読者です 読者をやめる 読者になる 読者になる

Azure Active Directory Free/Basic でも MFA が使えます (サポート確認済み)

Azure Active Directory(AAD) Premium でしか Multi-Factor Authentication(MFA) を使えないように読み取れるドキュメントが多いですが、Free/Basic でも MFA が使えると マイクロソフトのサポートから回答をもらいました。

Azure MFA の機能/価格で AAD Free/Basic でも MFA が使えます。
が、ドキュメントでは分かりにくいです。

こちらの 「Multi-Factor Authentication の機能と特徴」では、
Cloud Services - Multi-Factor Authentication (MFA) | Microsoft Azure

【Office 365、Salesforce などに対応】

Multi-Factor Authentication は、Azure Active Directory Premium と数千にのぼ
る SaaS (サービスとしてのソフトウェア) アプリケーション (Salesforce、
Dropbox、およびその他の有名なサービス) でも使用可能です。

AAD は Premium でしか使えないように読めます。

また 「Multi-Factor Authentication の価格」では、
料金 - Multi-Factor Authentication (MFA) | Microsoft Azure

【料金の詳細】

ユーザーごとおよび認証ごとの課金オプション付きスタンドアロン サービスとし
て、または Azure Active Directory Premium や Enterprise Mobility Suite との
セットで利用できます。

こちらも AAD Premium と書かれています。
が、「スタンドアロン サービス」として AAD Free/Basic と連携して使えるとのことでした。

AAD Premium では、MFA に対しての別途課金は無く*1スタンドアロンサービス で AAD Free/Basic と一緒に使う場合は Azure MFA の従量課金が適用されるとのこと。

サポートに確認するまで、「スタンドアロン サービス」は IIS で MFA Server を構築するためのものとして読んでいたので、Azure AD と連携出来るとは思わず。。

一番誤解を招くドキュメントは 「Azure Active Directory の価格」のエディション別比較表
料金 - Active Directory | Microsoft Azure
左から Free/Basic/Premium の比較表ですが

この MFA の箇所に Premium しかチェックが入っていません!

話しを聞いたあとだと、MFA の料金込みかどうかという意味合いでは正しいと思いますが、初見だと Free/Basic で MFA が使える手段があるとは思わないんじゃないかな?
というわけで、「※」等で注意書きを入れてほしいと要望しました。

一応 「Getting started with Azure Multi-Factor Authentication in the cloud」には
Getting started with Azure Multi-Factor Authentication in the cloud

【Create a Multi-Factor Auth Provider or assign an Azure AD Premium or
Enterprise Mobility Suite license to users】

You will need to either create an Azure Multi-Factor Auth Provider and
assign it to your directory or assign licenses to your Azure AD Premium or EMS users.

とあるので、MFA Provider を作成して、AAD に紐づけるか、AAD Premium か EMS ならOK と書かれています。
これを読むと、AAD Free/Basic でも MFA が使えるように読めますね。

ちなみに ja-jp の日本語訳はこの部分がちょっと微妙でした。。

さっきのドキュメントにあるように AAD Free/Basic で MFA を使うには、MFA Provider を作成し、AAD に紐づける必要があります。

【現時点での注意事項】
今のポータルでは、MFA Provider を作成しなくても、AAD Free で MFA が使えてしまいます!
現状では課金されてなさそうですが、いつ課金されるか分からないですし、使い方的に NG とのことでしたので辞めときましょう。

  • AAD を作成する
  • 作成した AAD にユーザーを作成する際に MFA を有効化する

これもそのうち直るのかな?

*1:認証回数無制限