Office 365 の管理センターにアクセスしたら、次のようなメッセージが表示され "パスワードの無期限設定" を勧められました。

[推奨事項を表示]をクリックすると下記の画面が表示され

「ユーザー アカウントをクラウドで管理していますが、パスワードの有効期限のルールが設定されていません。ユーザー アカウントをクラウドで管理している場合は、パスワードを無期限に設定することをお勧めします。そうすることで、ユーザーがパスワードの定期的な変更による混乱を避けることができます」

という内容が表示されます。

2017年5月に Newsweekが記事としても取り上げていましたが、「米政府機関は "パスワードの定期的な変更は推奨しない" ように米国標準技術研究所(NIST)が発行する『電子認証人関するガイドライン』の新版からルールを変えています。これを受けて各所でパスワード変更について話題になっていました。

ところで、Microsoft の方針はどうなんでしょう? 

ということで上記画面の "Learn more about why we recommend this" リンクをたどると次のPDFが表示されました。

最初にIT管理者に向けて次のサマリーが出ています。

読めば、"従来通りの強力なパスワードを設定"しつつ、ポイントとしては "Eliminate mandatory periodic password resets for user accounts" というところですね。定期的なパスワード変更はやめようと。そして、"Enforce registration for multi-factor authentication" ということで、当たり前ではありますが、多要素認証を使わせようね、ということですね。

このドキュメントは20ページにわたり詳細が書かれているので、一度、目を通しておくとよさそうです。

Office 365 を導入している企業の多くでは多要素認証の導入も進んでいるので、このあたりは当たり前になってきているかもしれません。それでも旧態依然とした体制の組織も中にはあるでしょう。ご参考まで。