システム優先認証では、ユーザーが登録した最も安全な方法を使用してサインインするように求められます。 これは、電話ベースの方法を使用して認証するユーザーにとって重要なセキュリティ強化です。 管理者は、システム優先認証を有効にして、サインインのセキュリティを向上させ、ショート メッセージ サービス (SMS) などの安全性の低いサインイン方法を推奨できます。
たとえば、ユーザーが MFA の方法として SMS と Microsoft Authenticator の両方のプッシュ通知を登録した場合、システム優先認証では、より安全なプッシュ通知方法を使用してサインインするようにユーザーに求められます。 ユーザーは別の方法を使用してサインインすることもできますが、最初に登録した最も安全な方法を試すように求められます。
システム優先認証は、次の トリステート ポリシーである Microsoft マネージド設定です。
- 有効 - システム優先認証を第 2 要素 (MFA) にのみ適用します。
- Microsoft マネージド - プレビュー段階では、 プライマリ認証と多要素認証 (プレビュー) の両方に適用の 切り替えによって、この機能がプライマリ認証にも適用されるかどうかを制御します。 トグルがオフ (既定) の場合、システム優先認証は 2 番目の要素にのみ適用されます。 トグルがオンの場合、1 番目と 2 番目の要素の両方に適用されます。
- 無効 - システム優先認証をオフにします。
システム優先認証を有効にしない場合は、状態を [無効] に変更するか、ポリシーからユーザーとグループを除外します。
システム優先認証が有効になった後、認証システムはすべての処理を実行します。 システムにより、常に、登録した最も安全な方法を決定して提示されるため、ユーザーはどの認証方法も既定として設定する必要はありません。
既知の制限
- ターゲット グループのポリシーを変更すると、ユーザーの次のサインインに変更が反映されないことがあります。 それ以降のすべてのサインインに適用されます。
- 条件付きアクセス ポリシーは MFA に対してのみ検証され、第 1 要素認証には適用されません。
Microsoft Entra 管理センターでシステム優先認証を有効にする
システム優先認証を有効にするには、次の手順に従います。
認証ポリシー管理者以上として Microsoft Entra 管理センターにサインインします。
Microsoft Entra ID>認証方法>設定 に移動します。
システム優先認証の場合は、システム優先認証を両方の要素に適用するか、2 番目の要素のみに適用するかに基づいて、状態 (Microsoft マネージドまたは有効) を選択します。 ユーザーまたはグループを含めたり除外したりすることもできます。 除外されたグループは、含まれているグループよりも優先されます。
状態を Microsoft マネージドに設定すると、 プライマリ認証と多要素認証の両方に適用 (プレビュー) の切り替えが表示されます。 トグルをオンにして、プライマリ認証とセカンダリ認証の両方にシステム優先認証を適用します。 トグルがオフ (既定) の場合、システム優先認証は 2 番目の要素にのみ適用されます。
たとえば、次のスクリーンショットは、エンジニアリング グループに対してのみシステム優先認証を有効にする方法を示しています。
変更が完了したら、[ 保存] を選択します。
Graph API を使用してシステム優先認証を有効にする
システム優先認証を事前に有効にするには、 要求 の例に示すように、スキーマ構成の 1 つのターゲット グループを選択する必要があります。
認証方法機能の構成プロパティ
既定では、システム優先認証は Microsoft によって管理されます。
| プロパティ | タイプ | 説明 |
|---|---|---|
| ターゲットを除外する | featureTarget | この機能から除外される 1 つのエンティティ。 システム優先認証から除外できるグループは 1 つだけです。動的グループまたは入れ子になったグループを指定できます。 |
| includeTarget | featureTarget | この機能に含まれる 1 つのエンティティ。 システム優先認証に含めることができるグループは 1 つだけで、動的グループまたは入れ子になったグループにすることができます。 |
| 状態 | advancedConfigState | 次のいずれかの値になります。 [有効] では、選択したグループに対してこの機能を明示的に有効にします。 第 2 要素 (MFA) にのみ適用されます。 [無効] では、選択したグループに対してこの機能を明示的に無効にします。 default では、選択したグループに対してこの機能を有効にするかどうかを Microsoft Entra ID で管理できます。 |
機能ターゲット プロパティ
システム優先認証は、1 つのグループ (動的グループまたは入れ子になったグループ) に対してのみ有効にすることができます。
| プロパティ | タイプ | 説明 |
|---|---|---|
| ID | 糸 | ターゲットとなるエンティティの ID。 |
| ターゲットタイプ | featureTargetType | グループ、ロール、管理ユニットなど、ターゲットとなるエンティティの種類。 使用可能な値は、'group'、'administrativeUnit'、'role'、'unknownFutureValue' です。 |
systemCredentialPreferences を有効にし、グループを含めるか除外するには、次の API エンドポイントを使用します。
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
注
Graph Explorer で、Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意する必要があります。
要求
次の例では、サンプル ターゲット グループを除外し、すべてのユーザーを含めます。 詳細については、「authenticationMethodsPolicy を更新する」を参照してください。
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
システム優先認証で最も安全な方法はどのように決定されますか?
ユーザーがサインインすると、認証プロセスによって、ユーザーに登録されている認証方法が確認されます。 ユーザーは、次の順序に従って、最も安全な方法でサインインするように求められます。 認証方法の順序は動的であり、セキュリティランドスケープが変化し、より優れた認証方法が出現するにつれて更新されます。 ユーザーはいつでもキャンセルして、別の使用可能なサインイン方法を選択できます。 特定の認証方法を必要とする条件付きアクセス ポリシーが組織にある場合、これらのポリシーはシステム優先の認証順序よりも引き続き優先されます。
| 順位 | 資格情報 | カテゴリ | の要件を満たす |
|---|---|---|---|
| 1 | 一時アクセス パス (TAP) | 復元 | 1FA (単要素認証) + MFA (多要素認証) |
| 2 | Passkey1 | フィッシングに対する耐性 | 1FA (単要素認証) + MFA (多要素認証) |
| 3 | 証明書ベースの認証 (CBA) | フィッシングに対する耐性 | 1FA または 1FA + MFA |
| 4 | Microsoft Authenticator 通知 | パスワードレス | 1FA (単要素認証) + MFA (多要素認証) |
| 5 | 外部多要素認証 (MFA) | — | MFA |
| 6 | 時間ベースのワンタイム パスワード (TOTP)2 | — | MFA |
| 7 | テレフォニー3 | — | MFA |
| 8 | QRコード | 現場担当者 | 1FA |
| 9 | パスワード | — | 1FA |
1セキュリティ キー、Authenticator アプリのパスキー、同期されたパスキー、Windows Hello for Business、macOS Platform SSO が含まれます。
2Microsoft Authenticator、Authenticator Lite、またはサード パーティ製アプリケーションのハードウェアまたはソフトウェア TOTP が含まれます。
3SMS 通話と音声通話が含まれます。
Important
証明書ベースの認証 (CBA) は、CBA とシステム優先認証に関する既知の問題により、システム優先認証の順序で最後に配置されていました。 これらの問題が解決されたので、2026 年 3 月 18 日以降、証明書ベースの認証は認証順序の 3 番目の位置に移動しました。
システム優先認証が NPS 拡張機能に与える影響
システム優先認証は、ネットワーク ポリシー サーバー (NPS) 拡張機能を使用してサインインするユーザーには影響しません。 これらのユーザーの、サインイン エクスペリエンスに変更はありません。
認証方法ポリシーには指定されていないが、レガシ MFA のテナント全体のポリシーで有効になっているユーザーはどうなりますか?
システム優先認証は、レガシ MFA ポリシーで MFA が有効になっているユーザーにも適用されます。
ユーザーは引き続き別のサインイン方法を選択できますか?
Yes. システム優先認証では、最も安全な登録済み資格情報をユーザーに求めますが、ユーザーはサインイン時に他の許可される方法を選択できます。