Microsoft Entra ID の認証方法を管理する

  • [アーティクル]

Microsoft Entra ID では、多岐にわたるサインイン シナリオをサポートできるよう、さまざまな認証方法を使用できます。 管理者は、ユーザー エクスペリエンスとセキュリティの目標に合わせて、各手法を具体的に構成できます。 このトピックでは、Microsoft Entra ID の認証方法を管理する方法と、構成オプションがユーザーのサインインおよびパスワードのリセットのシナリオにどのように影響するかについて説明します。

認証方法ポリシー

認証方法ポリシーは、パスワードレス認証のような最新の方法を含む、認証方法を管理するための推奨方法です。 認証方法ポリシー管理者は、このポリシーを編集して、すべてのユーザーまたは特定のグループに対して認証方法を有効にできます。

認証方法ポリシーで有効にした方法は、通常、認証とパスワード リセットの両方のシナリオで、Microsoft Entra ID の任意の場所で使用できます。 ただし、FIDO2 や Windows Hello for Business など、もともと認証での使用に限定されるメソッドや、セキュリティの質問など、パスワード リセットでの使用に限定されるメソッドは例外です。 特定の認証シナリオで使用できる方法をより詳細に制御する場合は、認証強度機能の使用を検討してください。

ほとんどのメソッドには、そのメソッドの使用方法をより正確に制御するための構成パラメーターもあります。 たとえば、[音声通話] を有効にした場合、携帯電話だけでなく、会社の電話を使用できるかどうかを指定することもできます。

あるいは、Microsoft Authenticator によるパスワードレス認証を有効にするとします。 ユーザーのサインイン場所や、サインインしているアプリの名前を表示するなどの追加パラメーターを設定できます。 これらのオプションは、ユーザーがサインインするときにより多くのコンテキストを提供し、誤った MFA の承認を防ぐのに役立ちます。

認証方法ポリシーを管理するには、少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインし、[保護]>[認証方法]>[ポリシー] に移動します。

Screenshot of Authentication methods policy.

統合された登録エクスペリエンスのみが認証方法ポリシーを認識します。 認証方法ポリシーのスコープ内にあるが、統合された登録エクスペリエンスではないユーザーには、登録する正しい方法が表示されません。

レガシ MFA と SSPR ポリシー

多要素認証設定とパスワード リセット設定にある他の 2 つのポリシーは、テナント内のすべてのユーザーに対して一部の認証方法を管理するための従来の方法を提供します。 有効にした認証方法を使うユーザーや、その方法をどのように使用できるかを制御することはできません。 これらのポリシーを管理するには、全体管理者が必要です。

重要

2023 年 3 月に、レガシ多要素認証とセルフサービス パスワード リセット (SSPR) ポリシーでの認証方法の管理の廃止を発表しました。 2025 年 9 月 30 日より、これらのレガシ MFA および SSPR ポリシーでは認証方法を管理できません。 顧客には、手動移行制御を使用して、非推奨となる日までに認証方法ポリシーに移行することをお勧めします。

レガシ MFA ポリシーを管理するには、[セキュリティ]>[多要素認証]>[追加のクラウドベースの多要素認証設定] を選択します。

Screenshot of MFA service settings.

セルフサービス パスワード リセット (SSPR) の認証方法を管理するには、[パスワード リセット]>[認証方法] をクリックします。 このポリシーの [携帯電話] オプションでは、音声通話またはテキスト メッセージを携帯電話に送信できます。 [会社の電話] オプションでは、音声通話のみができます。

Screenshot of password reset settings.

ポリシーの連動について

設定はポリシー間で同期されないため、管理者は各ポリシーを個別に管理できます。 Microsoft Entra ID では、すべてのポリシーの設定を尊重しており、任意のポリシーで認証方法を有効にしたユーザーは、その方法を登録して使用することができます。 ユーザーがある方法を使用できないようにするには、すべてのポリシーでそれを無効にする必要があります。

会計グループに所属するユーザーが、Microsoft Authenticator を登録する例を見てみましょう。 登録プロセスでは、まず認証方法ポリシーを確認します。 会計グループが Microsoft Authenticator に対して有効な場合、ユーザーはそれを登録できます。

そうでない場合、登録プロセスはレガシ MFA ポリシーを確認します。 このポリシーでは、これらの設定のいずれかが MFA に対して有効になっていれば、どのユーザーも Microsoft Authenticator を登録できます。

  • モバイル アプリでの通知
  • モバイル アプリからの確認コードまたはハードウェア トークン

ユーザーがこれらのポリシーのいずれかに基づいて Microsoft Authenticator を登録できない場合、登録プロセスではレガシ SSPR ポリシーが確認されます。 このポリシーでも、ユーザーが SSPR に対して有効になっており、これらの設定のいずれかが有効な場合、ユーザーは Microsoft Authenticator を登録できます。

  • [モバイル アプリの通知]
  • モバイル アプリ コード

SSPR 用の携帯電話が有効になっているユーザーの場合、ポリシー間の独立した制御がサインイン動作に影響を与える可能性があります。 他のポリシーでテキスト メッセージと音声通話の個別のオプションがある場合、SSPR 用の携帯電話では両方のオプションが有効になります。 その結果、SSPR に携帯電話を使う人は、他のポリシーで音声通話が許可されていない場合でも、パスワード リセットに音声通話を使うことができます。

同様に、あるグループに対して [音声通話] を有効にしたとします。 有効にした後、グループのメンバーでないユーザーでも音声通話でサインインできることに気づきます。 この場合、これらのユーザーは、レガシ SSPR ポリシーで携帯電話が有効になっているか、レガシ MFA ポリシーで電話への通話が有効になっている可能性があります。

ポリシー間の移行

認証方法ポリシーには、すべての認証方法の統合管理への移行パスが用意されています。 各認証方法ポリシーに必要なユーザー グループが定義されていることを前提として、すべての必要な方法を認証方法ポリシーで有効にすることができます (すべてのユーザーに適用される場合を除く)。 このユーザーが管理アクティビティをグループ化した後、従来の MFA ポリシーと SSPR ポリシーの方法を無効にすることができます。 移行には、自分のペースで進められ、移行中のサインインまたは SSPR の問題を回避するための 3 つの設定があります。 移行が完了したら、サインインと SSPR の両方の認証方法のコントロールを 1 か所に集中させ、レガシ MFA と SSPR のポリシーは無効にします。

Note

セキュリティの質問は、現在、レガシ SSPR ポリシーを使用することでのみ有効にすることができます。 将来的に、これは認証方法ポリシーで使用できるようになります。 セキュリティの質問を使っていて、それを無効にしたくない場合は、将来新しいコントロールが使用できるようになるまで、レガシ SSPR ポリシーでそれを有効にしたままにしておく必要があります。 認証方法の残りの部分を移行し、レガシ SSPR ポリシーでセキュリティの質問を管理し続けることができます。

移行オプションを表示するには、認証方法ポリシーを開き、[移行の管理] をクリックします。

Screenshot of migration options.

各オプションの説明を次の表に示します。

オプション 説明
移行前 認証方法ポリシーは、認証にのみ使用されます。
レガシ ポリシー設定は維持されます。
移行が進行中 認証方法ポリシーは、認証と SSPR に使用されます。
レガシ ポリシー設定は維持されます。
移行の完了 認証方法ポリシーのみが、認証と SSPR に使用されます。
レガシ ポリシー設定は無視されます。

テナントは、そのテナントの現在の状態に応じて、既定で [移行前] または [移行が進行中] のいずれかに設定されます。 "移行前" で開始する場合は、任意の状態にいつでも移動できます。 "移行が進行中" で開始した場合は、いつでも "移行が進行中" と "移行完了" の間を移動できますが、"移行前" に移動することはできません。 [移行の完了] に移行した後、以前の状態にロールバックすることを選んだ場合、製品のパフォーマンスを評価するために、その理由をお客様に確認します。

Screenshot of reasons for rollback.

Note

すべての認証方法が完全に移行された後も、レガシ SSPR ポリシーの次の要素はアクティブなままになります。

  • [リセットに必要な方法の数] コントロール: 管理者は、ユーザーが SSPR を実行する前に確認する必要がある認証方法の数を引き続き変更できます。
  • SSPR 管理者ポリシー: 管理者は、レガシ SSPR 管理者ポリシーに一覧表示されている方法、または認証方法ポリシーで使用できるようになっている方法を引き続き登録および使用できます。

将来、これらの機能はどちらも認証方法ポリシーと統合される予定です。

既知の問題と制限事項

  • 最近の更新で、個々のユーザーをターゲットにする機能が削除されました。 以前にターゲットとされたユーザーはポリシーに残りますが、ターゲットのグループに移動することをお勧めします。
  • FIDO2 認証方法ポリシーがグループの対象であり、認証方法ポリシー全体に 20 を超えるグループが構成されている場合、一部のユーザーは FIDO2 セキュリティ キーの登録に失敗することがあります。 ポリシー サイズの制限を引き上げることに取り組んでいますが、それまでの間、グループ ターゲットの数を 20 以下に制限することをお勧めします。

次の手順