管理者ユーザーに多要素認証を必要とさせる「Baseline policy」がAzure Active Directoryの条件付きアクセスに作成されてました。
現在は、プレビュー版です。
クラウドサービスにとって管理者ユーザーを乗っ取られることは致命的なためこのような設定を組み込んだのでしょう。
1.Azureポータルの[Azure Active Directory] -> [条件付きアクセス]に移動します。
2.「Baseline policy: Require MFA for admins(プレビュー)」が作成されているので開いてみます。
3.デフォルトで「将来、ポリシーを自動的に有効化」が選択されています。
注意点としては、管理者ユーザーで動かしているスクリプトや連携しているサードパーティ製のサービスがある場合です。
その場合、実行アカウントを「Managed Service Identity (MSI)」か「service principals with certificates」に置き換える必要があるようです。
暫定的な回避策は、対象ユーザーをbaseline policyの例外設定(ユーザーとグループの除外)に入れることです。