Azure Active Directory での統合されたセキュリティ情報の登録の概要

統合された登録の前、ユーザーは Azure AD Multi-Factor Authentication (MFA) とセルフサービス パスワード リセット (SSPR) の認証方法を別々に登録しました。 ユーザーは 多要素認証 と セルフサービス パスワード リセット に同様の方法が使用されることに困惑しましたが、どちらのフィーチャーも登録する必要がありました。 現在では、統合された登録を使用することで、ユーザーは 1 回登録して 多要素認証 と セルフサービス パスワード リセット の両方のベネフィットを得ることができます。 「Azure AD の SSPR を有効にして構成する方法」の動画をぜひご覧ください

注意

2022 年 10 月 1 日から、2020 年 8 月 15 日より前に作成された Azure AD テナントのすべてのユーザーに対して、統合登録の有効化が開始されます。 この日付より後に作成されたテナントは、統合された登録で有効になります。

この記事では、統合されたセキュリティ登録の概要について説明します。 統合されたセキュリティ登録の使用を開始するには、次の記事を参照してください。

ユーザーの登録済みのセキュリティ情報を示しているマイ アカウント

新しいエクスペリエンスを有効にする前に、この管理者対象のドキュメントとユーザー対象のドキュメントを確認して、この機能とその影響を確実に理解するようにしてください。 ユーザー ドキュメントに基づいたトレーニングによってユーザーが新しいエクスペリエンスに対して準備できるようにし、ロールアウトの成功に役立ててください。

Azure AD での統合されたセキュリティ情報の登録は、Azure US Government では使用できますが、Azure China 21Vianet では使用できません。

重要

元のプレビューと拡張版の両方の統合された登録エクスペリエンスが有効になっているユーザーには、新しい動作が示されます。 両方のエクスペリエンスが有効になっているユーザーには [マイ アカウント] エクスペリエンスのみが表示されます。 [マイ アカウント] は統合された登録の外観と統一されており、ユーザーにシームレスなエクスペリエンスを提供します。 ユーザーは、https://myaccount.microsoft.com に移動することによって [マイ アカウント] を表示できます。

[サインイン時にユーザーに登録を求めますか][はい] に設定すると、すべてのユーザーがサインイン時に登録を要求されるため、すべてのユーザーを確実に保護することができます。

セキュリティ情報オプションにアクセスしようとすると、「申し訳ございません。サインインできませんでした」などのエラー メッセージが表示される場合があります。 サードパーティの Cookie をブロックする構成またはグループ ポリシー オブジェクトが Web ブラウザーに設定されていないことを確認します。

[マイ アカウント] ページは、そのページにアクセスしているコンピューターの言語設定に基づいてローカライズされます。 Microsoft は、ページへの以降のアクセスの試みが引き続き最後に使用された言語でレンダリングされるように、利用された最新の言語をブラウザー キャッシュに格納します。 キャッシュをクリアすると、ページは再レンダリングされます。

強制的に特定の言語にする場合は、URL の末尾に ?lng=<language> を追加することができます。<language> は、レンダリングする言語のコードです。

SSPR またはその他のセキュリティ検証方法をセットアップする

統合された登録で使用できる方法

統合された登録は、次表の認証方法とアクションをサポートしています。

Method [登録] Change 削除
Microsoft Authenticator はい (最大 5) いいえ はい
その他の認証アプリ はい (最大 5) いいえ はい
ハードウェア トークン いいえ いいえ はい
Phone はい はい はい
Alternate phone はい はい はい
Office phone* はい はい はい
Email はい はい はい
セキュリティの質問 はい いいえ はい
アプリ パスワード* はい いいえ はい
FIDO2 セキュリティ キー* はい いいえ はい

注意

Office Phone は、ユーザーのビジネス電話プロパティが設定されている場合にのみ割り込みモードで登録できます。 Office Phone は、この要件を満たさずにセキュリティ情報から管理モードのユーザーが追加できます。
アプリ パスワードは、Azure AD 多要素認証 が適用されているユーザーのみが使用できます。 条件付きアクセス ポリシーによって Azure AD 多要素認証 が有効になっているユーザーはアプリ パスワードを使用できません。
FIDO2 セキュリティ キーは、[セキュリティ情報] ページからのみ管理モードで追加できます

ユーザーは、デフォルトの 多要素認証方法として、次のオプションのいずれかを設定できます。

  • Microsoft Authenticator - プッシュ通知またはパスワードレス
  • 認証アプリまたはハードウェア トークン – コード
  • 音声通話
  • テキスト メッセージ

Note

音声通話や SMS メッセージでは、仮想電話番号はサポートされていません。

サード パーティの認証アプリでは、プッシュ通知は提供されません。 Microsoft では引き続き Azure AD により多くの認証方法を追加していくので、統合された登録で、それらの方法を使用できるようになります。

統合された登録のモード

統合された登録には、中断と管理の 2 つのモードがあります。

  • 中断モードは、ウィザードに似たエクスペリエンスであり、ユーザーがサインイン時に自分のセキュリティ情報を登録または更新するときにユーザーに表示されます。
  • 管理モードは、ユーザーのプロファイルの一部であり、ユーザーが自分のセキュリティ情報を管理できるようにします。

どちらのモードでも、Azure AD Multi-Factor Authentication に使用できるメソッドを既に登録しているユーザーが自分のセキュリティ情報にアクセスするには、多要素認証を実行する必要があります。 ユーザーは、以前に登録したメソッドの使用を続ける前に、自分の情報を確認する必要があります。

中断モード

統合された登録は、多要素認証 と セルフサービス パスワード リセット の両方のポリシーに準拠します (テナントで両方が有効になっている場合)。 これらのポリシーは、ユーザーがサインイン中に登録を中断されるかどうか、および登録にどの方法を使用できるかを制御します。 SSPR ポリシーのみが有効になっている場合、ユーザーは登録の中断をスキップして (無期限)、それを後で完了できるようになります。

ユーザーが自分のセキュリティ情報を登録または更新するよう求められる可能性があるサンプル シナリオを次に示します。

  • Identity Protection によって 多要素認証 の登録が強制されている: ユーザーは、サインイン中に登録するよう求められます。 ユーザーは 多要素認証方法と セルフサービス パスワード リセット方法を登録します (ユーザーが セルフサービス パスワード リセット に対して有効になっている場合)。
  • ユーザーごとの 多要素認証によって Multi-Factor Authentication の登録が強制されている: ユーザーは、サインイン中に登録するよう求められます。 ユーザーは 多要素認証方法と セルフサービス パスワード リセット方法を登録します (ユーザーが セルフサービス パスワード リセット に対して有効になっている場合)。
  • 条件付きアクセス ポリシーまたはその他のポリシーによって Multi-Factor Authentication の登録が強制されている: ユーザーは、多要素認証を必要とするリソースを使用するときに登録するよう求められます。 ユーザーは 多要素認証方法と セルフサービス パスワード リセット方法を登録します (ユーザーが セルフサービス パスワード リセット に対して有効になっている場合)。
  • SSPR の登録が強制されている: ユーザーは、サインイン中に登録するよう求められます。 ユーザーは SSPR 方法のみを登録します。
  • SSPR の更新が強制されている: ユーザーは、管理者によって設定された間隔で自分のセキュリティ情報を確認する必要があります。ユーザーには自分の情報が表示され、現在の情報を確認するか、または必要に応じて変更を行うことができます。

登録が適用されると、ユーザーには、多要素認証と セルフサービス パスワード リセット の両方のポリシーに準拠するために必要な最小のメソッドが安全性の高い順に表示されます。 MFA と SSPR の両方の登録が適用され、SSPR ポリシーで2つの方法が要求される複合登録を行うユーザーは、最初に 1 つ目の方法として MFA メソッドを登録する必要があります。また、2 つ目の登録方法として別の MFA または SSPR 固有の方法 (電子メール、セキュリティの質問など) を選択できます。

次のシナリオ例について考えてみます。

  • ユーザーが SSPR に対して有効になっています。 SSPR ポリシーでは 2 つの方法の再設定が求められていて、Authenticator のアプリ、メール、電話が有効になっています。
  • ユーザーが登録することを選択する場合、次の 2 つの方法が必要とされます。
    • ユーザーには既定で、Authenticator アプリと電話が表示されます。
    • ユーザーは、Authenticator アプリや電話の代わりに、メールを登録することを選択できます。

次のフローチャートは、サインイン中に登録を中断されたときにユーザーにどの方法が表示されるかを示しています。

結合されたセキュリティ情報のフローチャート

多要素認証 と セルフサービス パスワード リセット の両方が有効になっている場合は、多要素認証の登録を適用することをお勧めします。

SSPR ポリシーでユーザーが定期的に自分のセキュリティ情報を確認する必要がある場合、ユーザーはサインイン中に中断され、自分が登録したすべての方法が表示されます。 ユーザーは、現在の情報が最新かどうかを確認することも、必要な場合は変更することもできます。 ユーザーは、このページにアクセスするときに多要素認証を実行する必要があります。

管理モード

ユーザーは https://aka.ms/mysecurityinfo に移動するか、[マイ アカウント] から [セキュリティ情報] を選択することによって管理モードにアクセスできます。 そこから、ユーザーは方法の追加、既存の方法の削除または変更、既定の方法の変更などを実行できます。

主な使用シナリオ

サインイン中にセキュリティ情報を設定する

管理者が登録を適用しています。

ユーザーは、必要なすべてのセキュリティ情報をまだ設定していない状態で Azure portal に移動します。 ユーザー名とパスワードをユーザーが入力すると、ユーザーはセキュリティ情報を設定するよう求められます。 ユーザーは次に、ウィザードに示されている手順に従って、必要なセキュリティ情報を設定します。 ユーザーは、設定によって許可される場合、既定で表示されるもの以外の方法を設定することを選択できます。 ウィザードが完了した後、ユーザーは、設定したメソッドと多要素認証の既定のメソッドを確認します。 設定プロセスを完了するために、ユーザーは情報を確認し、Azure Portal に進みます。

[マイ アカウント] からセキュリティ情報を設定する

管理者は登録を適用していません。

必要なすべてのセキュリティ情報をまだ設定していないユーザーが https://myaccount.microsoft.com に移動します。 ユーザーは左側のウィンドウで [セキュリティ情報] を選択します。 そこから、ユーザーは方法を追加することを選択し、自分が使用できるいずれかの方法を選択した後、手順に従ってその方法を設定します。 完了すると、設定された方法が [セキュリティ情報] ページに表示されます。

部分的な登録後に他のメソッドを設定する

ユーザーまたは管理者によって実行された既存の認証方法の登録により、ユーザーが MFA または SSPR 登録を部分的に満たしている場合、登録が必要な場合にのみ、認証方法ポリシー設定で許可される追加情報の登録が求められます。 ユーザーが他の複数の認証方法を選択して登録できる場合は、 別のメソッドを設定する というタイトルの登録エクスペリエンスのオプションが表示され、ユーザーが必要な認証方法を設定できるようになります。

別のメソッドを設定する方法のスクリーンショット。

[マイ アカウント] からセキュリティ情報を削除する

少なくとも 1 つの方法を以前に設定しているユーザーが https://aka.ms/mysecurityinfo に移動します。 ユーザーは、以前に登録された方法のいずれかを削除することを選択します。 完了すると、その方法は [セキュリティ情報] ページに表示されなくなります。

[マイ アカウント] から既定の方法を変更する

多要素認証 に使用できる少なくとも 1 つのメソッドを以前に設定しているユーザーが https://aka.ms/mysecurityinfo に移動します。 ユーザーは、現在の既定の方法を別の既定の方法に変更します。 完了すると、新しい既定の方法が [セキュリティ情報] ページに表示されます。

ディレクトリを切り替える

B2B ユーザーなどの外部 ID は、サードパーティ テナントのセキュリティ登録情報を変更するために、ディレクトリを切り替える必要がある場合があります。 さらに、リソース テナントにアクセスするユーザーは、ホーム テナントの設定を変更したときに混乱する可能性がありますが、リソース テナントの表示には変更が反映されません。

たとえば、ユーザーが Microsoft Authenticator アプリのプッシュ通知を、ホーム テナントにサインインするためのプライマリ認証として設定し、別のオプションとして SMS/テキスト オプションも使用しているとします。 このユーザーが、リソース テナントでも SMS/テキスト オプションを使用するよう構成しています。 このユーザーがホーム テナントで、認証オプションの 1 つとしての SMS/テキストを削除した場合、リソース テナントにアクセスした際に SMS/テキスト メッセージに応答するよう求められて混乱します。

Azure portal でディレクトリを切り替えるには、右上隅にあるユーザー アカウント名をクリックし、 [ディレクトリの切り替え] をクリックします。

外部ユーザーはディレクトリを切り替えることができます。

または、セキュリティ情報にアクセスするための URL でテナントを指定することもできます。

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

次のステップ

最初に、セルフサービス パスワード リセットを有効にするチュートリアルと、Azure AD Multi-Factor Authentication を有効にするチュートリアルを参照してください。

テナントでの統合された登録を有効にする方法、またはユーザーに認証方法の再登録を強制する方法について説明します。

また、Azure AD Multi-Factor Authentication と SSPR で使用可能な方法を確認することもできます。