Microsoft Entra 多要素認証プロバイダーを使用すべき状況
重要
2018 年 9 月 1 日以降、新しい認証プロバイダーを作成できなくなります。 既存の認証プロバイダーは引き続き使用および更新できますが、移行はもうできません。 多要素認証は、Microsoft Entra ID P1 または P2 ライセンスの機能として引き続き使用できます。
Microsoft Entra ID を持つグローバル管理者と Microsoft 365 ユーザーは、既定では 2 段階認証をお使いいただけます。 ただし、高度な機能が必要な場合は、通常版の Microsoft Entra 多要素認証をご購入ください。
Microsoft Entra 多要素認証プロバイダーは、ライセンスを持たないユーザーのために Microsoft Entra 多要素認証により提供される機能を活用する目的で使用されます。
Azure MFA SDK に関する注意事項
SDK は廃止となり、2018 年 11 月 14 日までのみの作動となることにご注意ください。 その後は、SDK への呼び出しは失敗します。
MFA プロバイダーとは
2 種類の認証プロバイダーがあり、違いは Azure サブスクリプションの課金方法です。 認証ごとのオプションは、1 か月間にテナントに対して実行された認証の数を計算します。 このオプションは、一部のアカウントで認証を行う頻度が低い場合に最適です。 ユーザーごとのオプションでは、MFA を実行する資格があるアカウントの数が計算されます。これは、Microsoft Entra ID の全アカウントと MFA サーバーで有効になっている全アカウントです。 このオプションは、一部のユーザーがライセンスを持っている一方で、ライセンス制限を超えてより多くのユーザーに MFA を拡張する必要がある場合に最適です。
MFA プロバイダーの管理
MFA プロバイダーの作成後に使用モデル (有効化されたユーザーごと、または認証ごと) を変更することはできません。
MFA が有効化されているすべてのユーザーに対応できる、十分な数のライセンスを購入している場合は、MFA プロバイダーをすべて削除することもできます。
MFA プロバイダーが Microsoft Entra テナントにリンクされていない場合、または新しい MFA プロバイダーを別の Microsoft Entra テナントにリンクする場合、ユーザー設定と構成オプションは転送されません。 また、既存の Azure MFA サーバーは、MFA プロバイダーによって生成されるアクティブ化資格情報を使用して再アクティブ化する必要があります。
認証プロバイダーの削除
注意事項
認証プロバイダーを削除するときに確認は行われません。 [削除] の選択は永続的な処理です。
認証プロバイダーは、Microsoft Entra 管理センターで見つけることができます。 認証ポリシー管理者以上の権限でサインインします。 [保護]>[多要素認証]>[プロバイダー] の順に移動します。 一覧表示されたプロバイダーをクリックすると、そのプロバイダーに関連付けられている詳細と構成が表示されます。
認証プロバイダーを削除する前に、プロバイダーで構成されているカスタマイズされた設定を記録しておいてください。 ご利用のプロバイダーから一般的な MFA の設定に移行する必要がある設定を決定し、それらの設定の移行を完了します。
プロバイダーにリンクされている Azure MFA サーバーを、[サーバーの設定] で生成される資格情報を使って、再アクティブ化する必要があります。 再アクティブ化する前に、環境内の Azure MFA サーバーの \Program Files\Multi-Factor Authentication Server\Data\ ディレクトリから次のファイルを削除する必要があります。
- caCert
- cert
- groupCACert
- groupKey
- groupName
- licenseKey
- pkey
すべての設定が移行されたことを確認した後、[プロバイダー] に移動して、省略記号 [...] を選択し、[削除] を選択します。
警告
認証プロバイダーを削除すると、そのプロバイダーに関連付けられているすべてのレポート情報が削除されます。 プロバイダーを削除する前に、アクティビティ レポートを保存することができます。
注意
古いバージョンの Microsoft Authenticator アプリと Azure MFA Server を使用しているユーザーは、アプリの再登録が必要な場合があります。