Contents
Microsoft Authenticator の企業向け機能概要
組織がゼロトラスト戦略を構築する際に重要になる MFA、パスワードレス認証、プッシュ承認 の 3 つのコア機能について解説します。
MFA(多要素認証)
Microsoft Authenticator は、SMS や電話よりも安全性が高いプッシュ通知や生体認証を利用した 多要素認証 を提供します。ユーザーはモバイル端末に届く承認要求をワンタップで完了でき、認証フローの遅延がほとんどありません。
- 公式ドキュメント(2024 年版): https://learn.microsoft.com/ja-jp/entra/authentication/howto-authenticator-app
- 主な利点
- フィッシング耐性が向上
- 認証成功率 > 95 %(Microsoft の内部統計)
パスワードレス認証
パスワードを廃止し、デバイスの生体情報(指紋・顔認証)や FIDO2 セキュリティキー と組み合わせたサインインが可能です。これにより、クレデンシャルスタリングやパスワード再利用といったリスクを根本的に排除します。
- 公式ガイド(2024 年版): https://learn.microsoft.com/ja-jp/entra/id-governance/passkey-authentication
- 実装上のポイント
- デバイスが Azure AD 登録済みであることが前提
- 条件付きアクセスポリシーで「パスワードレスのみ許可」を指定
プッシュ通知(Push Approval)
認証要求は数秒以内にユーザー端末へプッシュ配信され、タップ一つで承認できます。ネットワーク遅延が少ないため、業務プロセスの停止を最小限に抑えられます。
- 最新情報: https://learn.microsoft.com/ja-jp/entra/authentication/howto-authenticator-app-push
- 注意点
- デバイスがインターネットに接続できない環境では代替手段(電話/SMS)を用意
アイコン刷新と企業アカウント追加機能の適用手順(最新情報)
2021 年に発表された UI 改善は、2023 年度中に 新しいアイコンセット と 「組織アカウント自動検出」 機能が正式リリースされました。本節では、現在の Azure AD ポータルで有効化できる手順を示します。
変更点の概要(2024 年時点)
- アイコン刷新:Microsoft Authenticator アプリ内に企業ロゴが自動表示され、ユーザーは自社アカウントかどうかを瞬時に判別できます。
- 組織アカウント追加:QR コード入力不要で、Azure AD の「エンタープライズ アプリ」一覧から直接アカウントが取得できる UI が統合されました。
※注意: 2024 年のポータル画面には「企業ロゴの使用」スイッチは存在せず、「ブランディング設定 → ロゴ表示」 が正しい手順です。実装前に対象テナントで項目が有効か確認してください。
Azure AD ポータルでの設定手順
- Azure portal にサインインし、左メニューから 「Azure Active Directory」 > 「ブランディング」 を選択します。
- 「ロゴ表示」セクションで 「企業ロゴを有効にする」 チェックボックスをオンにし、アップロードした PNG ロゴ(推奨サイズ 240 × 240 ピクセル)を指定します。
- 同ページ下部の 「認証アプリ設定」 に移動し、「組織ロゴ付きアイコン」を選択してプレビューを確認します。
- 「保存」ボタンをクリックすると、全ユーザーの Authenticator アプリに新しいアイコンが自動反映されます(反映には最大 30 分程度かかります)。
参考リンク(2024 年版): https://learn.microsoft.com/ja-jp/entra/fundamentals/customize-branding
カスタムブランディング設定
企業の UI 統一感はユーザーの信頼獲得に直結します。Azure AD のブランディング機能を活用して、ロゴ・スプラッシュスクリーン・カラー・テキスト をカスタマイズする手順をご紹介します。
ロゴ・スプラッシュスクリーンのアップロード
- Azure portal → Azure AD → ブランディング を開きます。
- 「ロゴ画像」欄で 300 KB 以下の PNG/JPEG を選択し、「保存」します。推奨サイズは 240 × 240 ピクセル(正方形)。
- 同ページの 「スプラッシュスクリーン」 に、640 × 480 ピクセル以上の画像をアップロードします。
- 保存後、ユーザーがサインインする際および Authenticator アプリ起動時に新しいビジュアルが表示されます。
ベストプラクティス: 透過 PNG を使用すると、ダークモードでもロゴが鮮明に見えます。
カラーとテキストのカスタマイズ
- 「ブランディング」ページ内の 「カラーとテキスト」 タブを選択します。
- ブランドカラー(HEX 形式)を入力し、プレビューで背景色・リンク色が正しく反映されているか確認します。
- サインインページテキスト 欄に、社内ポリシーやヘルプリンクの短文(30 〜 80 字程度)を記入します。例: 「安全なサインインのため、生体認証をご利用ください。」
| 項目 | 推奨入力例 |
|---|---|
| カラースキーム | #0A6EBE (Microsoft Blue) |
| サインインテキスト | 「本サービスは多要素認証が必須です。ご協力をお願いいたします。」 |
参考リンク(2024 年版): https://learn.microsoft.com/ja-jp/azure/active-directory/customize-branding
Intune / Endpoint Manager を使った一括配布とアプリ保護ポリシー
大規模導入時に手動インストールを避けるため、Intune の 「アプリ カタログ」 からテンプレート選択で Microsoft Authenticator を配布します。以下では iOS と Android 両方の手順と、MAM(モバイル アプリ 管理)ポリシーの設定例を示します。
アプリ配布プロファイルの作成(テンプレート方式)
- Microsoft Endpoint Manager admin center に管理者としてサインインし、左メニューから 「アプリ」 > 「すべてのアプリ」 を選択。
- 画面上部の 「+ 追加」 → 「ストア アプリ」 → 「iOS/iPadOS」(または 「Android」)をクリック。
- 「Microsoft Authenticator」と検索し、Microsoft が提供する公式テンプレートが表示されたら 「選択」。
- 必要に応じて 「構成情報」 でアプリの名前・説明を編集し、「次へ」 をクリック。
- 「割り当て」 タブで 「必須」 配布を選択し、対象デバイス グループ(例:
All_Company_Devices)を指定。 - 「作成」を完了すると、ポリシーが適用された端末は次回 Intune と同期したタイミングで自動的に Authenticator がインストールされます。
ポイント: URL を直接入力する方式は非推奨です。Microsoft Store の公式テンプレートを利用すれば、アプリの最新バージョンが常に配布対象となります。
参考リンク(2024 年版): https://learn.microsoft.com/ja-jp/mem/intune/apps/apps-add
App protection policy(MAM)の設定例
| 設定項目 | 推奨値・備考 |
|---|---|
| データ転送制御 | 「企業データのみ」 に限定し、コピー/貼り付けをブロック |
| 暗号化 | アプリ データは AES‑256 で自動暗号化(Intune が管理) |
| アクセス要件 | 起動時に 生体認証または PIN を必須 |
| リモートワイプ | 紛失・盗難端末からの 遠隔データ消去 を有効化 |
| 期限切れ通知 | ポリシー違反が検出された場合、ユーザーに 30 分以内 の是正を促すアラート |
- Endpoint Manager の左メニューから 「アプリ」 > 「ポリシー」 > 「App protection policies」 を選択。
- 「+ 作成」 → プラットフォーム(iOS/Android)を指定し、上表の設定項目を順に入力。
- 対象ユーザー に Authenticator を利用する全社員または特定グループを割り当て、保存 します。
ベストプラクティス: ポリシー変更後は必ずテストデバイスで挙動確認し、本番環境へ展開してください。
条件付きアクセスポリシーとベストプラクティス
Zero Trust の要となる条件付きアクセスを組み合わせ、デバイス登録+MFA および パスワードレスサインイン を実装します。さらに、導入後のモニタリング手順も併せて解説します。
デバイス登録と MFA の同時適用
- Azure portal → 「Azure Active Directory」 > 「条件付きアクセス」 を開く。
- 「+ 新しいポリシー」 で以下を設定:
- 対象ユーザー: 全員(または管理者ロール)
- クラウド アプリ:
Microsoft Authenticatorと主要 SaaS アプリ(例:Office 365) - 条件 → 「デバイスプラットフォーム」=iOS/Android、かつ「場所」=信頼できる IP 範囲のみ許可(任意)
- アクセス制御 → 「多要素認証を要求」+「承認済みデバイスのみ許可」
- ポリシー名を付けて 「有効化」、「作成」 を完了。
この設定により、Intune に登録された端末でしか MFA が通らず、未登録デバイスからの認証はブロックされます。
パスワードレスサインインの実装手順
- Azure AD → 認証方法 を開く。
- 「パスワードレス認証」セクションで以下を有効化:
- 「Microsoft Authenticator のプッシュ承認」
- 「FIDO2 セキュリティ キー」(必要に応じて)
- 条件付きアクセスポリシーで 「パスワードレス サインインを必須」にチェックし、対象ユーザーやアプリケーションを絞り込みます。
パスワードレスは MFA と同等のセキュリティレベルを保ちつつ、認証フローをシンプル化します。
モニタリングとレポート方法
| 機能 | 主な確認項目 | 取得手順 |
|---|---|---|
| Azure AD サインインログ | Authenticator 使用率・失敗原因 | ポータル > 「監査」>「サインイン」→ フィルタで クライアント アプリケーション = Microsoft Authenticator |
| Intune デバイスコンプライアンス | アプリ配布状況・準拠率 | 「デバイス」>「コンプライアンスポリシー」>対象グループのレポートを表示 |
| Endpoint Manager レポート | MAM ポリシー違反数 | 「レポート」>「アプリ保護」>違反イベントをエクスポート |
- サインインログ では、異常な失敗回数や地理的に不自然なアクセスが検出された場合にアラートを設定できます(Azure Monitor と連携)。
- Intune のコンプライアンスレポート を定期(月次)でレビューし、非準拠端末は自動でブロックまたはリモートワイプが実行されるようにフローを構築します。
これらの可視化情報は、ポリシー改善やインシデント対応の根拠資料として活用してください。
まとめ
| 項目 | 要点 |
|---|---|
| Authenticator の3大機能 | MFA・パスワードレス・プッシュ承認が Zero Trust の基盤 |
| アイコン刷新 & アカウント追加 | Azure AD ブランディング設定で即時有効化(2024 年版 UI) |
| ブランディング統一 | ロゴ、スプラッシュ、カラー、テキストをポータルから一括管理 |
| Intune 配布 & MAM | テンプレート方式で自動配布、App protection policy でデータ保護 |
| 条件付きアクセス | デバイス登録+MFA の同時適用、パスワードレスを必須化 |
| モニタリング | Azure AD サインインログと Intune コンプライアンスレポートで継続的に可視化 |
本ガイドの手順どおりに設定すれば、Microsoft Authenticator を自社ブランディングに合わせつつ、最新のセキュリティベストプラクティスを実装できます。導入後は 定期的なログレビュー と ポリシー更新 を忘れずに行い、変化する脅威環境にも柔軟に対応してください。
参考リンク(2024 年版)
- Microsoft Authenticator 機能概要: https://learn.microsoft.com/ja-jp/entra/authentication/howto-authenticator-app
- Azure AD カスタムブランディング: https://learn.microsoft.com/ja-jp/azure/active-directory/customize-branding
- Intune アプリ配布(ストアテンプレート): https://learn.microsoft.com/ja-jp/mem/intune/apps/apps-add
- 条件付きアクセスポリシーのベストプラクティス: https://learn.microsoft.com/ja-jp/azure/active-directory/conditional-access-best-practices
本記事は 2024 年 6 月時点の情報に基づいています。Microsoft のサービス更新に伴い、画面構成や機能名称が変更される可能性がありますので、実装前に公式ドキュメントをご確認ください。