Azure AD Multi-Factor Authentication プロバイダーをいつ使用するか

  • [アーティクル]

重要

2018 年 9 月 1 日以降、新しい認証プロバイダーを作成できなくなります。 既存の認証プロバイダーは引き続き使用および更新できますが、移行はもうできません。 多要素認証は、今後も Azure AD Premium ライセンスの一機能としてご利用いただけます。

Azure Active Directory を持つグローバル管理者と Microsoft 365 ユーザーは、既定で 2 段階認証をお使いいただけます。 ただし、高度な機能が必要な場合は、通常版の Azure AD Multi-Factor Authentication (MFA) をご購入ください。

Azure AD Multi-Factor Auth プロバイダーは、Azure AD Multi-Factor Authentication が提供する機能を、ライセンスを持っていないユーザーが利用できるようにするために使用されます。

SDK は廃止となり、2018 年 11 月 14 日までのみの作動となることにご注意ください。 その後は、SDK への呼び出しは失敗します。

MFA プロバイダーとは

2 種類の認証プロバイダーがあり、違いは Azure サブスクリプションの課金方法です。 認証ごとのオプションは、1 か月間にテナントに対して実行された認証の数を計算します。 このオプションは、一部のアカウントで認証を行う頻度が低い場合に最適です。 ユーザーごとのオプションでは、MFA を実行する資格があるアカウントの数が計算されます。これは、Azure AD の全アカウントと MFA サーバーで有効になっている全アカウントです。 このオプションは、一部のユーザーがライセンスを持っている一方で、ライセンス制限を超えてより多くのユーザーに MFA を拡張する必要がある場合に最適です。

MFA プロバイダーの管理

MFA プロバイダーの作成後に使用モデル (有効化されたユーザーごと、または認証ごと) を変更することはできません。

MFA が有効化されているすべてのユーザーに対応できる、十分な数のライセンスを購入している場合は、MFA プロバイダーをすべて削除することもできます。

MFA プロバイダーが Azure AD テナントにリンクされていない場合、または新しい MFA プロバイダーを別の Azure AD テナントにリンクする場合、ユーザー設定と構成オプションは転送されません。 また、既存の Azure MFA サーバーは、MFA プロバイダーによって生成されるアクティブ化資格情報を使用して再アクティブ化する必要があります。

認証プロバイダーの削除

注意事項

認証プロバイダーを削除するときに確認は行われません。 [削除] の選択は永続的な処理です。

認証プロバイダーは、Azure portal>[Azure Active Directory]>[セキュリティ]>[MFA]>[プロバイダー] で見つけられます。 一覧表示されたプロバイダーをクリックすると、そのプロバイダーに関連付けられている詳細と構成が表示されます。

認証プロバイダーを削除する前に、プロバイダーで構成されているカスタマイズされた設定を記録しておいてください。 ご利用のプロバイダーから一般的な MFA の設定に移行する必要がある設定を決定し、それらの設定の移行を完了します。

プロバイダーにリンクされている Azure MFA サーバーを、Azure portal>[Azure Active Directory]>[セキュリティ]>[MFA]>[サーバーの設定] で生成される資格情報を使って、再アクティブ化する必要があります。 再アクティブ化する前に、環境内の Azure MFA サーバーの \Program Files\Multi-Factor Authentication Server\Data\ ディレクトリから次のファイルを削除する必要があります。

  • caCert
  • cert
  • groupCACert
  • groupKey
  • groupName
  • licenseKey
  • pkey

Azure portal から認証プロバイダーを削除する

すべての設定が移行されたことを確認した後、Azure portal>[Azure Active Directory]>[セキュリティ]>[MFA]>[プロバイダー] を参照し、省略記号 [...] を選択して、[削除] を選択できます。

警告

認証プロバイダーを削除すると、そのプロバイダーに関連付けられているすべてのレポート情報が削除されます。 プロバイダーを削除する前に、アクティビティ レポートを保存することができます。

注意

古いバージョンの Microsoft Authenticator アプリと Azure MFA Server を使用しているユーザーは、アプリの再登録が必要な場合があります。

次のステップ

Multi-Factor Authentication の設定を構成する