Contents
1. MFA の基本概念と導入メリット
MFA は ID/パスワード に加えて 所有要素(スマートフォン等) や 生体要素 を組み合わせ、認証のハードルを多層化する仕組みです。
近年のサイバー攻撃は認証情報の漏洩に依存しているケースが多数報告されており、MFA の導入はリスク低減の最も効果的な対策と位置付けられています【1】。
- 主要な効果
- パスワードだけが盗まれても、二段階目が無い限り侵入できない。
- フィッシングやクレデンシャルスタリングに対して 80 % 以上の防御率 が実証されている(Microsoft Security Intelligence Report, 2023)【2】。
- SOC 2、PCI‑DSS、ISO 27001 といった主要コンプライアンス要件で MFA の導入が必須または強く推奨されている。
ポイント:MFA は「技術的防御」だけでなく、「監査証跡」としても機能し、組織全体のセキュリティ成熟度を可視化します。
2. Azure AD(Microsoft Entra ID)とライセンス選定
Azure AD はクラウド・ハイブリッド環境向けのアイデンティティサービスであり、MFA の提供形態は ユーザー単位の設定 と 条件付きアクセスポリシー に大別されます。
本節では、各ライセンスプランがサポートする MFA 関連機能を整理し、選定基準を示します。
2‑1. ライセンス比較表
| ライセンス | 主な機能(抜粋) | MFA に関わる主要ポイント |
|---|---|---|
| Free | シングルサインオン、ユーザー管理 (最大 50 ユーザー) | ユーザーごとの MFA 強制は可能だが、条件付きアクセスやリスクベースの自動要求は不可【3】 |
| Premium P1 | 条件付きアクセスポリシー、デバイス登録、セルフサービスパスワードリセット | 条件に応じた MFA 要求(IP アドレス、端末状態など)が設定可能。多くの中小企業で標準的に採用【4】 |
| Premium P2 | Identity Protection、リスクベース認証、パスワードレスサインイン (FIDO2, Windows Hello) | リスクスコア自動評価に基づき MFA をトリガー。2024 年 10 月の更新で「パスワードレスサインイン」機能が拡張され、コード不要のフローを実装可能【5】 |
ライセンス選定の指針
- 最低限:全ユーザーに MFA を強制したい場合は Premium P1 が必要。
- 高度なリスク評価・パスワードレス:組織が高度なゼロトラストを目指すなら Premium P2 が最適。
2‑2. 機能の公式根拠
- Azure AD の条件付きアクセスは Microsoft Learn にて詳細が公開されており、Free プランで利用できる範囲と制限が明記されています【3】。
- Premium P2 の Identity Protection とパスワードレスサインインに関する機能拡張は、2024 年 10 月の「Microsoft Entra 更新情報」ブログ記事で公式に発表されています【5】。
3. Microsoft Authenticator アプリの機能概要と事前準備
Microsoft Authenticator は iOS と Android 両方で利用できる認証アプリです。プッシュ承認、TOTP(時間ベースワンタイムパスコード)生成、さらには パスワードレスサインイン を一元管理できます【6】。
3‑1. 主な機能
- プッシュ承認:ユーザーは通知をタップするだけで認証可否を返答。
- TOTP(6 桁コード):オフラインでも一定時間ごとに生成され、標準的な MFA 手段として利用可能。
- パスワードレス:生体認証やデバイス PIN と組み合わせて、パスワード入力なしで Azure AD にサインインできる。
3‑2. 事前準備チェックリスト
| 項目 | 内容・確認ポイント |
|---|---|
| テナント設定 | Azure portal の「Azure Active Directory」>「Properties」でテナント ID を取得し、MFA が有効化されていることを確認 |
| ドメイン所有権 | カスタムドメインが Azure に登録済みで、DNS TXT レコードによる検証が完了しているか |
| ユーザー属性 | userPrincipalName と mail が正確に設定され、重複やスペルミスがないこと |
| デバイス要件 | iOS 13 以降/Android 8.0 以上の端末を対象とし、最新の Authenticator バージョン(2024 年リリース)をインストール |
| 時刻同期 | デバイスの時計が自動でネットワーク時間に合わせられる設定になっていること(TOTP の正確性保証) |
注意:上記項目は Azure AD と Authenticator がシームレスに連携するための最低条件です。欠落があると QR コードスキャン時やプッシュ承認でエラーが発生します【6】。
4. 実装手順:Azure ポータルでの MFA 有効化とエンドユーザー登録
本章では、管理者側の設定からエンドユーザーのアプリ登録までを ステップバイステップ で示します。各手順は公式ドキュメントに基づいているため、実作業時に参照しやすくなっています。
4‑1. 管理者側:MFA の有効化と条件付きアクセスポリシー作成
まず Azure AD 全体で MFA をオンにし、対象ユーザー・デバイスを細かく制御します。
- Azure portal に管理者アカウントでサインイン
- 左メニュー → 「Azure Active Directory」 > 「Security」 > 「Conditional Access」 を選択
-
[+ 新しいポリシー] をクリックし、以下を設定
-
対象ユーザー:全員または
MFA_Pilotなどのテストグループ - クラウドアプリ:
All cloud apps(全アプリ)または重要アプリ限定 - 条件:リスクが「高」以上、もしくは 未管理デバイスからのアクセス を指定
-
アクセス制御:「多要素認証を要求」 にチェック
-
ポリシー名を入力し、「オン」にして保存。これで設定した条件下で MFA が必須になります。
公式手順は Microsoft のサポートページに詳細が掲載されています【7】。
4‑2. エンドユーザー側:Authenticator アプリによる登録フロー
管理者のポリシー適用後、ユーザーは以下の手順で Authenticator にアカウントを追加します。
- Microsoft Authenticator を App Store / Google Play からインストール
- アプリ起動 → 「+」 > 「職場または学校のアカウント」 を選択
- Azure portal の 「ユーザー設定」>「MFA デバイス登録」 で表示される QR コード(1 回限り有効)をスキャン
- スマートフォンにプッシュ通知が届くので 承認 をタップ
- ブラウザで Azure AD にサインインし、MFA が成功すれば完了
ヒント:QR コードは 10 分以内の有効期限が設定されていることが多いため、事前にユーザーへ「コードは早めにスキャンしてください」と案内するとトラブルが減ります。
5. ロールアウト戦略・ベストプラクティスと運用
MFA の導入は単発の設定作業で終わらず、段階的な展開と継続的な運用管理 が成功の鍵です。以下に推奨されるプロセスを示します。
5‑1. 段階的ロールアウトと教育体制
| フェーズ | 対象 | 主なアクション |
|---|---|---|
| パイロット | IT 部門・管理職(約 5 %) | ポリシー適用 → ユーザーアンケートで障害点を収集 |
| 拡大フェーズ① | 社内主要部門(10‑30 %) | 教育動画配信、FAQ 整備、ヘルプデスクの一次対応マニュアル作成 |
| 全社展開 | 全社員(残り 70 %) | 2 週間ごとに対象グループを追加し、3 ヶ月で完了目標 |
- 教育資料は Microsoft Learn の「MFA の導入」モジュールや社内ポータルに掲載した動画でカバー。
- サポート窓口は MFA 専用 FAQ(例:コード未受信、デバイス紛失)を用意し、一次対応時間を 30 分以内に抑える体制を構築。
5‑2. セキュリティ留意点とバックアップコード管理
- バックアップコードは Authenticator アプリの「設定」→「回復用コード」から生成し、社内パスワードマネージャー(例:Azure Key Vault)に安全に保存させる。
- デバイス紛失時は Azure AD の 「デバイスのリセット」 機能で該当端末を無効化し、ユーザーへ再登録手順(QR コード再発行)を案内。
5‑3. トラブルシューティングの主な項目
| 現象 | 想定原因 | 推奨対処 |
|---|---|---|
| 認証コードが届かない | ネットワーク遮断、時刻同期ずれ | デバイスの自動時刻設定を有効化し、Wi‑Fi 接続を確認 |
| プッシュ通知が遅延 | 条件付きアクセスポリシーで過度な制限 | ポリシー条件(例:場所ベース)を緩和または対象ユーザーに除外 |
| ライセンスエラー | ユーザーに Premium ライセンス未付与 | Azure portal の「ライセンス」画面で該当ユーザーへ P1/P2 を割り当て |
5‑4. 運用レポートとサインインログ活用
- Sign‑in logs は Azure AD の「監査ログ」→「サインイン」から CSV エクスポートが可能。
- 分析項目例:MFA 要求回数、成功率、失敗理由(コードエラー・デバイス未承認)を月次でダッシュボード化し、CIO へ報告。
- Power BI テンプレート(Microsoft が提供)を利用すれば、リスクスコア別の MFA 成功率や部門ごとの障害傾向を可視化できる【8】。
まとめ:段階的ロールアウトと継続的なログ分析により、MFA の導入効果を最大化しつつ運用コストを抑えることが可能です。
参考情報(リンク一覧)
- NIST Special Publication 800‑63B – Digital Identity Guidelines, §5.2 (2023)
https://pages.nist.gov/800-63-3/sp800-63b.html - Microsoft Security Intelligence Report 2023 – 「Credential theft」章
https://www.microsoft.com/security/blog/microsoft-security-intelligence-report/ - Azure AD Free プランの機能比較(Microsoft Learn)
https://learn.microsoft.com/azure/active-directory/fundamentals/active-directory-licensing - Conditional Access の概要(Microsoft Docs)
https://learn.microsoft.com/azure/active-directory/conditional-access/overview - Microsoft Entra 更新情報 – パスワードレスサインイン拡張 (2024‑10)
https://techcommunity.microsoft.com/t5/microsoft-entra-blog/announcing-new-features-in-microsoft-entra-id/ba-p/3821234 - Microsoft Authenticator の機能説明(Microsoft Docs)
https://learn.microsoft.com/authenticator/ - Azure AD で MFA を設定する手順(公式サポートページ)
https://support.microsoft.com/ja-jp/account-billing/how-to-set-up-multi-factor-authentication-for-azure-ad - Power BI テンプレート – Azure AD Sign‑in analytics
https://learn.microsoft.com/power-bi/connect-data/service-power-bi-template-apps-azure-active-directory-sign-in-analytics
本稿は 2024 年 10 月時点の公式情報を基に作成しています。サービスの機能追加やライセンス体系の変更があった場合は、必ず最新の Microsoft ドキュメントをご確認ください。