Contents
Entra ID における MFA の全体像と選択肢
Entra ID(旧 Azure AD)で多要素認証(MFA)を導入すると、パスワードだけでは防げない不正アクセスのリスクを大幅に低減できます。本セクションでは、2024 年時点の管理ポータルで利用できる主要な認証方式と、それぞれが持つ特徴・適用シーンを整理します。組織のセキュリティ要件やユーザー層に合わせて最適な手段を選ぶことが、導入成功の鍵となります。
Authenticator アプリの特徴
Microsoft Authenticator はスマートフォン向けの公式アプリで、プッシュ通知とワンタイムパスコード(TOTP)の両方に対応しています。以下に主な利点を示します。
- プッシュ承認:サインイン要求が届くと 1 タップで許可でき、入力ミスのリスクがありません。
- オフライン TOTP:ネットワーク未接続時でもアプリ内でコードを生成できます。
- パスキー統合:最新の FIDO2 パスキーとしても利用可能です。
電話/SMS 認証の特徴
電話(音声)または SMS によるコード送信は、スマートフォンを所有していないユーザーにも対応できる汎用的な手段です。主なポイントは次のとおりです。
- 広範囲なデバイス対応:固定電話やフィーチャーフォンでも利用可能です。
- 即時配信:SMS は数秒で届き、音声呼び出しはリアルタイムに認証コードが再生されます。
- 管理上の注意点:SMS が通信キャリアを経由するため、遅延や受信不可リスクがあります。
OATH ハードウェアトークンの特徴
物理的なトークンはネットワークに依存しないため、極めて高い耐改ざん性が求められる環境で有効です。代表的な仕様は次の通りです。
- USB‑型・Bluetooth 型:デバイスによって接続方法が異なるが、どちらも TOTP を生成します。
- 完全オフライン:電波やインターネットに左右されず、長期間安定して使用できます。
- 導入コスト:ハードウェア購入費用と管理工数が必要です。
ポイント:組織の利用シーンに合わせて 2 種類以上の認証手段を提供すると、ユーザーエクスペリエンスを損なわずにセキュリティを向上させられます。
MFA を有効化するための前提条件とライセンス別機能
MFA の本番運用には「適切なライセンス」と「管理者ロール」の確保が不可欠です。本節では、無料プランでも実装できる範囲と、有料プラン(P1/P2)で利用可能になる追加機能を正確に整理します。
ライセンス別の MFA 提供内容
| プラン | MFA の有効化方法 | 条件付きアクセスポリシー | 主な制限 |
|---|---|---|---|
| Free(無料) | Security Defaults による組織全体の MFA 強制(特権アカウントに限定)。個別ユーザーへの手動有効化は不可。 | ❌(設定画面が提供されない) | カスタマイズできず、対象は管理者ロールやグローバル管理者に限られる。 |
| Azure AD Premium P1 | Security Defaults に加えて、Conditional Access ポリシーで MFA を柔軟に適用可能。 | ✅(ポリシーベースで設定) | 条件付きアクセスポリシーの作成・管理が必要。 |
| Azure AD Premium P2 | P1 の機能に加えて、リスクベース MFA(サインインリスクやユーザーリスク)を自動トリガーできる。 | ✅ | 追加の Identity Protection ライセンスが不要になる点がメリット。 |
重要:無料プランでは「Security Defaults」を有効にするだけで、管理者アカウント等一部ユーザーに MFA が適用されますが、個別ユーザーへのオンデマンド有効化や条件付きアクセスポリシーは利用できません。
必要な管理者ロール
| ロール | 主な権限 |
|---|---|
| Global Administrator | テナント全体の設定変更が可能。MFA の有効化・Security Defaults の切替に必須。 |
| Security Administrator | セキュリティ関連設定(条件付きアクセス、Identity Protection 等)を管理できる。 |
ユーザー側セルフサービス登録の手順
- 管理ポータルで 「Identity > User settings」 を開く。
- 「Multi‑factor authentication」項目の “Enable self‑service password reset (SSPR) and MFA registration” を Yes に変更し、保存する。
- 設定保存後、対象ユーザーは次回サインイン時に MFA の登録画面が自動的に表示されます。
結論:無料プランでは組織全体への強制はできませんが、Security Defaults により重要ロールの保護は可能です。P1/P2 を導入すれば条件付きアクセスポリシーで柔軟かつスケーラブルに MFA を適用できます。
ポータルから個別ユーザーへ MFA を有効化する手順
組織内の特定アカウントだけを優先的に保護したい場合、Entra 管理センターの UI で数クリックで設定できます。本節では実際の操作フローと注意点を解説します。
個別ユーザー向け MFA 有効化手順
- Microsoft Entra ID ポータルにサインインし、左メニューから 「Security」 → 「Multifactor authentication」 を選択。
- 表示された 「MFA ユーザー設定」 ページで、対象ユーザーのチェックボックスをオンにする。
- 画面上部の 「Enable」 ボタンをクリックし、ポップアップで 「Enforce MFA」 を選択して確定する。
- ユーザー一覧の 「Status」 列が Enabled に変わり、次回サインイン時に MFA が要求されます。
公式ドキュメントは こちら をご参照ください。
ポイント:個別有効化は即座に適用されるため、リスクが高いアカウントだけを先行保護するシナリオに最適です。
電話認証(Call)での挨拶メッセージカスタマイズ手順
電話による MFA では、企業独自のブランドメッセージや多言語対応が求められることがあります。現行 UI(2024 年版)からは、テキストベースと音声ファイルの両方を簡単に編集できます。
カスタマイズ画面へのアクセス手順
- 「Security」 → 「Authentication methods」 → 「Phone (Call)」 を選択。
- 「呼び出し時の挨拶」項目にある 「Edit」 ボタンをクリックすると、編集画面が表示されます。
テキスト・音声ファイルの設定方法
- テキスト編集:最大 256 文字まで入力可能。改行は
\nで表記し、{user}プレースホルダーでユーザー名を自動挿入できます。 - 音声アップロード:WAV(16 kHz, 16‑bit)または MP3(最大 2 MB)のいずれかを選択し、プレビューで確認後に 「Save」 をクリックします。
留意点:変更内容は全ユーザーの電話認証に即時反映されるため、テストは必ず管理者アカウントで実施してください。
結論:数ステップで挨拶文や音声を差し替えられるため、ブランディングと利用者体験の向上が容易に実現できます。
無料プランでも可能な一括 MFA 設定手法(PowerShell と UI)
多数のユーザーに対して同時に MFA を有効化したい場合、PowerShell スクリプトまたは管理センターのバルク操作が有効です。以下では無料プランでも実行できる正しいスクリプト例と UI 手順を示します。
PowerShell による一括有効化(MSOnline モジュール使用)
Microsoft Graph には個別ユーザーの MFA 状態を直接変更する API が提供されていないため、従来の MSOnline モジュールを利用します。無料プランでもこのモジュールはインストール可能です。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
# 1. MSOnline モジュールのインストール(初回のみ実行) Install-Module -Name MSOnline -Scope CurrentUser -Force # 2. テナントに接続 Connect-MsolService # プロンプトが表示されるので管理者アカウントでサインイン # 3. CSV ファイルから対象ユーザーを取得(列名は UserPrincipalName) $users = Import-Csv -Path ".\mfa_users.csv" foreach ($u in $users) { # MFA を有効化するための StrongAuthenticationRequirements オブジェクトを作成 $requirement = @( @{ RelyingParty = "*" State = "Enabled" } ) Set-MsolUser -UserPrincipalName $u.UserPrincipalName ` -StrongAuthenticationRequirements $requirement Write-Host "$($u.UserPrincipalName) の MFA を有効化しました。" -ForegroundColor Green } Write-Host "一括処理が完了しました。" -ForegroundColor Cyan |
CSV 例
| UserPrincipalName |
|---|
| alice@example.com |
| bob@example.com |
補足:
Set-MsolUserは無料プランでも利用可能ですが、Security Defaults が有効になっている場合は個別設定が上書きされない点に注意してください。
管理センター UI でのバルク操作
- ポータル左メニューから 「Users」 → 「All users」 を開く。
- チェックボックスで対象ユーザーを複数選択(ページ単位または全員選択が可能)。
- 上部の 「Bulk actions」 メニューから 「Enable MFA」 をクリックし、確認ダイアログで 「Yes」 を選択する。
UI のバルク操作も無料プランで利用できますが、Security Defaults が有効な場合は「Enable MFA」のオプション自体が表示されないことがあります。その際は Security Defaults を一時的に無効化してから実行してください。
要点:PowerShell スクリプトは再利用性が高く、定期的な運用や大量ユーザーへの適用に向いています。UI バルク操作は少数の変更であれば手軽です。
有料プラン(P1 / P2)向け条件付きアクセスポリシーによる MFA 強制とベストプラクティス
P1/P2 ライセンスを保有している組織では、Conditional Access(CA)ポリシーを活用して「ユーザー属性・デバイス状態・サインインリスク」に応じた柔軟な MFA 適用が可能です。本節では推奨構成と実装手順、さらに運用上の留意点を解説します。
条件付きアクセスポリシー作成フロー
- 「Security」 → 「Conditional Access」 → 「New policy」 をクリック。
- ポリシー名(例:
全社 MFA 必須)を入力し、Assignments セクションで対象ユーザー・グループを指定する。 - Cloud apps or actions では 「All cloud apps」 を選択し、除外したいアプリがあれば Exclude に追加する。
- Conditions で Sign‑in risk や Device platforms、Locations など必要な条件を設定。
- Access controls → Grant で 「Require multi-factor authentication」 をチェックし、Enable policy をオンにして保存する。
テストと検証のベストプラクティス
| フェーズ | 実施内容 |
|---|---|
| Report‑only モード | ポリシーを有効化せずにレポートだけ取得し、影響範囲を事前確認。 |
| 対象外ユーザーでのサインイン | 除外設定した管理者アカウントでログインし、MFA が求められないことを確認。 |
| 対象ユーザーでの実稼働テスト | 別デバイス・別ブラウザからサインインし、MFA プロンプトが正しく表示されるか検証。 |
監視とレポート活用
条件付きアクセスポリシーは 「Sign‑in logs」 と 「Risky sign‑ins」 の2つのレポートで可視化できます。
- Sign‑in logs:全サインインイベントに対し、MFA が成功・失敗した回数や対象アプリ別の状況を把握。
- Risky sign‑ins:リスクスコアが高いサインインに対してポリシーが適切にトリガーされたかを確認。
定期的(例:月次)にこれらのレポートをレビューし、誤検知や過剰な MFA 要求が発生していないかチェックすることが運用の鍵です。
まとめ:P1/P2 の条件付きアクセスポリシーは「ユーザー属性」+「リスク評価」の組み合わせで最適な MFA 適用を実現します。Report‑only で影響範囲を検証した上で本番導入し、ログ監視を継続的に行うことで安全かつスムーズな運用が可能です。
全体まとめ
- 認証方式の選択:Authenticator アプリ・電話/SMS ・OATH ハードウェアトークンの 3 種類が標準で利用でき、組織要件に応じて複数併用すると効果的です。
- 無料プランの限界と活用法:Security Defaults により特権アカウントは保護できますが、個別ユーザーへの MFA 有効化や条件付きアクセスポリシーは利用できません。PowerShell(MSOnline)または UI のバルク操作で一括設定を行う方法があります。
- 有料プランの優位性:P1/P2 では Conditional Access によるリスクベース MFA が実装可能です。ポリシー作成・テスト・監視のフローを確立すれば、柔軟かつスケーラブルに保護範囲を拡大できます。
- 電話認証のカスタマイズ:現行 UI からテキストと音声ファイルの編集が可能で、ブランディングや多言語対応に活用できる点は大きなメリットです。
- 運用のポイント:導入後は Sign‑in logs と Risky sign‑ins を定期的にレビューし、ポリシーのチューニングとユーザーサポートを継続することが、長期的なセキュリティ維持につながります。
これらの手順とベストプラクティスを踏まえて、2024 年版 Entra ID UI に合わせた MFA 設定を社内で迅速かつ確実に展開してください。