編集

Microsoft Entra 多要素認証のユーザー認証方法を管理する

  • 操作方法

Microsoft Entra ID のユーザーには、次の 2 つの異なる連絡先情報のセットがあります。

  • パブリック プロファイルの連絡先情報。これはユーザー プロファイルで管理され、自分の組織のメンバーに表示されます。 オンプレミスの Active Directory から同期したユーザーの場合、この情報はオンプレミスの Windows Server Active Directory Domain Services で管理されます。
  • 認証方法。これは常に非公開で、多要素認証を含む認証にのみ使用されます。 管理者はユーザーの認証方法ブレードでこれらの方法を管理でき、ユーザーは MyAccount の [セキュリティ情報] ページで自分の方法を管理できます。

ユーザーの Microsoft Entra 多要素認証方法を管理するとき、認証管理者は次のことができます。

  • MFA に使用される電話番号など、特定のユーザーの認証方法を追加します。
  • ユーザーのパスワードをリセットします。
  • ユーザーに MFA の再登録を要求します。
  • 既存の MFA セッションを取り消します。
  • ユーザーの既存のアプリ パスワードを削除します。

前提条件

Microsoft Entra 多要素認証。既定で有効になっています。

ユーザーの認証方法を追加する

ユーザーの認証方法は、Microsoft Entra 管理センターまたは Microsoft Graph を使用して追加できます。

Note

セキュリティ上の理由から、パブリック ユーザーの連絡先情報フィールドを使用して MFA を実行しないでください。 代わりに、ユーザーは、MFA に使用する自分の認証方法番号を入力する必要があります。

Microsoft Entra 管理センターからの認証方法の追加のスクリーンショット。

Microsoft Entra 管理センターでユーザーの認証方法を追加するには:

  1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 認証方法を追加する対象のユーザーを選択し、 [認証方法] を選択します。
  4. ウィンドウの上部にある [+ 認証方法の追加] を選択します。
    • 方法 (電話番号または電子メール) を選択します。 電子メールは、自己パスワードのリセットに使用できますが、認証には使用できません。 電話番号を追加する場合は、電話の種類を選択し、有効な形式で電話番号を入力します (例: +1 4255551234)。
    • [追加] を選択します。

注意

プレビュー エクスペリエンスでは、管理者はユーザーが利用可能なすべての認証方法を追加できますが、元のエクスペリエンスでは、電話と代替の電話方法の更新のみが可能です。

PowerShell を使用して方法を管理する

次のコマンドを使用して、Microsoft.Graph.Identity.Signins PowerShell モジュールをインストールします。

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

ユーザー認証オプションを管理する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

"認証管理者" ロールが割り当てられている場合、パスワードのリセット、MFA の再登録、またはユーザー オブジェクトからの既存の MFA セッションの取り消しをユーザーに要求できます。 ユーザー設定を管理するには、次の手順を実行します。

  1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

  3. 操作の実行対象のユーザーを選択し、 [認証方法] を選択します。 ウィンドウの上部で、ユーザーに対して次のいずれかのオプションを選択します。

    • [パスワードのリセット]: ユーザーのパスワードがリセットされ、次のサインイン時に変更する必要がある一時パスワードが割り当てられます。
    • [MFA の再登録が必要]: ユーザーのハードウェア OATH トークンが非アクティブ化され、このユーザーから次の認証方法 (電話番号、Microsoft Authenticator アプリ、ソフトウェア OATH トークン) が削除されます。 必要に応じて、ユーザーは次回サインインする際に新しい MFA 認証方法を設定することが求められます。
    • [MFA セッションの取り消し]: ユーザーの記憶済み MFA セッションがクリアされ、デバイス上のポリシーによって次回要求されたときに MFA を実行するように要求されます。

    Microsoft Entra 管理センターからの認証方法の管理のスクリーンショット。

ユーザーの既存のアプリ パスワードを削除する

アプリ パスワードを定義したユーザーの場合、管理者はこれらのパスワードを削除して、これらのアプリケーションのレガシ認証が失敗するようにすることも選択できます。 これらのアクションは、ユーザーを支援する必要がある場合や認証方法をリセットする必要がある場合に必要になることがあります。 これらのアプリ パスワードに関連付けられているブラウザー以外のアプリは、新しいアプリ パスワードが作成されるまで機能しなくなります。

ユーザーのアプリ パスワードを削除するには、次の手順を実行します。

  1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

  3. [多要素認証] を選択します。 このメニュー オプションを表示するには、必要に応じて右にスクロールします。 以下のスクリーンショット例を選択して、ウィンドウ全体とメニューの場所を確認してください。Microsoft Entra ID の [ユーザー] ウィンドウから多要素認証を選択しているスクリーンショット。

  4. ユーザーまたは管理するユーザーの横にあるチェック ボックスをオンにします。 クイック ステップのオプションの一覧が右側に表示されます。

  5. 次の例に示すように、[ユーザー設定の管理] を選択し、[選択したユーザーが生成したすべての既存のアプリケーション パスワードを削除する] チェックボックスをオンにします。[すべての既存のアプリ パスワードを削除する] のスクリーンショット。

  6. [保存][閉じる] の順に選択します。

関連するコンテンツ