Azure AD Multi-Factor Authentication の機能とライセンス

組織内のユーザー アカウントを保護するには、多要素認証を使用する必要があります。 リソースへの特権アクセスが認められているアカウントでは、この機能が特に重要となります。 Microsoft 365 および Azure Active Directory (Azure AD) のユーザーと全体管理者は、追加料金なしで基本的な多要素認証機能を利用できます。 管理者に対して機能をアップグレードしたり、他のユーザーに対して認証方法を増やし、きめ細かく制御できるように多要素認証を拡張したりといった希望がある場合には、いくつかの方法で Azure AD Multi-Factor Authentication を購入できます。

重要

この記事では、Azure AD Multi-Factor Authentication のライセンスを取得して使用するさまざまな方法について詳しく説明します。 価格と課金の詳細については、Azure AD の価格に関するページを参照してください。

Azure AD Multi-Factor Authentication の使用可能なバージョン

Azure AD Multi-Factor Authentication は、組織のニーズに応じて、いくつかの異なる方法で使用し、ライセンスを取得することができます。 すべてのテナントには、セキュリティの既定値を使用した基本的な多要素認証機能を使用する権利があります。 現在お使いの Azure AD、EMS、Microsoft 365 のライセンスによっては、拡張 Azure AD Multi-Factor Authentication を使用する権利を既に持っている場合があります。 たとえば、Azure AD External Identities での最初の 50,000 人の月間アクティブ ユーザーは、MFA および他の Premium P1 または P2 の機能を無料で使用できます。 詳細については、「Azure Active Directory External Identities の価格」を参照してください。

次の表では、Azure AD Multi-Factor Authentication を入手するさまざまな方法と、それぞれの機能およびユース ケースについて詳しく説明します。

次のユーザーの場合 機能とユース ケース
Microsoft 365 Business Premium および EMS または Microsoft 365 E3 と E5 EMS E3、Microsoft 365 E3、Microsoft 365 Business Premium には Azure AD Premium P1 が含まれています。 EMS E5 または Microsoft 365 E5 には、Azure AD Premium P2 が含まれています。 次のセクションに記載されている同じ条件付きアクセス機能を使用して、ユーザーに多要素認証を提供できます。
Azure AD Premium P1 Azure AD 条件付きアクセスを使用して、ビジネス要件に合わせて特定のシナリオやイベントの際に多要素認証をユーザーに求めることができます。
Azure AD Premium P2 最も強力なセキュリティのポジションと、向上したユーザー エクスペリエンスを提供します。 リスク ベースの条件付きアクセスを Azure AD Premium P1 の機能に追加することで、ユーザーのパターンに適応し、多要素認証の回数を最小限に抑えます。
すべての Microsoft 365 プラン Azure AD Multi-Factor Authentication は、セキュリティの既定値群を使用して、すべてのユーザーについて有効にすることができます。 Azure AD Multi-Factor Authentication の管理は、Microsoft 365 ポータルを通じて行います。 ユーザー エクスペリエンスを向上させるには、Azure AD Premium P1 または P2 にアップグレードし、条件付きアクセスを使用します。 詳細については、多要素認証を使用した Microsoft 365 リソースのセキュリティ保護に関するページを参照してください。
Office 365 Free
Azure AD Free
必要に応じてセキュリティの既定値群を使用して多要素認証をユーザーに要求できますが、有効となるユーザーまたはシナリオをきめ細かく制御することはできません。ただし、追加のセキュリティ措置を提供することはできます。
すべてのユーザーの多要素認証を有効にするセキュリティの既定値群が使用されていない場合でも、Azure AD 全体管理者ロールに割り当てられたユーザーは、多要素認証を使用するように構成できます。 Free レベルのこの機能により、重要な管理者アカウントが多要素認証によって保護されます。

ライセンスに基づく機能比較

次の表に、さまざまなバージョンの Azure AD Multi-Factor Authentication で使用できる機能の一覧を示します。 ユーザー認証のセキュリティ保護に必要なものを詳しく検討し、その要件を満たす方法を決定します。 たとえば、Azure AD Free は Azure AD Multi-Factor Authentication を提供するセキュリティの既定値群を提供しますが、認証プロンプトに使用できるのはモバイル認証アプリだけであり、電話や SMS は使用できません。 モバイル認証アプリがユーザーの個人のデバイスにインストールされていることを保証できない場合、この方法は制約を受けるかもしれません。 詳細については、後の「Azure AD Free レベル」を参照してください。

機能 Azure AD Free - セキュリティの既定値群 (すべてのユーザーに対して有効) Azure AD Free - 全体管理者のみ Office 365 Azure AD Premium P1 Azure AD Premium P2
MFA で Azure AD テナント管理者アカウントを保護する ● (Azure AD 全体管理者アカウントの場合のみ)
モバイル アプリを 2 番目の要素にする
音声通話を 2 番目の要素にする
SMS を 2 番目の要素にする
検証方法の管理制御
不正アクセスのアラート
MFA レポート
音声通話のカスタムあいさつ文
音声通話のカスタム発信元 ID
信頼できる IP
信頼済みデバイスの MFA の記憶
オンプレミス アプリケーション用の MFA
条件付きアクセス
リスクベースの条件付きアクセス
ID の保護 (危険なサインイン、危険なユーザー)
アクセス レビュー
エンタイトルメント管理
Privileged Identity Management (PIM)、Just-In-Time アクセス
ライフサイクル ワークフロー (プレビュー)

多要素認証ポリシーを比較する

MFA を適用する方法としては、条件付きアクセスの使用が推奨されます。 次の表を見て、ご利用のライセンスに含まれる機能を確認してください。

ポリシー セキュリティの既定値群 条件付きアクセス ユーザーごとの MFA
管理
会社の安全を維持するためのセキュリティ規則の標準セット
ワンクリックのオンまたはオフ
Office 365 ライセンスに含まれる (ライセンスに関する考慮事項に関するセクションを参照してください)
Microsoft 365 管理センター ウィザードでの事前構成済みのテンプレート
構成の柔軟性
機能
ポリシーからユーザーを除外する
電話または SMS による認証
Microsoft Authenticator とソフトウェア トークンによる認証
FIDO2、Windows Hello for Business、およびハードウェア トークンによる認証
レガシ認証プロトコルのブロック
新しい従業員の自動的な保護
リスク イベントに基づく動的 MFA トリガー
認証および承認ポリシー
場所とデバイスの状態に基づいて構成可能
"レポート専用" モードのサポート
ユーザーまたはサービスを完全にブロックする機能

Azure AD Multi-Factor Authentication を購入して有効にする

Azure AD Multi-Factor Authentication を使用するには、資格のある Azure AD のレベルに登録するか、ご購入ください。 Azure AD には、Free、Office 365、Premium P1、Premium P2 の 4 つのエディションが用意されています。

Free エディションは、Azure サブスクリプションに含まれます。 セキュリティの既定値群を使用する方法、または Azure AD 全体管理者ロールでアカウントを保護する方法についての情報は、下記のセクションを参照してください。

Azure AD Premium エディションは、Microsoft の担当者、Open Volume License プログラム、および Cloud Solution Providers プログラムから入手できます。 Azure および Microsoft 365 のサブスクライバーは Azure Active Directory Premium P1 および P2 をオンラインで購入することもできます。 サインインして購入します。

必要な Azure AD レベルを購入した後、Azure AD Multi-Factor Authentication を計画してデプロイします

Azure AD Free レベル

Azure AD Free テナントのすべてのユーザーは、セキュリティの既定値群を使用することにより、Azure AD Multi-Factor Authentication を使用することができます。 モバイル認証アプリは、Azure AD Free のセキュリティの既定値群を使用する場合に Azure AD Multi-Factor Authentication で使用できる、唯一の方法です。

すべてのユーザーに対して Azure AD Multi-Factor Authentication を有効にしない場合、代わりに Azure AD 全体管理者ロールを持つユーザー アカウントのみを保護することを選択できます。 この方法では、重要な管理者アカウントに対して追加の認証プロンプトが表示されます。 使用しているアカウントの種類に応じて、次のいずれかの方法で Azure AD Multi-Factor Authentication を有効にします。

次のステップ