| Message Content |
[What and Why]
As announced in the What’s New (June Edition), we have been rolling out first-factor system-preferred authentication in the Microsoft-managed state.
System-preferred authentication in Microsoft Entra ID now applies to both first-factor and second-factor authentication when the setting is in the Microsoft managed state.
The system evaluates which credentials are registered for the user and selects the highest-ranked method for each authentication step, prompting the user to sign in with the most secure available method.
[Rollout schedule]
- General Availability (Worldwide): Beginning late June 2026 and expected to complete by late July 2026
[Impact on your organization]
Who is affected
- Organizations whose system-preferred authentication setting is in the Microsoft managed state.
- If your setting is in the Enabled or Disabled state, first-factor sign-in behavior remains unchanged and there is no impact from this update.
Platforms and services
- Microsoft Entra ID
- System-preferred authentication
- User sign-in experiences
What will happen
- For tenants in the Microsoft managed state, the system applies credential ranking to both first-factor and second-factor authentication.
- When a user signs in, the authentication process checks which authentication methods are registered and prompts the user with the most secure method according to the system-defined order.
- The method order is dynamic and can update when users register more secure authentication methods, such as a passkey, or as Microsoft updates credential rankings based on evolving security guidance. For example, if a user has both a password and a passkey registered, Microsoft Entra may prompt the user to use the passkey at their next first-factor sign-in instead of the password.
- To sign in using a different option, users can always cancel and choose another available sign-in method.
Behavior by setting state:
- Microsoft managed: The system applies credential ranking to both first-factor and second-factor authentication.
- Enabled: Credential ranking applies only to second-factor authentication. First-factor sign-in behavior remains unchanged.
- Disabled: System-preferred authentication is not applied.
Note: This prompt does not mean the user is being asked to complete multifactor authentication (MFA) when MFA is not required. With this update, Microsoft Entra can prompt users to use their most secure available credential at first-factor sign-in instead of defaulting to a password. Some methods, such as passkeys, certificate-based authentication, or Microsoft Authenticator, can satisfy first-factor sign-in requirements and may also satisfy MFA requirements when MFA is required. The goal is to use the strongest available credential consistently, not to add an extra MFA prompt.
[What you need to do to prepare:]
Review whether you want system-preferred authentication to apply to first-factor authentication in your tenant:
- If you want the credential ranking applied to both first-factor and second-factor authentication, leave the setting in the Microsoft managed state. No action is required.
- If you do not want system-preferred authentication to apply to first-factor authentication, change the setting from Microsoft managed to Enabled. The Enabled state applies system-preferred logic only to second-factor authentication and leaves first-factor sign-in behavior unchanged.
- Consider notifying users that they may be prompted with a different, more secure sign-in method at first-factor sign-in and remind them that they can always cancel and choose another available sign-in method.
- Update internal sign-in documentation and support guidance accordingly.
Learn more
[Compliance considerations]
No compliance considerations identified, review as appropriate for your organization.
|
| Machine Translation |
【何となぜ】
What’s New(6月版)で発表された通り、Microsoft管理の状態でファーストファクターシステム優先認証を展開しています。
Microsoft Entra IDのシステム優先認証は、設定がMicrosoft管理状態にある場合、第一要素認証と第二要素認証の両方に適用されます。
システムはユーザーに登録されている認証情報を評価し、各認証ステップで最もランクの高い方法を選択し、ユーザーに最も安全な方法でサインインを促します。
[展開スケジュール]
- 一般公開(世界):2026年6月下旬から始まり、2026年7月下旬までに完了する予定です
[組織への影響]
影響を受ける人物
- システムプリファレンス認証設定が Microsoft管理 状態にある組織。
- 設定が 有効 または 無効 の状態であれば、ファーストファクターのサインイン動作は変わらず、このアップデートによる影響はありません。
ホームとサービス
- Microsoft Entra ID
- システム優先認証
- ユーザーサインイン体験
何が起こるのか
- Microsoft管理状態のテナントでは、システムは認証情報ランキングを第一要素認証および第二要素認証の両方に適用します。
- ユーザーがサインインすると、認証プロセスは登録されている認証方法を確認し、システム定義の順序に従って最も安全な方法をユーザーに提示します。
- メソッドの順序は動的であり、ユーザーがパスキーのようなより安全な認証方法に登録したり、Microsoftが進化するセキュリティガイダンスに基づいて認証情報ランキングを更新したりすると更新されます。例えば、ユーザーがパスワードとパスキーの両方を登録している場合、Microsoft Entraは次のファーストファクターサインイン時にパスワードの代わりにパスキーを使うよう促すことがあります。
- 別の方法でサインインする場合は、いつでもキャンセルして別のサインイン方法を選択できます。
状態設定による振る舞い:
- マイクロソフトは以下の管理を行った: このシステムは、第一要素認証と第二認証の両方に認証資格ランキングを適用します。
- 有効化: 資格ランキングは第二要素認証にのみ適用されます。ファーストファクターのサインイン動作は変わりません。
- 無効化: システム優先認証は適用されません。
注意:このプロンプトは、MFAが不要な場合でもユーザーに多要素認証(MFA)の完了を求めているという意味ではありません。このアップデートにより、Microsoft Entraはファーストファクターサインイン時にパスワードをデフォルトではなく、最も安全な認証情報を使うよう促すことができます。パスキー、証明書ベース認証、Microsoft Authenticatorなどの一部の方法は、ファーストファクターのサインイン要件を満たすことができ、MFAが必要な場合にはMFA要件も満たすことがあります。目的は、利用可能な最も強力な認証情報を一貫して使うことであり、追加のMFAプロンプトを追加することではありません。
[準備のためにやるべきこと:]
テナントのファーストファクター認証にシステム優先認証を適用したいかどうかを確認してください:
- 認証情報ランキングを第一要素認証と第二要素認証の両方に適用したい場合は、設定をMicrosoft管理状態のままにしてください。何の対応も必要ありません。
- システム優先認証を一次認証に適用したくない場合は、 設定をMicrosoft管理 から 有効に変更してください。有効状態はシステム優先ロジックを第2要素認証にのみ適用し、第1要素のサインイン動作は変更されません。
- ファーストファクターサインイン時に、より安全な別のサインイン方法を求められる可能性があることをユーザーに通知し、いつでもキャンセルして別の利用可能なサインイン方法を選べることを思い出させてください。
- 社内サインインドキュメントとサポートガイダンスを適切に更新してください。
詳しくはこちら
[コンプライアンスの考慮事項]
コンプライアンス上の懸念事項は特定されず、組織に応じてレビューしてください。
|