システム優先多要素認証 - 認証方法ポリシー
システム優先多要素認証 (MFA) では、ユーザーが登録した最も安全な方法を使用してサインインするように求められます。 管理者は、システム優先 MFA を有効にしてサインイン セキュリティを向上させ、SMS などの安全性の低いサインイン方法の使用を抑制することができます。
たとえば、ユーザーが MFA の方法として SMS と Microsoft Authenticator の両方のプッシュ通知を登録した場合、システム優先の MFA は、より安全なプッシュ通知方法を使用してサインインするようにユーザーに求めます。 ユーザーは別の方法を使用してサインインすることもできますが、最初に登録した最も安全な方法を試すように求められます。
システム優先 MFA は、Microsoft マネージド設定であり、トライステート ポリシーです。 プレビューの場合、既定 の状態は無効になっています。 プレビュー期間中にすべてのユーザーまたはユーザーのグループに対して有効にする場合は、Microsoft マネージド状態を明示的に有効に変更する必要があります。 一般提供後、システム優先 MFA の Microsoft マネージド状態が有効に変わる場合があります。
システム優先 MFA が有効になると、認証システムによりすべての作業が実行されます。 システムにより、常に、登録した最も安全な方法を決定して提示されるため、ユーザーはどの認証方法も既定として設定する必要はありません。
注意
システム優先 MFA は、従来の第 2 要素通知への重要なセキュリティ アップグレードです。 サインイン セキュリティを強化するために、システム優先 MFA をすぐに有効にすることをぜひお勧めします。
Azure portal でシステム優先 MFA を有効にする
既定では、システム優先 MFA は Microsoft マネージドであり、すべてのユーザーに対して無効になっています。
Azure portal で、[セキュリティ]>[認証方法]>[設定] を選択します。
[システム優先多要素認証] では、機能を明示的に有効または無効にするかどうかを選択し、すべてのユーザーを含めるまたは除外します。 除外されるグループは、含めるグループよりも優先されます。
たとえば、次のスクリーンショットは、エンジニアリング グループに対してのみシステム優先 MFA を明示的に有効にする方法を示しています。
変更が完了したら、[保存] を選択します。
Graph API を使用してシステム優先 MFA を有効にする
システム優先 MFA を事前に有効にするには、要求の例に示すように、スキーマ構成用に 1 つのターゲット グループを選択する必要があります。
認証方法機能の構成プロパティ
既定では、システム優先 MFA は Microsoft マネージドであり、プレビュー中は無効になっています。 一般提供後、Microsoft マネージド状態の既定値が変更され、システム優先 MFA が有効になります。
| プロパティ | Type | 説明 |
|---|---|---|
| excludeTarget | featureTarget | この機能から除外される 1 つのエンティティ。 システム優先 MFA から除外できるグループは 1 つだけであり、動的または入れ子にしたグループにすることができます。 |
| includeTarget | featureTarget | この機能に含まれる 1 つのエンティティ。 システム優先 MFA から含めることができるグループは 1 つだけであり、動的または入れ子にしたグループにすることができます。 |
| State | advancedConfigState | 次のいずれかの値になります。 enabled では、選択したグループに対してこの機能を明示的に有効にします。 disabled では、選択したグループに対してこの機能を明示的に無効にします。 default では、選択したグループに対してこの機能を有効にするかどうかを Azure AD で管理できます。 |
機能ターゲット プロパティ
システム優先 MFA は、1 つのグループに対してのみ有効にすることができ、動的グループまたは入れ子になっているグループの場合があります。
| プロパティ | Type | 説明 |
|---|---|---|
| id | String | ターゲットとなるエンティティの ID。 |
| targetType | featureTargetType | グループ、ロール、管理ユニットなど、ターゲットとなるエンティティの種類。 使用可能な値は、'group'、'administrativeUnit'、'role'、'unknownFutureValue' です。 |
systemCredentialPreferences を有効にし、グループを含めるか除外するには、次の API エンドポイントを使用します。
https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
注意
Graph Explorer で、Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意する必要があります。
要求
次の例では、サンプル ターゲット グループを除外し、すべてのユーザーを含めます。 詳細については、「authenticationMethodsPolicy を更新する」を参照してください。
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
既知の問題
モバイル デバイス上の FIDO2 セキュリティ キーと証明書ベース認証 (CBA) の登録は、システム優先 MFA が有効になっているときに発生する可能性のあるイシューのためサポートされていません。 修正プログラムが利用可能になるまでは、モバイル デバイスかCBAの登録で FIDO2 セキュリティ キーを使用しないことをお勧めします。 これらのユーザーのシステム優先 MFA を無効にするには、それらを除外されたグループに追加するか、含まれているグループから削除します。
一般的な質問
システム優先 MFA によって最も安全な方法はどのように決定されますか?
ユーザーがサインインすると、認証プロセスによって、ユーザーに登録されている認証方法が確認されます。 ユーザーは、次の順序に従って、最も安全な方法でサインインするように求められます。 認証方法の順序は動的です。 これは、セキュリティの環境が変化し、より優れた認証方法が出現するにつれて更新されます。 各メソッドに関する情報については、このリンクをクリックしてください。
- 一時アクセス パス
- 証明書ベースの認証
- FIDO2 セキュリティ キー
- Microsoft Authenticator プッシュ通知
- 時間ベースのワンタイム パスワード (TOTP)1
- テレフォニー2
1 Microsoft Authenticator、Authenticator Lite、またはサードパーティ製アプリケーションからのハードウェアまたはソフトウェアの TOTP が含まれます。
2 SMS と音声通話が含まれます。
システム優先 MFA は、AD FS または NPS 拡張機能にどのように影響しますか?
システム優先 MFA は、Active Directory フェデレーション サービス (AD FS) またはネットワーク ポリシー サーバー (NPS) 拡張機能を使用してサインインするユーザーには影響しません。 これらのユーザーの、サインイン エクスペリエンスに変更はありません。
認証方法ポリシーには指定されていないが、レガシ MFA のテナント全体のポリシーで有効になっているユーザーはどうなりますか?
システム優先 MFA は、レガシ MFA ポリシーで MFA が有効になっているユーザーにも適用されます。
