If your organization has Conditional Access policies scoped to Register security information, those policies will now apply when users set up Windows Hello for Business (WHfB) or register macOS Platform SSO credentials.

Today, these registration flows enforce MFA, but do not evaluate your registration-targeting Conditional Access policies — meaning requirements like authentication strength, trusted locations, or other CA conditions aren’t enforced when users enroll WHfB or macOS Platform SSO credentials. This change closes that gap.

Organizations without these policies aren’t affected.

When this will happen

• July 6, 2026: Gradual rollout begins.

• July 13, 2026: Rollout complete for all tenants.

How this affects your organization

Users registering WHfB or macOS PSSO credentials will need to satisfy your registration-targeting Conditional Access policy requirements before completing enrollment. For example, a user might need to use an existing FIDO2 security key, approve a push notification in Microsoft Authenticator, or connect from a trusted network location — depending on what your policies require. Any Grant controls you’ve configured will apply.

Users who don’t meet the requirements will be blocked from completing registration until the conditions are met.

Action recommended

1. In Entra admin center > Protection > Conditional Access, find policies targeting Register security information.
2. Review Grant controls — check what requirements users must satisfy during registration (authentication strength, trusted locations, MFA method).
3. Consider whether users setting up a new device can meet your policy requirements — for example, make sure users have a FIDO2 security key or other qualifying credential available before they start device setup.
4. Test with report-only mode before enforcement reaches your tenant.
5. Update helpdesk docs — users may see a new authentication prompt during device setup.

If you experience issues during the rollout window (July 6–July 13), contact Microsoft Support or your account team for assistance.

Learn more: Require MFA for security info registration

もし組織にセキュリティ情報を登録する条件付きアクセスポリシーがある場合、ユーザーがWindows Hello for Business(WHfB)を設定したりmacOSプラットフォームSSO認証情報を登録したりする際に、そのポリシーが適用されます。

現在、これらの登録フローはMFAを強制しますが、登録をターゲットとする条件付きアクセスポリシーは評価しません。つまり、認証強度や信頼できる場所、その他のCA条件は、ユーザーがWHfBやmacOSプラットフォームのSSO認証情報を登録した際には適用されません。この変更はそのギャップを埋めます。

これらのポリシーを持たない組織は影響を受けません。

それがいつ起こるのか

. 2026年7月6日:段階的な展開が始まります。

. 2026年7月13日:全テナントの展開完了。

これがあなたの組織に与える影響

WHfBまたはmacOS PSSOの認証情報を登録するユーザーは、登録対象の条件付きアクセスポリシー要件を満たす必要があります。例えば、既存のFIDO2セキュリティキーを使用したり、Microsoft Authenticatorでプッシュ通知を承認したり、信頼できるネットワーク拠点から接続したりする必要があり、ポリシーの要件に応じて対応する場合があります。設定したGrantの管理は適用されます。

条件を満たしていないユーザーは、条件を満たすまで登録を完了できません。

行動推奨

1. Entra管理センター>条件付きアクセス保護>、登録セキュリティ情報を対象としたポリシーを見つけてください。
2. 助成金の管理方法を見直し、登録時にユーザーが満たすべき要件(認証強度、信頼できる場所、MFA方式)を確認してください。
3. 新しいデバイスを設定するユーザーがポリシー要件を満たせるかどうかを考慮してください。例えば、デバイス設定を始める前にFIDO2のセキュリティキーやその他の資格証明書が用意されているか確認してください。
4. 強制がテナントに届く前に報告専用モードでテストしてください。
5. ヘルプデスクのドキュメントを更新してください。デバイス設定時に新しい認証プロンプトが表示されるかもしれません。

ロールアウト期間中(7月6日〜7月13日)に問題が発生した場合は、Microsoftサポートまたはアカウントチームに連絡して支援を受けてください。

詳細はこちら: セキュリティ情報登録にMFAを必須