Azure Active Directory での統合されたセキュリティ情報の登録の概要
統合された登録の前、ユーザーは Azure AD Multi-Factor Authentication (MFA) とセルフサービス パスワード リセット (SSPR) の認証方法を別々に登録しました。 ユーザーは 多要素認証 と セルフサービス パスワード リセット に同様の方法が使用されることに困惑しましたが、どちらのフィーチャーも登録する必要がありました。 現在では、統合された登録を使用することで、ユーザーは 1 回登録して 多要素認証 と セルフサービス パスワード リセット の両方のベネフィットを得ることができます。 「Azure AD の SSPR を有効にして構成する方法」の動画をぜひご覧ください。
新しいエクスペリエンスを有効にする前に、この管理者対象のドキュメントとユーザー対象のドキュメントを確認して、この機能とその影響を確実に理解するようにしてください。 ユーザー ドキュメントに基づいたトレーニングによってユーザーが新しいエクスペリエンスに対して準備できるようにし、ロールアウトの成功に役立ててください。
Azure AD での統合されたセキュリティ情報の登録は、Azure US Government では使用できますが、Azure China 21Vianet では使用できません。
[マイ アカウント] ページは、そのページにアクセスしているコンピューターの言語設定に基づいてローカライズされます。 Microsoft は、ページへの以降のアクセスの試みが引き続き最後に使用された言語でレンダリングされるように、利用された最新の言語をブラウザー キャッシュに格納します。 キャッシュをクリアすると、ページは再レンダリングされます。
強制的に特定の言語にする場合は、URL の末尾に ?lng=<language> を追加することができます。<language> は、レンダリングする言語のコードです。
統合された登録で使用できる方法
統合された登録は、次表の認証方法とアクションをサポートしています。
| Method | [登録] | Change | 削除 |
|---|---|---|---|
| Microsoft Authenticator | はい (最大 5) | いいえ | はい |
| その他の認証アプリ | はい (最大 5) | いいえ | はい |
| ハードウェア トークン | いいえ | いいえ | はい |
| Phone | はい | はい | はい |
| Alternate phone | はい | はい | はい |
| Office phone* | はい | はい | はい |
| はい | はい | はい | |
| セキュリティの質問 | はい | いいえ | はい |
| アプリ パスワード* | はい | いいえ | はい |
| FIDO2 セキュリティ キー* | はい | いいえ | はい |
注意
認証方法ポリシーで Microsoft Authenticator のパスワードレス認証モードを有効にした場合、ユーザーは Authenticator アプリでパスワードレス サインインも有効にする必要があります。
代替の電話は、https://aka.ms/mysecurityinfo において [管理モード] でのみ登録できます。また、認証方法ポリシーで音声通話を有効にする必要があります。
Office Phone は、ユーザーのビジネス電話プロパティが設定されている場合にのみ割り込みモードで登録できます。 Office Phone は、この要件を満たさずに https://aka.ms/mysecurityinfo から [管理モード] のユーザーが追加できます。
アプリ パスワードは、ユーザーごとの MFA が適用されているユーザーのみが使用できます。 条件付きアクセス ポリシーによって Azure AD 多要素認証が有効になっているユーザーはアプリ パスワードを使用できません。
FIDO2 セキュリティ キーは、https://aka.ms/mysecurityinfo の [管理モード] でのみ追加できます。
ユーザーは、デフォルトの 多要素認証方法として、次のオプションのいずれかを設定できます。
- Microsoft Authenticator - プッシュ通知またはパスワードレス
- 認証アプリまたはハードウェア トークン – コード
- 音声通話
- テキスト メッセージ
Note
音声通話や SMS メッセージでは、仮想電話番号はサポートされていません。
サード パーティの認証アプリでは、プッシュ通知は提供されません。 Microsoft では引き続き Azure AD により多くの認証方法を追加していくので、統合された登録で、それらの方法を使用できるようになります。
統合された登録のモード
統合された登録には、中断と管理の 2 つのモードがあります。
- 中断モードは、ウィザードに似たエクスペリエンスであり、ユーザーがサインイン時に自分のセキュリティ情報を登録または更新するときにユーザーに表示されます。
- 管理モードは、ユーザーのプロファイルの一部であり、ユーザーが自分のセキュリティ情報を管理できるようにします。
どちらのモードでも、Azure AD Multi-Factor Authentication に使用できるメソッドを既に登録しているユーザーが自分のセキュリティ情報にアクセスするには、多要素認証を実行する必要があります。 ユーザーは、以前に登録したメソッドの使用を続ける前に、自分の情報を確認する必要があります。
中断モード
統合された登録は、多要素認証 と セルフサービス パスワード リセット の両方のポリシーに準拠します (テナントで両方が有効になっている場合)。 これらのポリシーは、ユーザーがサインイン中に登録を中断されるかどうか、および登録にどの方法を使用できるかを制御します。 SSPR ポリシーのみが有効になっている場合、ユーザーは登録の中断をスキップして (無期限)、それを後で完了できるようになります。
ユーザーが自分のセキュリティ情報を登録または更新するよう求められる可能性があるサンプル シナリオを次に示します。
- Identity Protection によって多要素認証の登録が強制されている: ユーザーは、サインイン中に登録するよう求められます。 ユーザーは 多要素認証方法と セルフサービス パスワード リセット方法を登録します (ユーザーが セルフサービス パスワード リセット に対して有効になっている場合)。
- ユーザーごとの多要素認証によって多要素認証の登録が強制されている: ユーザーは、サインイン中に登録するよう求められます。 ユーザーは 多要素認証方法と セルフサービス パスワード リセット方法を登録します (ユーザーが セルフサービス パスワード リセット に対して有効になっている場合)。
- 条件付きアクセス ポリシーまたはその他のポリシーによって多要素認証の登録が強制されている: ユーザーは、多要素認証を必要とするリソースを使用する時点で登録するよう求められます。 ユーザーは 多要素認証方法と セルフサービス パスワード リセット方法を登録します (ユーザーが セルフサービス パスワード リセット に対して有効になっている場合)。
- SSPR の登録が強制されている: ユーザーは、サインイン中に登録するよう求められます。 ユーザーは SSPR 方法のみを登録します。
- SSPR の更新が強制されている: ユーザーは、管理者によって設定された間隔で自分のセキュリティ情報を確認する必要があります。ユーザーには自分の情報が表示され、現在の情報を確認するか、または必要に応じて変更を行うことができます。
登録が適用されると、ユーザーには、多要素認証と セルフサービス パスワード リセット の両方のポリシーに準拠するために必要な最小のメソッドが安全性の高い順に表示されます。 MFA と SSPR の両方の登録が強制され、SSPR ポリシーで 2 つの方法が要求される複合登録を行うユーザーは、最初に 1 つ目の方法として MFA の方法を登録する必要があります。また、2 つ目の登録方法として、別の MFA または SSPR 固有の方法 (電子メール、セキュリティの質問など) を選択できます
次のシナリオ例について考えてみます。
- ユーザーが SSPR に対して有効になっています。 SSPR ポリシーでは 2 つの方法の再設定が必要で、Microsoft Authenticator アプリ、メール、電話が有効になっています。
- ユーザーが登録することを選択する場合、次の 2 つの方法が必要とされます。
- ユーザーには既定で、Microsoft Authenticator アプリと電話が表示されます。
- ユーザーは、Authenticator アプリや電話の代わりに、メールを登録することを選択できます。
Microsoft Authenticator を設定すると、ユーザーは [別の方法を設定する] をクリックして他の認証方法を登録できます。 使用可能な方法の一覧は、テナントの認証方法ポリシーによって決まります。
次のフローチャートは、サインイン中に登録を中断されたときにユーザーにどの方法が表示されるかを示しています。
多要素認証 と セルフサービス パスワード リセット の両方が有効になっている場合は、多要素認証の登録を適用することをお勧めします。
SSPR ポリシーでユーザーが定期的に自分のセキュリティ情報を確認する必要がある場合、ユーザーはサインイン中に中断され、自分が登録したすべての方法が表示されます。 ユーザーは、現在の情報が最新かどうかを確認することも、必要な場合は変更することもできます。 このページにアクセスするには、ユーザーが多要素認証を実行する必要があります。
管理モード
ユーザーは https://aka.ms/mysecurityinfo に移動するか、[マイ アカウント] から [セキュリティ情報] を選択することによって管理モードにアクセスできます。 そこから、ユーザーは方法の追加、既存の方法の削除または変更、既定の方法の変更などを実行できます。
主な使用シナリオ
条件付きアクセスを使用したセキュリティ情報の登録の保護
ユーザーが Azure AD Multi-Factor Authentication とセルフサービス パスワード リセットの登録を実行するタイミングと方法をセキュリティで保護するため、条件付きアクセス ポリシーのユーザー アクションを使用できます。 この機能では、HR オンボード中に信頼できるネットワークの場所などの一元化された場所から Azure AD Multi-Factor Authentication と SSPR の登録をユーザーに行わせたい組織で有効にすることができます。 セキュリティ情報の登録をセキュリティで保護するための一般的な条件付きアクセス ポリシーを構成する方法の詳細を確認します。
サインイン中にセキュリティ情報を設定する
管理者が登録を適用しています。
ユーザーは、必要なすべてのセキュリティ情報をまだ設定していない状態で Azure portal に移動します。 ユーザー名とパスワードをユーザーが入力すると、ユーザーはセキュリティ情報を設定するよう求められます。 ユーザーは次に、ウィザードに示されている手順に従って、必要なセキュリティ情報を設定します。 ユーザーは、設定によって許可される場合、既定で表示されるもの以外の方法を設定することを選択できます。 ウィザードが完了した後、ユーザーは、設定したメソッドと多要素認証の既定のメソッドを確認します。 設定プロセスを完了するために、ユーザーは情報を確認し、Azure Portal に進みます。
[マイ アカウント] からセキュリティ情報を設定する
管理者は登録を強制していません。
必要なすべてのセキュリティ情報をまだ設定していないユーザーが https://myaccount.microsoft.com に移動します。 ユーザーは左側のウィンドウで [セキュリティ情報] を選択します。 そこから、ユーザーは方法を追加することを選択し、自分が使用できるいずれかの方法を選択した後、手順に従ってその方法を設定します。 完了すると、設定された方法が [セキュリティ情報] ページに表示されます。
部分的な登録後に他のメソッドを設定する
ユーザーまたは管理者によって実行された既存の認証方法の登録により、ユーザーが MFA または SSPR 登録を部分的に満たしている場合、登録が必要な場合にのみ、認証方法ポリシー設定で許可される追加情報の登録が求められます。 ユーザーが他の複数の認証方法を選択して登録できる場合は、 別のメソッドを設定する というタイトルの登録エクスペリエンスのオプションが表示され、ユーザーが必要な認証方法を設定できるようになります。
[マイ アカウント] からセキュリティ情報を削除する
少なくとも 1 つの方法を以前に設定しているユーザーが https://aka.ms/mysecurityinfo に移動します。 ユーザーは、以前に登録された方法のいずれかを削除することを選択します。 完了すると、その方法は [セキュリティ情報] ページに表示されなくなります。
[マイ アカウント] から既定の方法を変更する
多要素認証 に使用できる少なくとも 1 つのメソッドを以前に設定しているユーザーが https://aka.ms/mysecurityinfo に移動します。 ユーザーは、現在の既定の方法を別の既定の方法に変更します。 完了すると、新しい既定の方法が [セキュリティ情報] ページに表示されます。
ディレクトリを切り替える
B2B ユーザーなどの外部 ID は、サードパーティ テナントのセキュリティ登録情報を変更するために、ディレクトリを切り替える必要がある場合があります。 さらに、リソース テナントにアクセスするユーザーは、ホーム テナントの設定を変更したときに混乱する可能性がありますが、リソース テナントの表示には変更が反映されません。
たとえば、ユーザーが Microsoft Authenticator アプリのプッシュ通知を、ホーム テナントにサインインするためのプライマリ認証として設定し、別のオプションとして SMS/テキスト オプションも使用しているとします。 このユーザーが、リソース テナントでも SMS/テキスト オプションを使用するよう構成しています。 このユーザーがホーム テナントで、認証オプションの 1 つとしての SMS/テキストを削除した場合、リソース テナントにアクセスした際に SMS/テキスト メッセージに応答するよう求められて混乱します。
Azure portal でディレクトリを切り替えるには、右上隅にあるユーザー アカウント名をクリックし、 [ディレクトリの切り替え] をクリックします。
または、セキュリティ情報にアクセスするための URL でテナントを指定することもできます。
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
次のステップ
最初に、セルフサービス パスワード リセットを有効にするチュートリアルと、Azure AD Multi-Factor Authentication を有効にするチュートリアルを参照してください。
テナントでの統合された登録を有効にする方法、またはユーザーに認証方法の再登録を強制する方法について説明します。
また、Azure AD Multi-Factor Authentication と SSPR で使用可能な方法を確認することもできます。