Microsoft 365、セキュリティ強化で旧式認証を遮断へ 2025年7月から適用：セキュリティニュースアラート

Microsoftは2025年7月から、Microsoft 365においてRPSやFPRPCといった旧式認証方式を遮断し、サードパーティー製アプリのアクセス制御も強化すると発表した。組織への影響はどのくらいあるのか。

[後藤大地，有限会社オングス]

　Microsoftは2025年6月17日（現地時間）、「Microsoft 365」においてセキュリティ強化を目的とした既定設定の更新を発表した。MicrosoftはMicrosoft 365においてレガシー認証プロトコルやサードパーティー製アプリのアクセスを排除し、テナントのセキュリティ水準を引き上げる変更が適用される。

Microsoft 365のセキュリティ既定変更、組織への影響は

　変更には「SharePoint Online」「Microsoft OneDrive」におけるWebブラウザ経由のRPS（Relying Party Suite）認証ブロックが含まれる。RPSは現代的な認証手法ではないためブルートフォースやフィッシングに対し耐性が低く、このような旧式接続は今後遮断されることとなった。これにより、これまで管理者がPowerShellなどで手動設定していたRPS認証のブロックが自動的に有効となる。

　FrontPage Remote Procedure Call（FPRPC）プロトコルによるOfficeファイルアクセスも廃止される。FPRPCは旧式であり、今では広く利用されていないが、一部の環境では潜在的なリスクとなり得る。今後はFPRPCによるSharePoint Online上のOfficeファイルへの旧方式によるアクセスが無効化される。これにより、FPRPCに依存する古いクライアントや接続方法ではファイルを開けなくなり、脆弱（ぜいじゃく）性を減らす効果が見込まれる。

　サードパーティー製アプリによるファイルやサイトへのアクセスに関しても新たな基準が導入される。従来はユーザー自身で承認できたが、今後は管理者の承認が必要となる。この変更により、テナント内データが過度に共有されるリスクが緩和される。Microsoftは「管理者の同意ワークフローの構成」を利用するよう推奨している。

　これらの変更は追加ライセンスなしで自動適用される。Microsoft 365を利用する企業や組織は、内部構成や手順書、関係者への通知体制などを見直し、対応準備を行う必要がある。旧式認証が遮断されることで既存のアクセス方式には影響が出るが、それによりテナント環境が堅牢（けんろう）化されることとなる。

　今回の変更は2025年7月中旬に展開が開始され、2025年8月までに完了する見込みだ。企業や組織は現状の利用状況を踏まえ、早期に対策と周知を図ることが望まれる。