Entra ID の MFA 基本概要とプラン別ライセンス比較

Entra ID の MFA 基本概要とライセンス体系

Entra ID（旧 Azure AD）では、すべてのテナントに 基本 MFA が無料で提供されています。ここでは「コード入力」や「プッシュ承認」といったシンプルな多要素認証が利用可能です。一方、条件付きアクセスやリスクベース認証などの 高度 MFA は有料ライセンス（Azure AD Premium P1 / P2）でのみ有効になります。本稿では最新料金情報を確認したうえで、各プランの機能と導入シナリオを整理します。

基本 MFA と高度 MFA の違い

基本 MFA はサインイン時にユーザーが 認証コードまたはプッシュ通知 を求められるだけの仕組みです。高度 MFA では、アクセス条件やリスク評価に応じて自動的に MFA が要求される といった柔軟な制御が可能になります。これにより、管理者はポリシー単位で認証フローを最適化でき、セキュリティとユーザー体験のバランスを取れます。

プラン別 MFA 機能比較

本セクションでは、2026‑06 時点で公式に公表されている料金と機能を基に、Free、P1、P2 の３プランを比較します。価格は 年次契約 前提です（※最新情報は Microsoft Entra の価格ページをご確認ください）。

ポイントまとめ

• Free – 追加費用はかからないが、ポリシーでの細かな制御は不可。
• Premium P1 – 条件付きアクセスと基本的なリスク評価が利用可能で、部門やロケーション単位の MFA ポリシーを GUI で作成できる。
• Premium P2 – Identity Protection がフル装備され、サインイン・ユーザーリスクに応じた自動ブロックとレコメンデーションが提供される。

最新料金（2026‑06）
Premium P1：月額 6 USD / ユーザー（年次契約）
Premium P2：月額 9 USD / ユーザー（年次契約）
* SMS 送信料は米国で $0.01/件、音声通話は $0.02/分 など、従量課金の単価は地域ごとに異なります。

組織規模・業種別導入シナリオとおすすめプラン

SMB（中小企業）向けシナリオ

中小企業では予算抑制が重要です。このため Free → P1 の段階的移行が一般的です。

初期フェーズ：Free の基本 MFA を全員に適用

Free プランの基本 MFA を有効化し、認証手段は Microsoft Authenticator アプリ に統一します。SMS や音声通話は従量課金になるため、必要最小限だけ有効化してください。

拡張フェーズ：P1 ライセンスで条件付きアクセスを導入

部門ごとに「外部ネットワークからのサインイン時は MFA 必須」などのポリシーを作成します。P1 があれば Azure ポータル上で GUI 設定が可能となり、運用負荷が大幅に削減されます。

コスト感（目安）

• 従業員 80 名、P1 を全員に付与した場合の年間費用は ≈ 57,600 USD（80 × 6 USD × 12）。
• SMS/音声通話を月 500 件程度利用すると、従量課金は 約 5 USD 程度に抑えられます。

エンタープライズ（大企業）向けシナリオ

金融・医療など規制が厳しい業種では、Identity Protection を含む Premium P2 が推奨されます。

高度リスク管理の実装例

• サインインリスクスコアが「高」以上の場合は自動的に MFA 要求 + アカウントロック。
• デバイスリスクが検出された場合、条件付きアクセスポリシーで 非許可デバイスからのアクセスをブロック。

統合レポートと監査対応

P2 ではユーザー・デバイスリスクのダッシュボードが利用でき、コンプライアンス報告書の自動生成機能も備わっています。これにより内部監査や外部審査への準備時間を短縮できます。

コスト感（目安）

• 従業員 5,000 名で P2 を全員に付与した場合、年間ライセンス費用は ≈ 540,000 USD（5,000 × 9 USD × 12）。
• リスクベースブロックによって年平均 30 件のフィッシングインシデントが防止できたと仮定し、1 件あたり損失額を 20,000 USD とすると、削減効果は ≈ 600,000 USD に達します。

MFA 設定手順と条件付きアクセス連携のポイント

手順概要（全体フロー）

以下の流れで基本 MFA の有効化から、条件付きアクセスポリシーの作成・適用までを行います。P1 以上が必要なステップは明示しています。

1. Azure portal にサインインし、Entra ID → セキュリティへ移動

Azure ポータルで左側メニューから Microsoft Entra ID を選択し、続いて セキュリティ → 認証方法 にアクセスします。

2. 基本 MFA の有効化

対象ユーザーまたはグループを選び、「多要素認証の要求」を オン にします。Free プランでもこの操作だけで基本 MFA が適用されます。

3. 条件付きアクセスポリシーの作成（P1 必須）

条件付きアクセスは Azure AD Premium P1 があれば利用可能です。以下に具体的な要件を示します。

4. 従量課金 MFA 方法の有効化とコスト管理

SMS や音声通話は従量課金対象です。利用頻度が高くなるとコストが膨らむため、ポリシーで「SMS は緊急時のみ」 といった制限を設けることを推奨します。

5. ポリシー適用前の検証（必須）

条件付きアクセスポリシーは 「レポート → 条件付きアクセスのシミュレーション」 で事前にテストできます。特に管理者アカウントが除外されていないか確認し、ロックアウトを防止してください。

注意点とベストプラクティス

• 除外ユーザーのチェック – ポリシー適用後に管理者がサインインできなくなるケースは多発します。必ず「除外」設定で管理者アカウントを保護してください。
• 認証方法の優先順位 – ユーザーエクスペリエンスを考慮し、プッシュ承認（Authenticator）をデフォルトにし、SMS/音声はバックアップとして限定的に有効化します。
• リスクレベル設定（P2） – Identity Protection のリスクレベルは「低」→「中」→「高」の 3 段階で構成されます。導入初期は「中」までの自動ブロックを有効にし、運用実績に応じて「高」へ拡張すると安全です。

コスト効果・ROI 比較と導入判断指標

費用対効果の評価フレームワーク

以下の計算式で、ライセンス費用に対するインシデント削減効果を定量化できます。実際の数値は自社の過去データや業界ベンチマークを元に置き換えてください。

実務ケース（仮想）

• 従業員 500 人、Premium P1 導入
• 年間ライセンス費用　＝ 500 × 6 USD × 12 ≈ 36,000 USD
• フィッシング被害年平均 4 件、1 件あたり損失額 20,000 USD → 削減コスト 80,000 USD（全件防止と仮定）

• ROI = [(80,000 – 36,000) / 36,000] × 100 ≈ 122%

• 従業員 3,000 人、Premium P2 導入

• 年間ライセンス費用　＝ 3,000 × 9 USD × 12 ≈ 324,000 USD
• Identity Protection によるインシデント削減効果を 150 件/年、1 件あたり損失額 15,000 USD とすると、削減コストは 2,250,000 USD。
• ROI = [(2,250,000 – 324,000) / 324,000] × 100 ≈ 594%

導入判断の指標

まとめ：MFA 導入のベストアプローチ

1. Free の基本 MFA を全員に即時適用し、認証手段は Authenticator に統一。
2. 条件付きアクセスが必要になったら Premium P1 を導入し、ポリシーを GUI で作成・管理。
3. 金融・医療など高リスク業界では Premium P2 の Identity Protection が ROI 向上の鍵となります。
4. 従量課金の SMS / 音声通話はコストが膨らみやすいので、ポリシーで使用条件を限定し、定期的にレポートで利用状況をモニタリングしてください。

これらのステップと指標を活用すれば、組織規模や業種に合わせた最適な MFA 戦略を構築でき、セキュリティリスクとコストの両面で最大効果を得られます。