのユーザーに対して、多要素認証への登録を必須にする
• 管理者に多要素認証の実行を要求する
• 必要に応じてユーザーに多要素認証の実行を要求する
• レガシ認証プロトコルをブロックする
• Azure portal へのアクセスなどの特権が必要な作業を保護する

「すべてのユーザーに対して、多要素認証への登録を必須にする」となりますので、多要素認証で必要となる認証要素（認証アプリなど）が登録されていないユーザーは、Entra ID でのサインイン時に多要素認証の登録が求められます。登録を行わないと、サインインができなくなります。

登録は、以前は14日の猶予期間がありましたが、現在はこの猶予期間の廃止は進行中です。場合によっては登録がサインインの際に即時求められ、登録しない限りサインインできなくなっているはずです。

逆にすでに追加の認証要素として認証アプリが登録済みのユーザーに対しては、通常のサインインでは何も起こりません。重要なアカウント情報へのアクセスや不審なサインインアクティビティの検出などの場合に多要素認証を求められるようになるだけです。

詳しくは以下を参照してください。

• Microsoft Entra ID のセキュリティの既定値群