Contents
パスコード紛失時の初動チェック
パスコードが見つからなくても、復旧に必要な情報は必ず残っています。まずは Microsoft アカウントのセキュリティ情報 にアクセスし、バックアップコードや別デバイスで利用できる認証手段が設定されているかを確認します。これだけでも緊急時の対応策が大きく変わりますので、必ず実施してください。
バックアップコードの有無を確認する
Microsoft は MFA 設定時に バックアップコード(一次的な認証コード)を生成できるよう案内しています。バックアップコードは紙媒体やパスワードマネージャーに保管しておくと、デバイス紛失時に即座に使用できます。
- 【Microsoft アカウントのセキュリティ情報ページ】(https://account.microsoft.com/security) にサインイン
- 左メニューの 「追加のセキュリティ情報」 をクリック
- 「バックアップコード」 が表示されているか確認
ポイント:コードが未生成の場合は、同ページから 「バックアップコードを作成」 ボタンで新規作成し、安全な場所に保存してください(公式ドキュメント: バックアップ コードの取得と使用)。
別デバイスでの認証可否を確認する
複数端末に Microsoft Authenticator がインストールされていれば、紛失したデバイス以外でも承認が可能です。
- 予備のスマートフォンやタブレットに Microsoft Authenticator アプリをインストール
- 同一の Microsoft アカウントでサインインし、「復元」 オプションを選択
注意:復元できない場合は、次章でデバイス削除と再登録手順に進みます。
MFA デバイスの削除と再登録
紛失した端末を無効化し、新しい端末へ認証情報を移行する作業です。Azure AD ポータルか Microsoft アカウント設定から実施できますが、管理者権限が必要になる点に留意してください。
Azure AD ポータルでの手順
- 【Azure ポータル】(https://portal.azure.com) に管理者アカウントでサインイン
- 左メニュー → 「Azure Active Directory」 → 「ユーザー」 を選択
- 該当ユーザーを検索し、プロファイルの 「認証方法」 をクリック
- 紛失した Microsoft Authenticator エントリ横の 「削除」 ボタンを押す
削除後は 「+ 認証方法の追加」 から新デバイスを登録します。
Microsoft アカウント設定での手順
- 【Microsoft アカウント セキュリティ情報】(https://account.microsoft.com/security) にアクセス
- 「認証アプリ」 の項目で現在登録されているデバイス一覧を表示
- 紛失した端末の 「削除」 を選択し、確認画面で 「はい」
その後、スマートフォンに Authenticator アプリをインストールし、表示された QR コードまたは手入力コードで再登録してください(公式ガイド: Authenticator のセットアップ)。
管理者権限での認証情報リセット方法
ユーザー自身が復旧できないケースでは、IT 管理者が MFA 設定をリセットします。ここでは Microsoft 365 管理センター と PowerShell の二つのアプローチを紹介し、使用するモジュールの整合性にも注意します。
Microsoft 365 管理センターからのリセット
- 【Microsoft 365 管理センター】(https://admin.microsoft.com) に管理者としてサインイン
- 左メニュー → 「ユーザー」 → 「アクティブなユーザー」 を選択
- 対象ユーザーをクリックし、「認証方法のリセット」 ボタンを押す
この操作により、次回サインイン時に MFA の再設定が求められます(公式手順: MFA のリセット)。
PowerShell での一括リセット
大量ユーザーに対して MFA をリセットする場合は、AzureAD モジュールまたは MSOnline モジュールを統一的に使用します。以下では AzureAD(推奨)と MSOnline の両方の例を示し、どちらか一方だけをインポートすれば済むようにしています。
AzureAD モジュールを使う場合(推奨)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
# 1. モジュールのインストールと接続 Install-Module -Name AzureAD -Force Connect-AzureAD # 2. 部署単位で対象ユーザーを取得(例: 営業部) $users = Get-AzureADUser -Filter "Department eq '営業'" # 3. 各ユーザーの MFA 認証方法を削除 foreach ($u in $users) { # すべての認証方式 (電話、メール、Authenticator 等) を一括削除 Get-AzureADUserAuthenticationMethod -ObjectId $u.ObjectId | ForEach-Object { Remove-AzureADUserAuthenticationMethod -ObjectId $u.ObjectId -AuthenticationMethodId $_.Id } Write-Host "$($u.UserPrincipalName) の MFA がリセットされました" } |
MSOnline モジュールを使う場合(レガシー環境向け)
|
1 2 3 4 5 6 7 8 9 10 |
Install-Module -Name MSOnline -Force Connect-MsolService $users = Get-MsolUser -Department "営業" foreach ($u in $users) { Set-MsolUser -UserPrincipalName $u.UserPrincipalName -StrongAuthenticationMethods @() Write-Host "$($u.UserPrincipalName) の MFA がリセットされました" } |
重要:実行前に必ずテスト環境で動作確認し、対象ユーザーを限定するフィルター条件を正確に設定してください。
緊急代替認証オプションの設定・活用
MFA デバイスが利用できない状況でも、SMS、電話、メール、または Authenticator の「オフライン一時コード」など複数の代替手段を事前に有効化しておくことで、業務停止リスクを最小限に抑えられます。
SMS/電話認証の有効化手順
- 【Microsoft アカウント セキュリティ情報】(https://account.microsoft.com/security) にアクセス
- 「電話番号」 を追加し、SMS または 音声通話 の受信方法を選択
- 入力した番号に届く確認コードを入力して完了
この方式はインターネット接続が不安定な環境でも利用可能です(公式ガイド: 電話番号の追加)。
メール認証とオフライン一時コードの活用
- メール認証:セキュリティ情報に登録した代替メールアドレスへコードが送信されます。
- オフライン一時コード:Authenticator アプリの設定 → 「オフライン コード」 を有効化すると、インターネット未接続でも 8 桁コードが生成されます(公式説明: オフライン コードの使用方法)。
認証画面で 「別の方法を使用」 を選択すると、上記代替手段が一覧表示されるので適切なものを選んでログインしてください。
バックアップ・復元と紛失後のセキュリティ強化
デバイス紛失時は「事前対策」だけでなく、事後の監査と追加保護 が重要です。ここではクラウドバックアップ、リカバリキー取得、そして監査ログ確認手順をまとめます。
クラウドバックアップの設定方法
- Authenticator アプリを開き 「設定」 → 「バックアップ」 をオンにする
- バックアップ先として使用する Microsoft アカウント(個人・組織)を選択
この設定が有効になると、新しい端末で同一アカウントにサインインしただけで認証情報が自動的に復元されます(公式ドキュメント: Authenticator のバックアップ)。
リカバリキーの取得と保管
Azure AD では 「リカバリキー」 を別途発行でき、MFA デバイスが全く利用不可になった場合に使用します。
- Azure ポータル → 「Azure Active Directory」 → 「ユーザー」 → 対象ユーザー
- 「認証方法」 タブで 「リカバリキー」 を表示し、画面の指示に従って保存
取得したキーは紙媒体や暗号化されたパスワードマネージャーに保管してください。
監査ログによる不正アクセスチェック
紛失直後は サインイン履歴 と 監査ログ を確認し、異常な試行がないかを速やかに把握します。
- Azure ポータル → 「Azure AD」 → 「監査ログ」
- フィルタで対象ユーザーと「サインイン失敗」を選択し、期間は紛失直後の 24 時間以内
異常が検出された場合は、即座に パスワード変更 と 不要デバイス削除 を実施し、必要に応じてセキュリティ情報を再構築します(参考: 監査ログの確認方法)。
まとめ
| 項目 | 主なポイント |
|---|---|
| 初動チェック | バックアップコードと別デバイスの有無をまず確認。 |
| MFA デバイス削除・再登録 | Azure AD ポータルまたは Microsoft アカウント設定から実施。 |
| 管理者リセット | 管理センターの「認証方法のリセット」か、AzureAD/MSOnline PowerShell を統一的に使用。 |
| 代替認証オプション | SMS・電話・メール・オフラインコードを事前に有効化。 |
| バックアップ・復元 | Authenticator のクラウドバックアップ、リカバリキー取得、監査ログ確認でセキュリティを強化。 |
これらの手順を社内マニュアルとして整備すれば、Microsoft Authenticator のパスコード紛失時でも迅速かつ安全に業務復旧が可能です。常に 「事前に設定し、事後に監査する」 サイクルを回すことが、組織全体の認証セキュリティ向上につながります。