Contents
1. 前提条件と必要な権限
| 項目 | 必要な内容 | 確認方法・参照先 |
|---|---|---|
| Azure AD の管理ロール | 全体管理者(Global Administrator)、もしくは ユーザー管理者(User Administrator) など MFA 設定が可能なロール | Azure ポータル → Azure Active Directory → 役割と管理者 ※Microsoft Docs: 役割の概要 |
| ライセンス | Microsoft 365 E3/E5、または Azure AD Premium P1/P2 が必須。無料プランでは Conditional Access の高度な機能が利用できません。 | Azure ポータル → ライセンス → すべての製品 ※Microsoft Docs: ライセンス要件 |
| 端末 OS の最低バージョン | iOS 13 以上、Android 8.0(Oreo)以上 | 各プラットフォームのサポートページを参照 |
ポイント
- 作業開始前に対象ユーザーが上記ロールとライセンスを保有していることを必ず確認してください。
- ライセンスは「Azure AD Premium P1」だけでも Conditional Access が利用可能です(P2 は追加機能のみ)。
2. Microsoft Authenticator アプリの取得と配布
2.1 ダウンロード先と OS 要件
| プラットフォーム | ダウンロード URL | 最低 OS バージョン |
|---|---|---|
| iOS | https://apps.apple.com/jp/app/microsoft-authenticator/id983156458 | iOS 13 以上 |
| Android | https://play.google.com/store/apps/details?id=com.azure.authenticator | Android 8.0(Oreo)以上 |
- 公式アプリであることを必ず確認し、企業デバイスの場合は Intune 経由で配布すると管理が楽になります。
2.2 Intune での自動配布手順(詳細)
- Microsoft Endpoint Manager 管理センターにサインイン
https://endpoint.microsoft.com - 左メニュー → アプリ → すべてのアプリ → 追加 をクリック。
- 「iOS/iPadOS」または「Android」を選択し、以下情報を入力
- アプリ名:Microsoft Authenticator
- 発行元:Microsoft Corporation
- パッケージ ID(Android)/App Store URL(iOS)※上記ダウンロード先 URL をそのまま使用
- 割り当て → 対象デバイスグループまたはユーザーグループを選択し、必須 に設定。
- 保存 → デバイスが次回ポリシー取得時に自動的にインストールされます。
※Intune の配布は「プッシュ」方式(デバイス側でユーザー操作なし)と「利用可能」方式があります。社内のセキュリティ要件に合わせて選択してください。
3. ビジネス/学校アカウントの追加手順
3.1 QR コードによる登録(公式手順)
- ユーザーは account.microsoft.com/security にサインイン
- 「認証アプリ」 → 「セットアップ」 をクリック
- 「QR コードを表示」ボタンでコードが生成されます(有効期限は 5 分)【Microsoft Support: Set up Microsoft Authenticator app】
- Authenticator アプリ を起動 → 「+」→「職場または学校のアカウント」→ カメラで QR コードをスキャン
注意点
- 端末がインターネットに接続されていないと QR の生成自体ができません。
- スキャン失敗時は「コード入力」へ切り替えてください。
3.2 手動でのコード入力
- 同じ画面で 「コードをコピー」 または 「テキストで表示」 を選択し、6 桁または文字列(例:
ABCD-1234-EFGH-5678)を取得 - Authenticator アプリの 「職場または学校のアカウント」 追加画面で 「コード入力」 をタップし、取得した文字列を貼り付け → 次へ
3.3 複数端末への登録上限
- 同一 Azure AD アカウントは最大 5 台 の Authenticator に同時に紐付け可能です(公式上限)。
- 不要になったデバイスは account.microsoft.com/security の「認証アプリ」一覧から削除してください。
4. Azure AD での MFA 有効化と Conditional Access 基本構成
4.1 MFA の有効化手順(ポータル操作)
| 手順 | 操作内容 |
|---|---|
| 1 | Azure ポータル → Azure Active Directory → セキュリティ → 認証方法 |
| 2 | 「Microsoft Authenticator」のスイッチを ON にする |
| 3 | 対象ユーザー(全員、または特定のグループ)を選択し、保存 |
この設定だけで対象ユーザーは次回サインイン時にプッシュ通知が届きます。
4.2 Conditional Access ポリシー作成例
- Azure AD → セキュリティ → 条件付きアクセス → 新しいポリシー
- 名前:
外部アクセス時 MFA 必須(任意) - 対象ユーザー/グループ:全社または特定の管理者ロール
- クラウド アプリ:
Office 365 Exchange Online,SharePoint Online,Azure Portalなど必須アプリを選択 - 条件
- 場所 → 「信頼できる IP アドレス」以外は 「MFA を要求」 に設定
- デバイスプラットフォーム → iOS、Android のみ許可(管理対象端末)
- アクセス制御 → 多要素認証を要求 を選択 → 有効化
ポリシー適用後は 「レポート」タブ で実際に MFA が要求された回数や失敗率をモニターできます(Microsoft Docs: Conditional Access report)。
4.3 初回サインイン時の認証フロー
| 認証方式 | ユーザー操作 | メリット |
|---|---|---|
| プッシュ通知 | 「承認」ボタンをタップ | 最速・最少入力 |
| ワンタイム パスコード (OTP) | アプリに表示された 6 桁コードを入力 | ネットワーク不通時でも利用可 |
| 電話認証 | 着信音声で「#」キーを押す | 携帯電話が唯一のデバイスの場合に有効 |
ベストプラクティス:可能な限りプッシュ通知を第一選択肢とし、OTP はバックアップとして保持する。
5. 組織全体での展開と運用ベストプラクティス
5.1 Intune と Azure AD の自動プロビジョニング(公式に裏付け済み)
重要:Intune が QR コードを「端末側で自動的にスキャン」する機能は存在しません。公式ドキュメントでは、Azure AD の自動登録 (Self‑service password reset / Azure AD Join) と Intune アプリ配布の組み合わせ によって、ユーザーが手動で QR コードをスキャンする工程を省くことはできないと明記されています【Microsoft Docs: Automatic enrollment for Windows devices】。
正しい自動化シナリオ
- Intune で Authenticator アプリを必須配布(前節 2.2 を参照)
- Azure AD の「セルフサービス」機能 を有効化し、ユーザーがポータルから QR コード生成 → スキャンだけで完了できるように案内資料を提供
- Power Automate / Graph API で新規ユーザー作成時に自動メール送信(QR コード取得リンクと手順)
この流れでは「QR のスキャン」自体はユーザーが実施しますが、配布・通知の工程が自動化され、ヒューマンエラーを大幅に削減できます。
5.2 よくあるエラーと対処法
| エラー | 主な原因 | 推奨対策 |
|---|---|---|
| QR コード読み取り失敗 | カメラ解像度不足、画面の明るさが低い、QR の有効期限切れ(5 分) | 端末のカメラ設定を確認し、最新の QR を再生成。必要なら コード入力方式 に切り替える |
| アプリが Intune に表示されない | デバイスが Azure AD Join または Azure AD 登録されていない | デバイスの [設定] → [アカウント] → [職場または学校にアクセス] から登録を実施 |
| プッシュ通知が届かない | ネットワーク制限(社内プロキシ、VPN)や端末の通知設定オフ | IT 管理者は Azure AD Conditional Access の「デバイスプラットフォーム」 を利用し、必要なポート(443/TCP)を許可。端末側は [設定] → [アプリ] → [Microsoft Authenticator] → 通知 をオンに |
| アカウント同期遅延 | Azure AD Connect のスケジュール間隔が 30 分以上 | 管理者は Azure AD Connect コンソールで 「今すぐ同期」 を実行し、ステータスを確認 |
5.3 バックアップコードとデバイスロックの設定
| 項目 | 設定手順 | 推奨設定 |
|---|---|---|
| バックアップコード | 1. account.microsoft.com/security にサインイン 2. 「追加のセキュリティ情報」 → 「バックアップ コード」 3. 「生成」ボタンで 10 個のコードを取得し、安全な場所に保管 |
紙媒体またはパスワードマネージャ(例:1Password、LastPass) |
| デバイスロック (iOS) | 設定 > Face ID とパスコード > パスコードをオン → 6 桁以上の強固な数字か alphanumeric パスコードを設定 |
生体認証+パスコード(二段階ロック) |
| デバイスロック (Android) | 設定 > セキュリティ > 画面ロック方式 > PIN/パターン/指紋 → 最低 9 桁の PIN を推奨 |
生体認証+PIN の組み合わせ |
ベストプラクティス:バックアップコードは 「1 回限り」 しか使用できないため、失効後は必ず新しいコードを再生成させる運用ルールを策定してください。
6. まとめ(全体の要点)
| 項目 | キーアクション |
|---|---|
| 権限・ライセンス | 全体管理者以上+Premium P1/P2 が必要 |
| Authenticator の配布 | Intune で必須配布、OS 要件を満たすデバイスにインストール |
| アカウント追加 | QR コードが公式推奨。スキャンできない場合はコード入力へ切替 |
| MFA と Conditional Access | ポリシーで「外部アクセス時 MFA 必須」など条件付け、プッシュ通知を第一選択肢に |
| 自動化の範囲 | アプリ配布とメール案内は自動化可能だが、QR スキャンはユーザー操作が必須 |
| 障害対策 | エラーメッセージ別に手順書を用意し、Intune のデバイスステータスと Azure AD Connect の同期状況を監視 |
| バックアップ & ロック | バックアップコード+端末ロックで緊急時の認証可用性を確保 |
本ガイドは 実装・運用フェーズ全体を通じて定期的に見直し、Microsoft の最新ドキュメント(例:Microsoft Authenticator documentation)と照合することが成功の鍵です。
作成日: 2026‑05‑04
参照元: Microsoft Docs, Microsoft Support, Azure AD の公式ブログ、Endpoint Manager 管理センター UI(2026 年版)。