Microsoft Entra 多要素認証の機能とライセンス
組織内のユーザー アカウントを保護するには、多要素認証を使用する必要があります。 リソースへの特権アクセスが認められているアカウントでは、この機能が特に重要となります。 Microsoft 365 と Microsoft Entra のユーザーとグローバル管理者は、追加料金なしで基本的な多要素認証機能を利用できます。 管理者に対して機能をアップグレードしたり、他のユーザーに対して認証方法を増やし、きめ細かく制御できるように多要素認証を拡張したりといった希望がある場合には、いくつかの方法で Microsoft Entra 多要素認証を購入できます。
重要
この記事では、Microsoft Entra 多要素認証のライセンスを取得して使用するさまざまな方法について詳しく説明します。 価格と課金の詳細については、Microsoft Entra の価格に関するページを参照してください。
Microsoft Entra 多要素認証の使用可能なバージョン
Microsoft Entra 多要素認証は、組織のニーズに応じて、いくつかの異なる方法で使用し、ライセンスを取得することができます。 すべてのテナントには、セキュリティの既定値を使用した基本的な多要素認証機能を使用する権利があります。 現在お使いの Microsoft Entra ID、EMS、Microsoft 365 のライセンスによっては、拡張 Microsoft Entra 多要素認証を使用する権利を既に持っている場合があります。 たとえば、Microsoft Entra 外部 ID での最初の 50,000 人の月間アクティブ ユーザーは、MFA および他の Premium P1 または P2 の機能を無料で使用できます。 詳細については、「Microsoft Entra 外部 ID の価格」を参照してください。
次の表では、Microsoft Entra 多要素認証を入手するさまざまな方法と、それぞれの機能およびユース ケースについて詳しく説明します。
| 次のユーザーの場合 | 機能とユース ケース |
|---|---|
| Microsoft 365 Business Premium および EMS または Microsoft 365 E3 と E5 | EMS E3、Microsoft 365 E3、Microsoft 365 Business Premium には Microsoft Entra ID P1 が含まれています。 EMS E5 または Microsoft 365 E5 には、Microsoft Entra ID P2 が含まれています。 次のセクションに記載されている同じ条件付きアクセス機能を使用して、ユーザーに多要素認証を提供できます。 |
| Microsoft Entra ID P1 | Microsoft Entra 条件付きアクセスを使用して、ビジネス要件に合わせて特定のシナリオやイベントの際に多要素認証をユーザーに求めることができます。 |
| Microsoft Entra ID P2 | 最も強力なセキュリティのポジションと、向上したユーザー エクスペリエンスを提供します。 リスク ベースの条件付きアクセスを Microsoft Entra ID P1 の機能に追加することで、ユーザーのパターンに適応し、多要素認証の回数を最小限に抑えます。 |
| すべての Microsoft 365 プラン | Microsoft Entra 多要素認証は、セキュリティの既定値群を使用して、すべてのユーザーについて有効にすることができます。 Microsoft Entra 多要素認証の管理は、Microsoft 365 ポータルを通じて行います。 ユーザー エクスペリエンスを向上させるには、Microsoft Entra ID P1 または P2 にアップグレードし、条件付きアクセスを使用します。 詳細については、多要素認証を使用した Microsoft 365 リソースのセキュリティ保護に関するページを参照してください。 |
| Office 365 Free Microsoft Entra ID Free |
必要に応じてセキュリティの既定値群を使用して多要素認証をユーザーに要求できますが、有効となるユーザーまたはシナリオをきめ細かく制御することはできません。ただし、追加のセキュリティ措置を提供することはできます。 すべてのユーザーの多要素認証を有効にするセキュリティの既定値群が使用されていない場合でも、Microsoft Entra グローバル管理者ロールに割り当てられたユーザーは、多要素認証を使用するように構成できます。 Free レベルのこの機能により、重要な管理者アカウントが多要素認証によって保護されます。 |
ライセンスに基づく機能比較
次の表に、多要素認証向けにさまざまなバージョンの Microsoft Entra ID で使用できる機能の一覧を示します。 ユーザー認証のセキュリティ保護に必要なものを詳しく検討し、その要件を満たす方法を決定します。 たとえば、Microsoft Entra ID Free は Microsoft Entra 多要素認証を提供するセキュリティの既定値群を提供しますが、認証プロンプトに使用できるのはモバイル認証アプリだけです。 モバイル認証アプリがユーザーの個人のデバイスにインストールされていることを保証できない場合、この方法は制約を受けるかもしれません。 詳細については、後の「Microsoft Entra ID Free レベル」を参照してください。
| 機能 | Microsoft Entra ID Free - セキュリティの既定値群 (すべてのユーザーに対して有効) | Microsoft Entra ID Free - グローバル管理者のみ | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| MFA で Microsoft Entra テナント管理者アカウントを保護する | ● | ● (Microsoft Entra グローバル管理者アカウントの場合のみ) | ● | ● | ● |
| モバイル アプリを 2 番目の要素にする | ● | ● | ● | ● | ● |
| 音声通話を 2 番目の要素にする | ● | ● | ● | ||
| 2 番目の要素としてのテキスト メッセージ | ● | ● | ● | ● | |
| 検証方法の管理制御 | ● | ● | ● | ● | |
| 不正アクセスのアラート | ● | ● | |||
| MFA レポート | ● | ● | |||
| 音声通話のカスタムあいさつ文 | ● | ● | |||
| 音声通話のカスタム発信元 ID | ● | ● | |||
| 信頼できる IP | ● | ● | |||
| 信頼済みデバイスの MFA の記憶 | ● | ● | ● | ● | |
| オンプレミス アプリケーション用の MFA | ● | ● | |||
| 条件付きアクセス | ● | ● | |||
| リスクベースの条件付きアクセス | ● |
多要素認証ポリシーを比較する
MFA を適用する方法としては、条件付きアクセスの使用が推奨されます。 次の表を見て、ご利用のライセンスに含まれる機能を確認してください。
| ポリシー | セキュリティの既定値群 | 条件付きアクセス | ユーザーごとの MFA |
|---|---|---|---|
| 管理 | |||
| 会社の安全を維持するためのセキュリティ規則の標準セット | ● | ||
| ワンクリックのオンまたはオフ | ● | ||
| Office 365 ライセンスに含まれる (ライセンスに関する考慮事項に関するセクションを参照してください) | ● | ● | |
| Microsoft 365 管理センター ウィザードでの事前構成済みのテンプレート | ● | ● | |
| 構成の柔軟性 | ● | ||
| 機能 | |||
| ポリシーからユーザーを除外する | ● | ● | |
| 電話またはテキスト メッセージによる認証 | ● | ● | ● |
| Microsoft Authenticator とソフトウェア トークンによる認証 | ● | ● | ● |
| FIDO2、Windows Hello for Business、およびハードウェア トークンによる認証 | ● | ● | |
| レガシ認証プロトコルのブロック | ● | ● | ● |
| 新しい従業員の自動的な保護 | ● | ● | |
| リスク イベントに基づく動的 MFA トリガー | ● | ||
| 認証および承認ポリシー | ● | ||
| 場所とデバイスの状態に基づいて構成可能 | ● | ||
| "レポート専用" モードのサポート | ● | ||
| ユーザーまたはサービスを完全にブロックする機能 | ● |
Microsoft Entra 多要素認証の購入と有効化
Microsoft Entra 多要素認証を使用するには、対象となる Microsoft Entra レベルに登録するか購入します。 Microsoft Entra ID には、Free、Office 365、Premium P1、Premium P2 の 4 つのエディションが用意されています。
Free エディションは、Azure サブスクリプションに含まれます。 セキュリティの既定値群を使用する方法、または Microsoft Entra グローバル管理者ロールでアカウントを保護する方法についての情報は、下記のセクションを参照してください。
Microsoft Entra ID P1 または P2エディションは、Microsoft の担当者、Open Volume License プログラム、および Cloud Solution Providers プログラムから入手できます。 Azure および Microsoft 365 のサブスクライバーは Microsoft Entra ID P1 および P2 をオンラインで購入することもできます。 サインインして購入します。
必要な Microsoft Entra レベルを購入したら、Microsoft Entra 多要素認証を計画してデプロイします。
Microsoft Entra ID Free レベル
Microsoft Entra ID Free テナントのすべてのユーザーは、セキュリティの既定値群を使用して Microsoft Entra 多要素認証を使用できます。 Microsoft Entra ID Free のセキュリティの既定値群を使用しているときは、Microsoft Entra 多要素認証にモバイル認証アプリを使用できます。
すべてのユーザーに対して Microsoft Entra 多要素認証を有効にしない場合、代わりに Microsoft Entra グローバル管理者ロールを持つユーザー アカウントのみを保護することを選択できます。 この方法では、重要な管理者アカウントに対して追加の認証プロンプトが表示されます。 使用しているアカウントの種類に応じて、次のいずれかの方法で Microsoft Entra 多要素認証を有効にします。
- Microsoft アカウントを使用している場合は、多要素認証に登録します。
- Microsoft アカウントを使用していない場合は、Microsoft Entra ID のユーザーまたはグループの多要素認証を有効にします。
次のステップ
- コストについて詳しくは、Microsoft Entra の価格に関する記事を参照してください。
- 条件付きアクセスとは
- Identity Protection とは
- MFA は、ユーザーごとに有効にすることもできます