Microsoft Authenticatorで、「本来は承認するべきではないリクエスト」を間違えて認証してしまう問題を防ぐための変更です。現状では、
・どのアプリに対してのサインインが行われているか
・デバイスのIPアドレスに応じて、サインインの地理的場所
を表示してそれを防いでいるが、来年の1/23からナンバー認証が導入される。
MSの想定シナリオとして、
1.認証フローとして、Micorosft Authenticatorはユーザーに数字入力による認証を要求するようになる。この数字認証機能をサポートしていない古いバージョンによる認証は全て失敗となるため、Apple StoreもしくはGoogle Play Storeでアプリを最新版にしておくように。
2.Self Service Password Reset (SSPR) and combined registration (https://learn.microsoft.com/ja-jp/azure/active-directory/authentication/howto-registration-mfa-sspr-combined)を有効化しておりMicrosoft Authenticatorを使っている場合も数字認証の対象となる。
3.ADFS経由の接続の場合、サポート対象のWindows Serverを使用する必要がある。(訳注:元記事参照してください)古いバージョンを使用している場合、以前の地域等が表示されて承認/拒否が出る認証方式のまま。
4. 1.2.2131.2以降のNPSは本アップデート以降数字認証必須になるが、NPS自体では数字の表示をサポートしていないため、Microsoft Authenticatorやソフトウェアトークン等経由でワンタイムパスワードを発行する必要がある。 もし不可能な場合、ADFS同様に旧認証方法が表示される。また、レジストリをいじることによって旧認証方法にすることも可能だが詳細は別ドキュメント参照。(訳注:詳細省略します)
5.アップルウォッチは数字認証をサポートしない。アップルウォッチ版ではなくiPhone版の使用を推奨。
変更のインパクトが大きいので、管理人側で諸々確認及び周知が必要ですね。
