Not configureとDisabledの違い
アカウント保護時の設定値の選択肢には「Not configure」「Enabled」「Disabled」の3種類がある場合が多いです。
このうち「Enabled」は設定を有効化するものですが、「Not configure」と「Disabled」の指定には何か違いがあるのかという質問が度々発生します。
この2つには明確に差異があります。
「Not configure」は、その項目の制限自体をかけていない状態を示します。
「Disabled」は、その項目に制限をかけているが、OFFである状態を示します。
この設定差異が影響するケースを下記の例で示します:
準備
個人ユーザー:「John」
グループ:「Tech-team」(メンバーにJohnを含む)
のProtected accountを用意
個人ユーザー:「John」
グループ:「Tech-team」(メンバーにJohnを含む)
のProtected accountを用意
パターン①
「John」のMFA設定を「Not configure」
「Tech-team」のMFA設定を「Enabled」
に設定し、クライアントマシンにJohnでログオン
→MFAが発動する。[解説]
この場合、個人アカウントにはMFAは設定されておらず、グループアカウントのMFAのみが設定されているとみなされるため、MFAの設定に競合はないと判断されている。→結果、グループアカウントのMFA設定である「Enabled」が適用される。パターン②「John」のMFA設定を「Disabled」
「Tech-team」のMFA設定を「Enabled」に設定し、クライアントマシンにJohnでログオン→MFAは発動しない。
[解説]
この場合、個人アカウントとグループアカウントのMFAの設定は競合しているとみなされる。
個人アカウントの方がグループアカウントより優先度が高いため、個人アカウントのMFA設定である「Disabled」が優先される。
競合した保護項目同士の優先順位については、こちらの記事をご覧ください。