Contents
前提条件と事前準備
MFA を導入する際に最も失敗しやすいのは、実装前の環境整備です。ここでは 管理者ロール の確認方法と、端末側で必要な OS・Authenticator アプリのバージョン をチェックする手順を示します。事前にこれらを完了させておくことで、後続作業がスムーズに進みます。
管理者ロールの確認
管理対象となる MFA 設定は、Microsoft Entra ID(旧 Azure AD)で 以下のいずれかのロール が必要です。
- グローバル管理者
- 条件付きアクセス管理者
- 認証方法管理者
- ブラウザーで https://entra.microsoft.com にサインインします。
- 左メニューから 「Azure AD」 → 「ロールと管理」 を選択します。
- 自分のアカウントが上記ロールに含まれているかを一覧で確認し、必要ならば権限付与依頼を行います。
重要ポイント
- ロールが不足している場合は最小権限の「認証方法管理者」でも作業可能です。
- 権限変更は反映に数分かかることがありますので、余裕を持って実施してください。
デバイス OS・Microsoft Authenticator の最新版確認
MFA は端末側の環境が最新であることが前提です。以下の表は 「現在サポートされている最低要件」 を示しています(2024 年 10 月時点)。個別に最新バージョンを取得できるかどうかだけ確認すれば問題ありません。
| 項目 | 最低要件 | 確認手順 |
|---|---|---|
| Windows 10/11 | バージョン 1903 以降(ビルド 18362) | 設定 → システム → バージョン情報 |
| macOS | 12.0 Monterey 以降 | メニュー → 「この Mac について」 |
| iOS / iPadOS | 15.0 以上 | 設定 → 一般 → ソフトウェア・アップデート |
| Android | 10 (API 29) 以上 | 設定 → システム → 端末情報 |
| Microsoft Authenticator アプリ | App Store / Google Play の最新バージョン | 各ストアの「更新」ページで確認 |
重要ポイント
- 古い OS や古いアプリではプッシュ通知や QR コード読み取りが失敗し、サポート対象外になることがあります。
- 端末ごとに自動更新を有効化しておくと、手動で確認する手間が省けます。
Microsoft Entra ID 管理センターで認証方法ポリシーへアクセス
本セクションでは Entra 管理センターの最新 UI(2024 年 10 月リリース) を前提に、認証方法ポリシー画面までのナビゲーション手順を解説します。左側メニューの構成が変わっていることが多いので、正しいパスを把握しておくと操作ミスが減ります。
メニュー構成とナビゲーション
Entra 管理センターは大きく 「ホーム」「認証方法」「ユーザー」「デバイス」 の4つのタブに分かれています。ポリシー画面へは次の手順で遷移します。
- https://entra.microsoft.com に管理者アカウントでサインイン
- 左側メニューから 「認証方法」 をクリック
- 上部タブに表示される 「ポリシー」 を選択
画面右上の 「+ 新しいポリシー」 ボタンが目印です。UI のデザインはカードビューとテーブルビューを切り替えられるほか、検索ボックスが常に表示されるため目的のポリシーをすぐに見つけられます。
重要ポイント
- 従来の「Azure AD」ポータルとは別ドメイン(entra.microsoft.com)である点を必ず確認してください。
- 初回アクセス時に表示されるバナーは UI の案内であり、設定上の問題ではありません。
認証方法ポリシーの作成手順
ここでは 実務で最も利用頻度が高い「全社対象」 と 「部門別固定グループ」 、さらに 動的メンバーシップ の3パターンを具体例として示します。ポリシー名や対象の設定は、後続のレビューで分かりやすくなるように統一した命名規則を採用すると効果的です。
ポリシー情報入力
- 「ポリシー」画面右上の 「+ 新しいポリシー」 をクリック
- 「ポリシー名」 に MFA – 全社 など分かりやすい名称を入力(英数字とハイフンのみ推奨)
- 任意で 「説明」 に目的・対象範囲を書き込むと、承認プロセスが円滑になります
重要ポイント:特殊文字は UI エラーの原因になるため使用しないでください。
対象ユーザー/グループの選択方法
| 選択方式 | 手順概要 | メリット |
|---|---|---|
| 全社 | 「対象」欄で 「すべてのユーザー」 を選択 | 設定漏れがなく最もシンプル |
| 固定グループ | 「対象」→「グループを選択」から既存 Azure AD グループを指定 | 部門単位やプロジェクト単位で切り分け可能 |
| 動的メンバーシップ | 「条件」タブで属性式(例: department eq 'Finance')を入力 |
人事異動に自動追従、管理負荷が低減 |
重要ポイント:動的ルールは Azure AD Premium P1 以上のライセンスが必要です。利用できない場合は固定グループで代替してください。
個別ユーザーへの MFA 有効化と認証方式設定
ポリシーだけではカバーしきれない例外ユーザーやテスト対象者には、 個別に MFA をオンにする 手順が必要です。ここでは代表的な3つの認証方式について、エンドユーザー側の操作も含めて具体的に説明します。
Microsoft Authenticator の登録フロー
- 管理センターで 「ユーザー」 → 対象ユーザー検索 → 「認証方法」タブ を開く
- 「多要素認証」 スイッチを オン にし、保存ボタンをクリック
- 次回サインイン時に表示される QR コードをユーザーがスマートフォンの Authenticator アプリでスキャン
ポイント:QR コードは 5 分間有効です。期限切れの場合は再度ポップアップから取得してください。
SMS・音声通話の有効化手順
- 同様にユーザー詳細画面の「認証方法」タブで 「SMS」 または 「音声通話」 をオンにする
- ユーザー属性ページで 携帯電話番号(国コード込み) を入力・保存
- テストサインイン時に 6 桁コードが SMS で届くか、音声ガイダンスが流れることを確認
| 認証方式 | コード文字数 | 留意点 |
|---|---|---|
| SMS | 6桁 | 国内外の通信料金が発生するため、予算管理が必要 |
| 音声通話 | 6桁 (DTMF) | 通信品質が低い地域では遅延が起きやすい |
ポイント:国際電話の場合は必ず「+」と国コードを先頭に付けて入力してください。
OATH トークン(ハードウェア/ソフト)の設定
- 「認証方法」タブで 「OATH ハードウェアトークン」 または 「OATH ソフトウェアトークン」 を有効化
- 管理者が発行した Base32 形式のシークレットキー をユーザーに配布
- ユーザーは Authenticator アプリで 「+」 → 「職場または学校のアカウント」 → 「手動入力」 と進み、キーを貼り付けて登録
ポイント:ハードウェアトークンはシリアル番号で管理し、紛失時は SOP に従って即座に無効化してください。
条件付きアクセスポリシーで MFA を必須化する例
条件付きアクセスを活用すると、 リスクが高いサインイン や 外部ネットワークからのアクセス のみ MFA を要求できます。以下では実務ですぐに使える2つのパターンを示します。
高リスクサインイン時に MFA を要求
- 管理センター左メニュー 「条件付きアクセス」 → 「+ 新しいポリシー」
- 「割り当て」→「ユーザーとグループ」で対象(例:全社)を選択
- 「クラウド アプリ」では 「すべてのクラウドアプリ」 を指定
- 「条件」→「サインインリスク」で 「高」 をオンにする
- 「付与」→「アクセスを許可」+ 「多要素認証が必要」 にチェックし、保存
ポイント:リスク評価は Entra ID の組み込みアルゴリズム(IP 異常・デバイス未登録等)に基づきます。詳細は Microsoft Docs(MFA の概要)をご参照ください。
外部ネットワークからのアクセス時に MFA を適用
- 同様に新規ポリシー作成
- 「条件」→「場所」で 「信頼できるロケーション」 に社内 IP 範囲を登録し、「その他すべてのロケーション」(外部)を対象に設定
- 付与で 「多要素認証が必要」 を選択
| 条件 | 推奨設定 |
|---|---|
| 高リスクサインイン | MFA 必須 + アカウントロックアウトポリシー併用 |
| 外部アクセス | MFA 必須 + デバイスコンプライアンスチェック(オプション) |
ポイント:VPN 経由で社内 IP が見えるケースがあるため、IP 判定だけでなく デバイスの状態 も合わせて評価すると安全です。
CSV インポートによる一括設定と監査・ベストプラクティス
数百~数千ユーザーに対して個別に MFA を有効化するのは非効率です。CSV ファイルを使ったインポート機能で 一括適用 し、さらに 監査ログ で変更履歴を確認できる手順をまとめます。
CSV フォーマットと必須項目
| 列名 | 例 | 説明 |
|---|---|---|
| userPrincipalName | alice@example.com | ユーザーの UPN(一意) |
| mfaEnabled | true / false / enforce | true=有効、false=無効、enforce=次回サインイン時に必須 |
| authenticationMethod | Authenticator, SMS, OATH | 任意でデフォルト方式を指定可能 |
ポイント:
enforceを使用すると対象ユーザーはサインイン時に MFA 登録が強制されます。
インポート手順(Microsoft Docs 参照)
- 上記仕様で CSV ファイルを作成し、UTF‑8 エンコードで保存
- 管理センター 「認証方法」→「ポリシー」 画面右上の 「インポート」 ボタンをクリック
- ファイルを選択し、プレビューで内容を確認後 「インポート開始」 を実行
インポート結果は 成功 / 失敗 に分かれ、失敗したレコードはダウンロードできるエラーログで原因を特定できます。
参考情報:Microsoft の公式ドキュメント(Azure AD の CSV インポート)に手順が掲載されています。
監査ログの確認方法
- 左メニュー 「監査」 → 「Azure AD の監査ログ」 に移動
- フィルタで 「操作: MFAEnabled」 または対象ユーザー名を設定し、期間を指定
- 各イベントの詳細画面で 変更者・実行日時・適用結果 が確認できる
ポイント:監査ログはデフォルトで 30 日保持です。長期保存が必要な場合は Azure Monitor の Log Analytics にエクスポートしてください(Microsoft Docs: Log Analytics へのエクスポート)。
再認証期間・除外ユーザー管理のベストプラクティス
| 項目 | 推奨設定 | 理由 |
|---|---|---|
| 再認証期間 | 30 日(機密アプリ向け) | 短いほどリスク低減。ただし業務負荷増加に注意 |
| 除外ユーザー | 必要最小限のサービス アカウントのみ | 除外はセキュリティギャップになるため、四半期ごとにレビュー |
- 除外設定 は個別ポリシーで「MFA を無効」にし、必ず監査ログに記録させます。
- 定期レビュー のプロセスを社内 SOP に組み込み、変更があれば即座に反映できる体制を整えておくと、リスクの蓄積を防げます。
重要ポイント:除外は例外扱いであることを明確にし、承認フローを設けてから実施してください。
参考情報
| 項目 | 出典・URL |
|---|---|
| Entra ID 管理センターの UI 解説(2024 年版) | Microsoft Docs: https://learn.microsoft.com/ja-jp/azure/active-directory/fundamentals/what-is-entra-id |
| 多要素認証の概要と導入手順 | Microsoft Docs: https://learn.microsoft.com/ja-jp/azure/active-directory/authentication/howto-mfa-getstarted |
| 条件付きアクセスのベストプラクティス | Microsoft Docs: https://learn.microsoft.com/ja-jp/azure/active-directory/conditional-access/overview |
| CSV インポート機能の詳細 | Microsoft Docs: https://learn.microsoft.com/ja-jp/azure/active-directory/users-bulk-import |
| 監査ログのエクスポート方法 | Microsoft Docs: https://learn.microsoft.com/ja-jp/azure/active-directory/reports-monitoring/howto-integrate-activity-logs-with-log-analytics |
※上記リンクは執筆時点で確認できた公式情報です。外部サイト(例:APC 技術ブログ)への言及は、出典が不明確なため削除し、代わりに公式ドキュメントを引用しました。
以上の手順とポイントを踏まえて実装すれば、MFA の導入・運用が統一的かつ安全に行える はずです。各組織のポリシーやライセンス状況に合わせて適宜カスタマイズし、定期的なレビューで継続的改善を図ってください。