システム優先多要素認証 - 認証方法ポリシー

システム優先多要素認証 (MFA) では、ユーザーが登録した最も安全な方法を使用してサインインするように求められます。 管理者は、システム優先 MFA を有効にしてサインイン セキュリティを向上させ、SMS などの安全性の低いサインイン方法の使用を抑制することができます。

たとえば、ユーザーが MFA の方法として SMS と Microsoft Authenticator の両方のプッシュ通知を登録した場合、システム優先の MFA は、より安全なプッシュ通知方法を使用してサインインするようにユーザーに求めます。 ユーザーは別の方法を使用してサインインすることもできますが、最初に登録した最も安全な方法を試すように求められます。

システム優先 MFA は、Microsoft マネージド設定であり、トライステート ポリシーです。 プレビューの場合、既定 の状態は無効になっています。 プレビュー期間中にすべてのユーザーまたはユーザーのグループに対して有効にする場合は、Microsoft マネージド状態を明示的に有効に変更する必要があります。 一般提供後、システム優先 MFA の Microsoft マネージド状態が有効に変わる場合があります。

システム優先 MFA が有効になると、認証システムによりすべての作業が実行されます。 システムにより、常に、登録した最も安全な方法を決定して提示されるため、ユーザーはどの認証方法も既定として設定する必要はありません。

Note

システムが優先する MFA (多要素認証) は、通信トランスポート経由で認証するユーザーにとって重要なセキュリティ強化です。 2023 年 7 月 7 日以降、システムが優先する MFA の Microsoft マネージド値が [無効] から [有効] に変更されます。 システムが優先する MFA を有効にしない場合は、状態を [既定] から [無効] に変更するか、ポリシーからユーザーとグループを除外します。

Microsoft Entra 管理センターでシステムが優先する MFA を有効にする

既定では、システム優先 MFA は Microsoft マネージドであり、すべてのユーザーに対して無効になっています。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. [保護]>[認証方法]>[設定] の順に進みます。

  3. [システム優先多要素認証] では、機能を明示的に有効または無効にするかどうかを選択し、すべてのユーザーを含めるまたは除外します。 除外されるグループは、含めるグループよりも優先されます。

    たとえば、次のスクリーンショットは、エンジニアリング グループに対してのみシステム優先 MFA を明示的に有効にする方法を示しています。

    Screenshot of how to enable Microsoft Authenticator settings for Push authentication mode.

  4. 変更が完了したら、[保存] を選択します。

Graph API を使用してシステム優先 MFA を有効にする

システム優先 MFA を事前に有効にするには、要求の例に示すように、スキーマ構成用に 1 つのターゲット グループを選択する必要があります。

認証方法機能の構成プロパティ

既定では、システム優先 MFA は Microsoft マネージドであり、プレビュー中は無効になっています。 一般提供後、Microsoft マネージド状態の既定値が変更され、システム優先 MFA が有効になります。

プロパティ タイプ 説明
excludeTarget featureTarget この機能から除外される 1 つのエンティティ。
システム優先 MFA から除外できるグループは 1 つだけであり、動的または入れ子にしたグループにすることができます。
includeTarget featureTarget この機能に含まれる 1 つのエンティティ。
システム優先 MFA から含めることができるグループは 1 つだけであり、動的または入れ子にしたグループにすることができます。
State advancedConfigState 次のいずれかの値になります。
enabled では、選択したグループに対してこの機能を明示的に有効にします。
disabled では、選択したグループに対してこの機能を明示的に無効にします。
既定 では、選択したグループに対してこの機能を有効にするかどうかを Microsoft Entra ID で管理できます。

機能ターゲット プロパティ

システム優先 MFA は、1 つのグループに対してのみ有効にすることができ、動的グループまたは入れ子になっているグループの場合があります。

プロパティ タイプ 説明
id String ターゲットとなるエンティティの ID。
targetType featureTargetType グループ、ロール、管理ユニットなど、ターゲットとなるエンティティの種類。 使用可能な値は、'group'、'administrativeUnit'、'role'、'unknownFutureValue' です。

systemCredentialPreferences を有効にし、グループを含めるか除外するには、次の API エンドポイントを使用します。

https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy

注意

Graph Explorer で、Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意する必要があります。

要求

次の例では、サンプル ターゲット グループを除外し、すべてのユーザーを含めます。 詳細については、「authenticationMethodsPolicy を更新する」を参照してください。

PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

よく寄せられる質問

システム優先 MFA によって最も安全な方法はどのように決定されますか?

ユーザーがサインインすると、認証プロセスによって、ユーザーに登録されている認証方法が確認されます。 ユーザーは、次の順序に従って、最も安全な方法でサインインするように求められます。 認証方法の順序は動的です。 これは、セキュリティの環境が変化し、より優れた認証方法が出現するにつれて更新されます。 証明書ベースの認証とシステム優先 MFA に関する既知の問題が原因で、CBA は一覧の一番下に移動されました。 各メソッドに関する情報については、このリンクをクリックしてください。

  1. 一時アクセス パス
  2. FIDO2 セキュリティ キー
  3. Microsoft Authenticator 通知
  4. 時間ベースのワンタイム パスワード (TOTP)1
  5. テレフォニー2
  6. 証明書ベースの認証

1 Microsoft Authenticator、Authenticator Lite、またはサードパーティ製アプリケーションからのハードウェアまたはソフトウェアの TOTP が含まれます。

2 SMS と音声通話が含まれます。

システム優先 MFA は、NPS 拡張機能にどのように影響しますか?

システム優先 MFA は、ネットワーク ポリシー サーバー (NPS) 拡張機能を使用してサインインするユーザーには影響しません。 これらのユーザーの、サインイン エクスペリエンスに変更はありません。

認証方法ポリシーには指定されていないが、レガシ MFA のテナント全体のポリシーで有効になっているユーザーはどうなりますか?

システム優先 MFA は、レガシ MFA ポリシーで MFA が有効になっているユーザーにも適用されます。

Screenshot of legacy MFA settings.

次のステップ