Updated June 30, 2023: We have updated the rollout timeline below. Thank you for your patience.

In today’s landscape, organizations and users utilize various authentication methods with varying levels of security. Unfortunately, users often select less secure MFA methods, even when more secure options are available. This may be due to convenience, lack of awareness, or technical limitations.

To encourage the use of the strongest available method, we are introducing system-preferred authentication for MFA. This system prompts users to sign in with the most secure method they’ve registered and the one that’s enabled by admin policy. This transition from choosing a default method to always using the most secure method will promote better security practices. If users can’t use the prompted method, they can choose an alternative MFA method.

[When this will happen:]

We will begin rolling out in early July (previously late June) and expect to complete by early August (previously late July).

[How this will affect your organization:]

Microsoft managed will be rolled out as enabled. Admins will have the control to disable the feature.

Admins can enable the feature via the admin UX in the Azure Portal or GraphAPI. For example, if a user named “John Doe” registered both SMS and Microsoft Authenticator and used SMS as the default option to sign in, the system-preferred method (Authenticator) will be presented to the user once the feature is enabled.

We launched this with Microsoft-managed set to disabled. As mentioned above, we will be setting “Microsoft-managed” to enabled from the first week of July 2023. While we highly encourage you to adopt this feature for your entire tenant, should you need to you can either scope the feature for a segment of your user population or disable it if necessary. The feature will ultimately be set to Microsoft-managed (enabled) for all tenants, with no option to disable it.

Deploying this feature with the rollout controls is highly encouraged to enhance security and ensure users always use the most secure authentication method first. The feature is now available from your tenant.

[What you need to do to prepare:]

We strongly recommend that organizations enable this feature for all their users to improve their security posture.

2023 年 6 月 30 日更新: 以下のロールアウトのタイムラインを更新しました。お待ちいただきありがとうございます。

今日の状況では、組織とユーザーは、さまざまなレベルのセキュリティを備えたさまざまな認証方法を利用しています。残念ながら、ユーザーは、より安全なオプションが利用できる場合でも、安全性の低い MFA メソッドを選択することがよくあります。これは、利便性、認識の欠如、または技術的な制限が原因である可能性があります。

利用可能な最も強力な方法の使用を促進するために、MFA にシステム優先認証を導入しています。このシステムでは、登録した最も安全な方法と管理ポリシーによって有効になっている方法でサインインするようにユーザーに求めます。既定の方法の選択から常に最も安全な方法の使用への移行により、セキュリティ対策が向上します。ユーザーがプロンプトされた方法を使用できない場合は、別の MFA 方法を選択できます。

[これが起こるとき:]

ロールアウトは 7 月上旬 (以前は 6 月下旬) に開始され、8 月上旬 (以前は 7 月下旬) までに完了する予定です。

[これが組織に与える影響:]

マイクロソフトが管理するものは、有効としてロールアウトされます。管理者は、この機能を無効にすることができます。

管理者は、Azure ポータルまたは GraphAPI の管理用 UX を使用してこの機能を有効にできます。たとえば、”John Doe” という名前のユーザーが SMS と Microsoft 認証システムの両方を登録し、サインインの既定のオプションとして SMS を使用した場合、機能が有効になると、システム優先の方法 (認証システム) がユーザーに表示されます。

これは、Microsoft が管理する [無効] に設定して開始しました。前述のように、2023 年 7 月の第 1 週から “Microsoft 管理” を有効に設定します。テナント全体にこの機能を採用することを強くお勧めしますが、必要に応じて、ユーザー母集団のセグメントに対して機能のスコープを設定するか、必要に応じて無効にすることができます。 この機能は、最終的にすべてのテナントに対して Microsoft が管理する (有効) に設定され、無効にするオプションはありません。 

この機能をロールアウト コントロールと共に展開すると、セキュリティが強化され、ユーザーが常に最も安全な認証方法を最初に使用することを強くお勧めします。この機能は、テナントから使用できるようになりました。

[準備するために必要なこと:]

組織は、セキュリティ体制を改善するために、すべてのユーザーに対してこの機能を有効にすることを強くお勧めします。