Contents
前提条件と必要なライセンス
このセクションでは、Microsoft Authenticator を利用した多要素認証(MFA)を導入する前に確認すべきライセンス要件と管理者権限について解説します。
適切なプランがないと MFA の設定自体ができず、条件付きアクセスなど高度な制御も利用できません。
対応プランの確認
Microsoft 365 / Entra ID の各サブスクリプションで MFA が利用可能かは、公式ライセンス表(Microsoft Docs – Entra ID licensing guide)を参照してください。2024 年 10 月時点の主要プランは次の通りです。
| プラン | MFA 基本機能* | 条件付きアクセス(CA) |
|---|---|---|
| Business Basic | ○(セキュリティ デフォルトで有効) | ✕ |
| Business Standard / Premium | ○ | ○(Premium で CA がフルサポート) |
| Entra ID Free | ○(セルフサービス MFA のみ) | ✕ |
| Entra ID P1 (E3) | ○ | ○ |
| Entra ID P2 (E5) | ○ | ○(高度な制御) |
* MFA 基本機能 は、ユーザーがサインイン時に追加の認証要素を求められることを指します。条件付きアクセスは、デバイスやロケーションなどの属性に応じて MFA を自動的に適用できる機能です。
ポイント:Business Basic でも「セキュリティ デフォルト」を有効化すれば MFA が必須になりますが、CA の細かい設定は利用できません。組織全体でポリシーを柔軟に運用したい場合は P1/E3 以上のプランが推奨されます。
管理者権限要件
MFA と条件付きアクセスの設定には、以下のロールが最低でも必要です(公式ドキュメント: Roles in Entra ID)。
| ロール | 主な権限 |
|---|---|
| グローバル管理者 | 全テナント設定の閲覧・変更、CA ポリシー作成が可能 |
| 条件付きアクセス管理者 | CA ポリシーの作成・編集のみ |
| Security Administrator | セキュリティ関連設定全般(MFA 強制など) |
注意:最小権限の原則に従い、日常的な MFA 設定は「条件付きアクセス管理者」ロールで運用し、グローバル管理者は緊急時や大規模変更に限定してください。
Microsoft Authenticator アプリの初回設定(管理者向け)
このセクションでは、管理者が Microsoft Authenticator にビジネス アカウントを登録し、プッシュ通知が正常に機能することを確認する手順を示します。実際に操作を体験しておくことで、ユーザー向けマニュアル作成時の説明が格段に分かりやすくなります。
手順概要
- アプリの入手:iOS は App Store、Android は Google Play から「Microsoft Authenticator」をインストールします。
- アカウント追加
- アプリ起動 → 「+」→「仕事または学校のアカウント」を選択。
- 管理センターで表示される QR コードをスキャン、もしくは 6 桁コードを手入力します(QR が利用できない環境向け)。
- プッシュ通知テスト
- 同じブラウザで
https://myaccount.microsoft.comにサインインし、MFA 要求が来たらアプリで承認します。
ポイント:この一連の作業は約 5 分で完了します。手順中に表示される画面は公式ドキュメント(Set up Microsoft Authenticator)でも同様です。
注意点と代替資料
- PDF ガイドの有無:現在、Microsoft が公式に提供している「PDF 多要素認証設定ガイド」は存在しません。誤情報が流布している可能性がありますので、本稿ではオンラインヘルプへのリンクのみを使用しています。
- 多要素認証のバックアップオプション:Authenticator アプリだけでなく、SMS や電話による代替手段も同時に有効化することがベストプラクティスです(後述「バックアップ認証オプション」の章を参照)。
MFA の有効化方法
MFA は 個別ユーザーの有効化 と 条件付きアクセスポリシーによる自動適用 の 2 通りで導入できます。ここではそれぞれの手順とメリット・デメリットを簡潔にまとめます。
ユーザー単位での MFA 有効化
個別ユーザーに対して直接「MFA を有効化」する方法です。小規模テストや特定部門だけの対象に適しています。
- Microsoft 365 管理センターに グローバル管理者 または Security Administrator としてサインイン。
- 左メニュー → ユーザー → アクティブなユーザー を選択。
- 対象ユーザーをクリックし、右側の「認証方法」セクションで 多要素認証の設定 を開く。
- 「有効にする」を選択して保存すると、次回サインイン時に MFA が要求されます。
メリット:即時適用が容易。
デメリット:ユーザー数が増えると管理負荷が指数関数的に上昇し、ポリシーの一貫性が失われやすい。
条件付きアクセスポリシーによる MFA の自動適用
組織全体または特定の条件(デバイス、ロケーションなど)に合わせて MFA を要求する方法です。大規模展開で推奨されます。
- Entra ID ポータル(https://entra.microsoft.com)へアクセスし、左メニューから 条件付きアクセス を選択。
- 「+ 新しいポリシー」ボタンをクリックして新規作成画面へ。
- 対象ユーザー:全員、または特定のセキュリティ グループ/部署を指定。
- クラウド アプリ:Microsoft 365 全体(
All cloud apps)か、Exchange / SharePoint / Teams など必要なアプリだけに絞ることが可能。 - 条件(任意):デバイスプラットフォーム(iOS/Android/Windows)、リスクレベル、IP ロケーション(信頼できない IP のみ)などを設定。
- アクセス制御 → 「多要素認証を要求」チェックボックスにチェックし、ポリシー名を付けて「オン」にして保存。
ポイント:条件付きアクセスポリシーは「Sign‑in logs」で適用状況をリアルタイムに確認でき、Power BI で可視化することも可能です(公式ドキュメント: Conditional Access reporting)。
バックアップ認証オプションの設定
MFA が利用できない状況(デバイス紛失、ネットワーク障害など)に備えて、SMS と 電話認証 を併用する手順を示します。バックアップ手段は最低 2 つ以上登録しておくことが推奨されます。
Authenticator アプリ内での設定手順
- Authenticator アプリを開き、右上の 設定(歯車アイコン) をタップ。
- 「追加の認証方法」→「SMS」または「電話」を選択。
- 登録したい電話番号を入力し、送信されたコードで所有確認を行う。
注意:SMS は一部国・地域で配信遅延が起きやすいため、重要なユーザーには音声通話(電話認証)も併せて設定してください。
ポリシー側での有効化
条件付きアクセスポリシーの 「多要素認証を要求」 の下にある 「代替手段の許可」 オプションで、SMS と電話が有効になっているか確認します。設定は MFA registration enforcement の項目を参照してください。
テストとトラブルシューティング
本番導入前に パイロットテスト を実施し、想定外のエラーやユーザー体験の課題を洗い出すことが成功の鍵です。以下は推奨するテストシナリオと、よくある障害への対処法です。
テストシナリオ
| シナリオ | 手順概要 | 期待結果 |
|---|---|---|
| プッシュ通知 | 管理者アカウントでサインイン → MFA 要求 → アプリにプッシュが届くか確認 | 通知が表示され、承認できること |
| SMS バックアップ | プッシュ受信不可状態(機内モード)をシミュレート → 「別の方法」→ SMS を選択 | 正しいコードが SMS で送信され、認証成功 |
| 条件付きアクセス適用 | 社外 VPN からサインイン | MFA が必須になる |
| デバイス登録失敗 | iOS 12(未対応)端末で QR スキャン → エラーメッセージ確認 | 手動コード入力へフォールバックできること |
ポイント:テスト結果はスプレッドシートに記録し、障害再現手順として保存しておくと、サポート対応が迅速になります。
よくあるエラーと対処法
| エラー | 原因例 | 推奨対策 |
|---|---|---|
| 認証コード未受信 | 電話番号入力ミス、キャリア側遅延 | 番号を再確認し、[再送] ボタンで 5 分以内に再試行。必要なら代替手段(電話)へ切り替える |
| デバイス登録失敗 | OS バージョンが非対応(iOS <13, Android <8) | デバイスを最新 OS にアップデートし、再度 QR スキャン |
| ポリシー誤適用 | 条件付きアクセスポリシーのスコープ設定ミス | Entra ID の サインインログ で対象ユーザーとポリシー名をフィルタし、期待通りにマッチしているか確認 |
| Authenticator アプリが起動しない | キャッシュ破損、アプリバージョン不整合 | アプリのキャッシュクリアまたは再インストール。問題が続く場合は Microsoft サポートへ問い合わせ |
段階的ロールアウト計画とベストプラクティス
大規模組織で MFA を導入する際は、段階的にユーザーを拡大しながらフィードバックを反映させる アプローチが推奨されます。以下は 10,000 人規模企業向けのロードマップ例です。
ロードマップ例
| フェーズ | 対象 | 期間 | 主な作業 |
|---|---|---|---|
| Phase 1 – パイロット | IT 部門・管理職(≈100 名) | 2 週間 | MFA 有効化、バックアップオプション設定、テストサインイン、フィードバック収集 |
| Phase 2 – 拡大 | 各部署リーダー含む約1,000 名 | 3 週間 | 条件付きアクセスポリシー適用、社内ガイド配布、ヘルプデスク体制強化 |
| Phase 3 – 全社展開 | 全社員(≈10,000 名) | 4 週間 | 最終通知・サポートチャネル公開、監査ログの定期レビュー、改善サイクル開始 |
ポイント:各フェーズ終了後に必ず「成功指標」(例:MFA 成功率 ≥ 95%、サポートチケット件数 ≤ 5 件/日)を測定し、次フェーズへ移行する判断材料とします。
デバイス紛失時の対処手順
- Entra ID ポータルでデバイス削除
- ユーザー → 「デバイス」タブ → 該当端末を選択し「削除」。これにより、その端末からの認証要求が無効化されます。
- Authenticator アプリのリセット
- ユーザーはアプリ内の 設定 → アカウントのリセット を実行し、再度 QR コードまたはコードで登録し直す。
監査ログの活用方法
- サインインレポート:Entra ID ポータル > モニター > サインイン で「MFA が要求された」イベントにフィルタをかけ、成功率や失敗理由を把握。
- エクスポートと可視化:CSV エクスポート後、Power BI のテンプレート(Microsoft 提供)で MFA 成功率・失敗要因のダッシュボードを作成できます。
ベストプラクティス:毎月第一営業日に「MFA ログサマリー」を作成し、セキュリティ委員会へ報告することで、継続的な改善が可能です。
まとめ
- ライセンス確認は公式ドキュメントで必ず行い、P1/E3 以上のプランを推奨。
- 管理者自身のアプリ登録は実務マニュアル作成時の重要なステップ。PDF ガイドは存在しないため、オンラインヘルプへのリンクを利用。
- MFA 有効化は個別ユーザーと条件付きアクセスポリシーのどちらか、または両方で実施可能。大規模展開は後者がベスト。
- バックアップ認証は SMS と電話を併用し、2 つ以上登録することで障害時の業務停止リスクを低減。
- テストとトラブルシューティングはパイロットユーザーで実施し、結果を文書化して本番展開に活かす。
- 段階的ロールアウトと 監査ログの定期レビュー によって、導入後もセキュリティ姿勢を維持できる。
これらの手順とベストプラクティスに沿って実装すれば、Microsoft Authenticator を活用した MFA の導入が円滑かつ安全に進められます。
本稿は 2024 年 10 月時点の公式情報をもとに作成しています。最新情報は必ず Microsoft の公式ドキュメントをご確認ください。