Azure AD Multi-Factor Authentication の設定を構成する

  • [アーティクル]

Azure AD Multi-Factor Authentication のエンドユーザー エクスペリエンスをカスタマイズするために、アカウント ロックアウトのしきい値や、不正アクセスのアラートと通知などの設定のオプションを構成できます。 一部の設定は Azure Active Directory (Azure AD) の Azure portal 内に直接ありますが、一部は別の Azure AD Multi-Factor Authentication ポータルにあります。

Azure portal では、次の Azure AD Multi-Factor Authentication 設定を使用できます。

特徴量 説明
アカウントのロックアウト 連続して拒否された認証試行が多すぎる場合に、Azure AD Multi-Factor Authentication を使用しないようにアカウントを一時的にロックします。 この機能は、認証のために PIN を入力するユーザーにのみ適用されます。 (MFA サーバーのみ)
ユーザーのブロック/ブロック解除 特定のユーザーが Azure AD Multi-Factor Authentication 要求を受信できないようにブロックします。 ブロックされているユーザーを認証しようとすると、自動的に拒否されます。 ユーザーはブロックされてから 90 日間、または手動でブロック解除するまでブロックされたままになります。
疑わしいアクティビティの報告 ユーザーが不正な確認要求を通報できるようにする設定を構成します。
通知 MFA サーバーからのイベントの通知を有効にします。
OATH トークン ユーザーの OATH トークンを管理するために、クラウドベースの Azure AD Multi-Factor Authentication 環境で使用されます。
電話の設定 クラウド環境とオンプレミス環境の電話と案内メッセージに関連する設定を構成します。
プロバイダー アカウントに関連付けた既存の認証プロバイダーが表示されます。 2018 年 9 月 1 日より、新しいプロバイダーの追加は無効になっています。

Azure portal - Azure AD Multi-Factor Authentication の設定

アカウントのロックアウト

攻撃の一部としての MFA の試行が繰り返されないようにするために、アカウント ロックアウトの設定では、アカウントが一定の期間ロックアウトされるまでに許可する試行の失敗回数を指定できます。 アカウント ロックアウトの設定は、MFA プロンプトに PIN コードが入力された場合にのみ適用されます。

次の設定を使用できます。

  • アカウント ロックアウトがトリガーされる MFA の拒否回数
  • アカウント ロックアウトのカウンターがリセットされるまでの時間 (分)
  • アカウントのブロックが自動的に解除されるまでの時間 (分)

アカウント ロックアウトの設定を構成するには、次のステップを完了します。

  1. Azure Portal に管理者としてサインインします。

  2. [Azure Active Directory]>[セキュリティ]>[Multifactor authentication]>[アカウントのロックアウト] の順に移動します。

  3. お使いの環境の値を入力し、[保存] を選択します。

    Azure portal のアカウント ロックアウトの設定を示すスクリーンショット。

ユーザーのブロックおよびブロック解除

ユーザーのデバイスが紛失するか、盗難にあった場合は、関連付けられているアカウントに対する Azure AD Multi-Factor Authentication の試行をブロックできます。 ブロックされているユーザーに対する Azure AD Multi-Factor Authentication の試行は自動的に拒否されます。 ユーザーはブロックされてから 90 日間ブロックされたままになります。 これを行う方法の説明については、テナント内のユーザーをブロックおよびブロック解除する方法のビデオをご覧ください。

ユーザーのブロック

ユーザーをブロックするには、次のステップを完了します。

このプロセスについて説明する短いビデオを視聴します。

  1. [Azure Active Directory]>[セキュリティ]>[Multifactor authentication]>[ユーザーのブロック/ブロック解除] の順に移動します。
  2. [追加] を選択してユーザーをブロックします。
  3. ブロックされるユーザーのユーザー名を username@domain.com の形式で入力し、[理由] ボックスにコメン トを入力します。
  4. [OK] を選択して、ユーザーをブロックします。

ユーザーのブロック解除

ユーザーのブロックを解除するには、次の手順を実行します。

  1. [Azure Active Directory]>[セキュリティ]>[Multifactor authentication]>[ユーザーのブロック/ブロック解除] の順に移動します。
  2. ユーザーの横にある [アクション] 列で [ブロック解除] を選択します。
  3. [ブロックを解除する理由] ボックスにコメントを入力します。
  4. [OK] を選択して、ユーザーのブロックを解除します。

疑わしいアクティビティの報告

更新された MFA の不正アクセスのアラート機能である疑わしいアクティビティの報告のプレビューが利用可能になりました。 不明または疑わしい MFA プロンプトを受け取った場合、ユーザーは Microsoft Authenticator を使用するか、または電話で不正アクセスの試行を通報できます。 これらのアラートは Identity Protection と統合され、より包括的なカバレッジと機能を実現します。

MFA プロンプトを疑わしいと報告するユーザーは、[高いユーザー リスク] に設定されます。 管理者は、リスクベースのポリシーを使用して、これらのユーザーのアクセスを制限したり、ユーザーが自分で問題を修復するためのセルフサービス パスワード リセット (SSPR) を有効にしたりすることができます。 以前に不正アクセスのアラートの自動ブロック機能を使用していて、リスクベースのポリシーに Azure AD P2 ライセンスがない場合は、リスク検出イベントを使用して、影響を受けるユーザーを特定して無効にし、サインインを自動的に防止できます。 リスクベースのポリシーの使用の詳細については、「リスクベースのアクセス ポリシー」を参照してください。

認証方法の設定から疑わしいアクティビティの報告を有効にするには:

  1. Azure portal で、[Azure Active Directory]>[セキュリティ]>[認証方法]>[設定] の順にクリックします。
  2. [疑わしいアクティビティの報告][有効] に設定します。
  3. [すべてのユーザー] または特定のグループを選択します。

疑わしいアクティビティに関するイベントを表示する

ユーザーが MFA プロンプトを疑わしいと報告すると、イベントがサイン イン レポート (ユーザーによって拒否されたサインインとして)、監査ログ、およびリスク検出レポートに表示されます。

  • リスク検出レポートを表示するには、[Azure Active Directory]>[セキュリティ]>[Identity Protection]>[リスク検出] を選択します。 リスク イベントは、標準のリスク検出レポートの一部であり、検出の種類 [ユーザーからの疑わしいアクティビティの報告]、リスク レベル [高]、ソース [エンド ユーザーが報告されました] として表示されます。

  • サインイン レポートで不正アクセスの通報を確認するには、[Azure Active Directory]>[サインイン ログ]>[認証の詳細] の順に選択します。 不正アクセスの報告は標準 Azure AD サインイン レポートに含まれており、[結果の詳細] に [MFA denied, Fraud Code Entered] (MFA が拒否されました。不正なコードが入力されました) として表示されます。

  • 監査ログで不正アクセスの通報を確認するには、[Azure Active Directory]>[監査ログ] の順に選択します。 不正アクセス レポートは、不正アクセス レポートのテナント レベルの設定に基づいて、 [Fraud reported - user is blocked for MFA](不正アクセスが通報されました - ユーザーは MFA に対してブロックされました) または [Fraud reported - no action taken](不正アクセスが通報されました - アクションは実行されませんでした) のアクティビティの種類の下に表示されます。

疑わしいアクティビティに関するイベントを管理する

ユーザーがプロンプトを疑わしいと報告したら、リスクを調査し、Identity Protection を使用して修復する必要があります。

疑わしいアクティビティと不正アクセスのアラートの報告

疑わしいアクティビティを報告し、従来の不正アクセスのアラートの実装を並列で動作させることができます。 対象となるテスト グループで疑わしいアクティビティの報告を使用を開始する間は、テナント全体の不正アクセスのアラート機能を維持できます。

自動ブロックで不正アクセスのアラートが有効になっており、疑わしいアクティビティの報告が有効になっている場合、ユーザーはブロックリストに追加され、構成された他のポリシーに対して高リスクとスコープ内として設定されます。 これらのユーザーはブロックリストから削除し、リスクを修復して MFA でサインインできるようにする必要があります。

通知

ユーザーが不正アクセスのアラートを通報するとメールで通知が送信されるように Azure AD を構成できます。 ユーザーのアカウントの資格情報が漏えいした可能性があるため、通常、これらの通知は、ID 管理者に送信されます。 次の例は、不正アクセスのアラート通知の電子メールの内容を示しています。

不正アクセスのアラート通知の電子メールを示すスクリーンショット。

不正アクセスのアラート通知を構成するには:

  1. [Azure Active Directory]>[セキュリティ]>[Multi-Factor Authentication]>[通知] の順に移動します。
  2. 通知の送信先のメール アドレスを入力します。
  3. 既存のメール アドレスを削除するには、メール アドレスの横にある [...] を選択し、[削除] を選択します。
  4. [保存] を選択します。

OATH トークン

Azure AD では、30 または 60 秒ごとにコードを更新する OATH-TOTP SHA-1 トークンの使用をサポートしています。 これらのトークンは、選択したベンダーから購入できます。

OATH TOTP ハードウェア トークンには、通常、トークンで事前にプログラミングされた秘密鍵 (シード) が付属しています。 これらのキーは、次のステップに従って Azure AD に入力する必要があります。 秘密鍵は 128 文字に制限されていて、すべてのトークンと互換性があるとは限りません。 秘密キーには a-z または A-Z の文字と 1-7 の数字のみを含めることができます。 Base32 でエンコードする必要があります。

再シードできるプログラミング可能な OATH TOTP ハードウェア トークンは、ソフトウェア トークンのセットアップ フローで Azure AD に設定することもできます。

OATH ハードウェア トークンはパブリック プレビュー段階でサポートされています。 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

[OATH トークン] セクションを示すスクリーンショット。

トークンを取得した後は、コンマ区切り値 (CSV) ファイル形式でアップロードする必要があります。 次の例に示すように、UPN、シリアル番号、秘密鍵、期間、製造元、モデルを含めてください。

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Note

CSV ファイルにヘッダー行が含まれていることを確認します。

管理者は Azure portal にサインインして、[Azure Active Directory]>[セキュリティ]>[Multifactor authentication]>[OATH トークン] の順に移動し、CSV ファイルをアップロードできます。

CSV ファイルのサイズによって異なりますが、この処理には数分間かかることがあります。 [最新の情報に更新] を選択して、状態を取得します。 ファイルにエラーがある場合、それが一覧表示された CSV ファイルをダウンロードできます。 ダウンロードした CSV ファイル内のフィールド名は、アップロードされたバージョンとは異なります。

すべてのエラーに対処したら、管理者は各キーをアクティブにすることができます。トークンの [アクティブ化] を選択し、トークンに表示されている OTP を入力します。

ユーザーは、最大 5 つの OATH ハードウェア トークンまたはいつでも使用されるように構成された認証アプリケーション (Microsoft Authenticator アプリなど) を組み合わせることもできます。

重要

各トークンを 1 人のユーザーのみに割り当てるようにしてください。 今後、セキュリティ リスクを防ぐために、複数のユーザーに 1 つのトークンを割り当てるサポートが停止されます。

電話の設定

ユーザーが MFA プロンプトの電話を受ける場合は、発信者番号や音声案内など、ユーザーのエクスペリエンスを構成できます。

米国では、MFA 発信者番号を構成していない場合、Microsoft からの音声通話は次の番号から発信されます。 迷惑メール フィルターでの使用では、この番号を除外する必要があります。

  • +1 (855) 330-8653

注意

公衆電話網経由で Azure AD Multi-Factor Authentication の電話がかけられた場合、発信者番号をサポートしていない通信事業者を通じてルーティングされることがあります。 このため、発信者番号は、Azure AD Multi-Factor Authentication が常にそれを送信しているにもかかわらず保証されません。 このことは、Azure AD Multi-Factor Authentication から提供される電話とテキスト メッセージの両方に当てはまります。 テキスト メッセージが Azure AD Multi-Factor Authentication からのものかどうかを確認する必要がある場合、SMS メッセージを送る際に使用される SMS ショート コードに関する記事を参照してください。

独自の発信者番号を構成するには、次の手順を実行します。

  1. [Azure Active Directory]>[セキュリティ]>[Multifactor authentication]>[電話の設定] の順に移動します。
  2. [MFA 発信者の ID 番号] をユーザーの電話に表示する番号に設定します。 米国ベースの番号だけを使用できます。
  3. [保存] を選択します。

カスタム音声メッセージ

Azure AD Multi-Factor Authentication では、独自の録音や案内を使用できます。 これらのメッセージは、既定の Microsoft の録音に加えて使用するか、その代わりに使用できます。

開始する前に、次の制限に注意してください。

  • サポートされているファイルの形式は .wav と .mp3 です。
  • ファイル サイズの上限は 1 MB です。
  • 認証メッセージは、20 秒より短くする必要があります。 20 秒より長いメッセージの場合は、確認に失敗する可能性があります。 メッセージが終わる前にユーザーが応答しない場合、確認がタイムアウトになります。

カスタム メッセージ言語の動作

カスタム音声メッセージがユーザーに再生されるときのメッセージの言語は、次の要因によって決まります。

  • ユーザーの言語。
    • ユーザーのブラウザーで検出された言語。
    • 他の認証シナリオでは、異なる動作になる可能性があります。
  • 使用できるカスタム メッセージの言語。
    • この言語は、カスタム メッセージが追加されるときに管理者が選択します。

たとえば、カスタム メッセージが 1 つしかなく、それがドイツ語である場合は、次のようになります。

  • ドイツ語で認証されたユーザーには、カスタムのドイツ語のメッセージが聞こえます。
  • 英語で認証されたユーザーには、標準の英語メッセージが聞こえます。

カスタム音声メッセージの既定値

次のサンプル スクリプトを使用すると、独自のカスタム メッセージを作成できます。 これらのフレーズは、独自のカスタム メッセージを構成しない場合の既定値です。

メッセージ名 スクリプト
認証成功 サインインの確認が完了しました。 ご利用いただきありがとうございます。
内線接続用 Microsoft のサインイン確認システムをご利用いただきありがとうございます。 シャープを押して、次の操作に進んでください。
不正アクセスの確認 不正アクセスが通報されました。 アカウントのブロックを解除するには、お客様の会社の IT ヘルプ デスクにお問い合わせください。
不正アクセスの案内 (標準) Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、シャープを押してください。 この確認を開始した覚えがない場合は、他のユーザーがお客様のアカウントにアクセスしようとしている可能性があります。 不正アクセスを通報するには、0、シャープの順に押してください。 お客様の会社の IT チームに通知され、今後の確認操作がブロックされます。
不正アクセスの通報 不正アクセスが通報されました。 アカウントのブロックを解除するには、お客様の会社の IT ヘルプ デスクにお問い合わせください。
アクティブ化 Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、シャープを押してください。
認証拒否後の再試行 確認は拒否されました。
再試行 (標準) Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、シャープを押してください。
案内 (標準) Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、シャープを押してください。
案内 (PIN) Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、PIN を入力してから、シャープを押してください。
不正アクセスの案内 (PIN) Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、PIN を入力してから、シャープを押してください。 この確認を開始した覚えがない場合は、他のユーザーがお客様のアカウントにアクセスしようとしている可能性があります。 不正アクセスを通報するには、0、シャープの順に押してください。 お客様の会社の IT チームに通知され、今後の確認操作がブロックされます。
再試行 (PIN) Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、PIN を入力してから、シャープを押してください。
内線番号ダイヤル後 既にこの内線番号に接続済みの場合は、シャープを押して、次の操作に進んでください。
認証拒否 申し訳ございません。ただ今、サインインすることができません。 後でもう一度やり直してください。
アクティブ化の案内 (標準) Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、シャープを押してください。
アクティブ化の再試行 (標準) Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、シャープを押してください。
アクティブ化の案内 (PIN) Microsoft のサインイン確認システムをご利用いただきありがとうございます。 確認を完了するために、PIN を入力してから、シャープを押してください。
内線番号ダイヤル前 Microsoft のサインイン確認システムをご利用いただきありがとうございます。 この電話を次の内線番号 <内線番号> に転送してください。

カスタム メッセージを設定する

独自のカスタム メッセージを使用するには、次の手順を実行します。

  1. [Azure Active Directory]>[セキュリティ]>[Multifactor authentication]>[電話の設定] の順に移動します。
  2. [案内の追加] を選択します。
  3. 案内の [種類] を選択します。たとえば、[案内 (標準)][認証成功] です。
  4. [言語] を選択します。 前のセクションの「カスタム メッセージ言語の動作」を参照してください。
  5. アップロードする .mp3 または .wav サウンド ファイルを参照して、選択します。
  6. [追加] を選択し、次に [保存] を選択します。

MFA サービスの設定

サービス設定には、アプリ パスワード、信頼できる IP、認証オプション、信頼済みデバイスでの多要素認証の記憶などの設定があります。 これは、従来のポータルです。 通常の Azure portal の一部ではありません。

Azure portal からサービス設定にアクセスするには、[Azure Active Directory]>[セキュリティ]>[Multifactor authentication]>[作業の開始]>[構成]>[追加のクラウドベースの MFA 設定] の順に移動します。 ウィンドウまたはタブが開き、追加のサービス設定のオプションが表示されます。

信頼できる IP

Azure AD Multi-Factor Authentication の信頼できる IP 機能を使用すると、定義された IP アドレス範囲からサインインするユーザーに対する多要素認証プロンプトがバイパスされます。 オンプレミス環境の信頼できる IP の範囲を設定できます。 ユーザーがこれらの場所のいずれかにいる場合、Azure AD Multi-Factor Authentication のプロンプトは表示されません。 信頼できる IP の機能を使用するには、Azure AD Premium P1 エディションが必要です。

注意

信頼できる IP には、MFA Server を使用する場合にのみ、プライベート IP 範囲を含めることができます。 クラウドベースの Azure AD Multi-Factor Authentication では、パブリック IP アドレス範囲のみを使用できます。

IPv6 範囲は、ネームド ロケーション (プレビュー) インターフェイスでのみサポートされています。

組織がオンプレミスのアプリケーションに MFA を提供するために NPS 拡張機能をデプロイしている場合は、ソース IP アドレスが常に認証が試行される NPS サーバーとして表示されます。

Azure AD テナントの種類 信頼できる IP 機能のオプション
マネージド 特定の IP アドレス範囲: 管理者は、会社のイントラネットからサインインするユーザーの多要素認証をバイパスできる IP アドレスの範囲を指定します。 最大 50 件の信頼できる IP 範囲を構成できます。
フェデレーション すべてのフェデレーション ユーザー: 組織の内部からサインインするフェデレーション ユーザーは全員、多要素認証をバイパスできます。 ユーザーは、Active Directory フェデレーション サービス (AD FS) によって発行される要求を使用して認証をバイパスします。
Specific range of IP addresses(特定範囲の IP アドレス) : 管理者は、会社のイントラネットからサインインするユーザーの多要素認証をバイパスできる IP アドレスの範囲を指定します。

信頼できる IP のバイパスは、会社のイントラネット内からのみ機能します。 [すべてのフェデレーション ユーザー] オプションを選択した場合、ユーザーが会社のイントラネットの外部からサインインするときは、多要素認証を使用してそのユーザーを認証する必要があります。 ユーザーが AD FS 要求を提示している場合でもプロセスは同じです。

企業ネットワーク内のユーザー エクスペリエンス

信頼できる IP 機能が無効な場合、ブラウザーのフローでは多要素認証が必要です。 以前のリッチ クライアント アプリケーションではアプリ パスワードが必要です。

信頼できる IP を使用する場合、ブラウザーのフローで多要素認証は不要です。 ユーザーがアプリ パスワードを作成していない場合は、以前のリッチ クライアント アプリケーションにアプリ パスワードは不要です。 アプリ パスワードを使用している場合は、パスワードが必要です。

企業ネットワーク外のユーザー エクスペリエンス

信頼できる IP が定義されているかどうかに関係なく、ブラウザーのフローで多要素認証が必要です。 以前のリッチ クライアント アプリケーションではアプリ パスワードが必要です。

条件付きアクセスを使用したネームド ロケーションの有効化

条件付きアクセス規則を利用すると、次のステップを使用してネームド ロケーションを定義できます。

  1. Azure portal で、Azure Active Directory を検索して選択します。次に、[セキュリティ]>[条件付きアクセス]>[ネームド ロケーション] の順に移動します。
  2. [新しい場所] を選択します。
  3. 場所の名前を入力します。
  4. [信頼できる場所としてマークする] を選択します。
  5. お使いの環境の IP 範囲を CIDR 表記で入力します。 たとえば、40.77.182.32/27 です。
  6. [作成] を選択します

条件付きアクセスを使用して信頼できる IP 機能を有効化する

条件付きアクセス ポリシーを使用して信頼できる IP を有効にするには、次のステップを実行します。

  1. Azure portal で、Azure Active Directory を検索して選択します。次に、[セキュリティ]>[条件付きアクセス]>[ネームド ロケーション] の順に移動します。

  2. [MFA の信頼できる IP の構成] を選択します。

  3. [サービス設定] ページの [信頼できる IP] で、次のオプションのいずれかを選択します。

    • イントラネット内から送信されたフェデレーション ユーザーからのリクエストの場合: このオプションを選択する場合は、チェック ボックスをオンにします。 企業ネットワークからサインインするフェデレーション ユーザーは全員、AD FS によって発行される要求を使用して、多要素認証をバイパスします。 イントラネットの要求を適切なトラフィックに追加する規則が AD FS にあることを確認します。 規則が存在しない場合は、AD FS で次の規則を作成します。

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • 特定範囲のパブリック IP から送信されたリクエストの場合: このオプションを選択する場合は、CIDR 表記で、テキスト ボックスに IP アドレスを入力します。

      • xxx.xxx.xxx.1 から xxx.xxx.xxx.254 の範囲の IP アドレスの場合は、xxx.xxx.xxx.0/24 などの表記を使用します。
      • 単一の IP アドレスの場合は、xxx.xxx.xxx.xxx/32 などの表記を使用します。
      • 最大で 50 の IP アドレス範囲を入力します。 これらの IP アドレスからサインインしたユーザーは、多要素認証をバイパスします。

  4. [保存] を選択します。

サービス設定を使用して信頼できる IP 機能を有効化する

条件付きアクセス ポリシーを使用して信頼できる IP を有効にしない場合は、次のステップを使用して、Azure AD Multi-Factor Authentication のサービス設定を構成できます。

  1. Azure portal で、Azure Active Directory を検索して選択し、[ユーザー] を選択します。

  2. ユーザーごとの MFA を選択します。

  3. ページ上部の [多要素認証] で、[サービス設定] を選択します。

  4. [サービス設定] ページの [信頼できる IP] で、次のオプションのどちらか (または両方) を選択します。

    • イントラネット内のフェデレーション ユーザーから送信されたリクエストの場合: このオプションを選択する場合は、チェック ボックスをオンにします。 企業ネットワークからサインインするフェデレーション ユーザーは全員、AD FS によって発行される要求を使用して、多要素認証をバイパスします。 イントラネットの要求を適切なトラフィックに追加する規則が AD FS にあることを確認します。 規則が存在しない場合は、AD FS で次の規則を作成します。

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • 特定範囲の IP アドレス サブネットからのリクエストの場合: このオプションを選択する場合は、CIDR 表記で、テキスト ボックスに IP アドレスを入力します。

      • xxx.xxx.xxx.1 から xxx.xxx.xxx.254 の範囲の IP アドレスの場合は、xxx.xxx.xxx.0/24 などの表記を使用します。
      • 単一の IP アドレスの場合は、xxx.xxx.xxx.xxx/32 などの表記を使用します。
      • 最大で 50 の IP アドレス範囲を入力します。 これらの IP アドレスからサインインしたユーザーは、多要素認証をバイパスします。

  5. [保存] を選択します。

検証方法

サービス設定ポータルでユーザーが使用できる検証方法を選択できます。 ユーザーは、自分のアカウントを Azure AD Multi-Factor Authentication 用に登録するときに、有効になっているオプションから使用する検証方法を選択します。 登録プロセスのガイダンスについては、アカウントへの多要素認証の設定を参照してください。

次の検証方法を使用できます。

方法 説明
電話の呼び出し 自動音声通話を行います。 ユーザーは、呼び出しに応答し、電話の # を押して認証を行います。 電話番号は、オンプレミスの Active Directory には同期されません。
電話へのテキスト メッセージ 確認コードを含むテキスト メッセージを送信します。 ユーザーは、この確認コードをサインイン インターフェイスに入力するように求められます。 このプロセスを一方向の SMS といいます。 双方向の SMS は、ユーザーが特定のコードを返信する必要があることを意味します。 双方向の SMS は非推奨となり、2018 年 11 月 14 日以降はサポートされなくなります。 管理者は、以前に双方向の SMS を使用していたユーザーに対して別の方法を有効にする必要があります。
モバイル アプリでの通知 電話または登録されたデバイスにプッシュ通知が送信されます。 ユーザーは通知を表示し、 [確認] を選択して認証を完了します。 Microsoft Authenticator アプリは、Windows PhoneAndroidIOS で利用できます。
モバイル アプリからの確認コードまたはハードウェア トークン Microsoft Authenticator アプリは、30 秒ごとに新しい OATH 確認コードを生成します。 ユーザーは確認コードをサインイン インターフェイスに入力します。 Microsoft Authenticator アプリは、Windows PhoneAndroidIOS で利用できます。

詳細については、Azure AD で使用できる認証方法と検証方法に関する記事を参照してください。

検証方法を有効または無効にする

検証方法を有効または無効にするには、次の手順を実行します。

  1. Azure portal で、Azure Active Directory を検索して選択し、[ユーザー] を選択します。
  2. ユーザーごとの MFA を選択します。
  3. ページ上部の [多要素認証] で、[サービス設定] を選択します。
  4. [サービス設定] ページの [認証オプション] で、適切なチェックボックスをオンまたはオフにします。
  5. [保存] を選択します。

Multi-Factor Authentication を記憶する

[Multi-Factor Authentication を記憶する] 機能を使用すると、ユーザーは、MFA を使用して正常にデバイスにサインインした後、一定の日数の間、以降の検証をバイパスすることができます。 使いやすさを向上させ、かつユーザーが指定のデバイスに対して MFA を実行する必要がある回数を最小限に抑えるには、90 日以上の期間を選択します。

重要

アカウントまたはデバイスが侵害された場合、信頼できるデバイスに対する MFA の記憶はセキュリティに影響する可能性があります。 企業アカウントが侵害された場合や、信頼済みデバイスを紛失したり盗難に遭ったりした場合は、MFA セッションを取り消す必要があります。

取り消し操作により、信頼された状態がすべてのデバイスから失われ、ユーザーは多要素認証を再度実行する必要があります。 多要素認証設定の管理に関する記事に記載されているように、各自のデバイスの元の MFA の状態を復元するようユーザーに指示することもできます。

機能のしくみ

[Multi-Factor Authentication を記憶する] 機能では、ブラウザーでユーザーがサインイン時に [今後 X 日間はこのメッセージを表示しない] オプションを選択すると永続的な Cookie が設定されます。 この場合、Cookie の有効期限が切れるまでは、同じブラウザーからユーザーが再度 MFA を求められることはありません。 そのユーザーが同じデバイスで異なるブラウザーを開くか、Cookie をクリアした場合は、再度、認証が求められます。

ブラウザーではないアプリケーションでは、アプリで先進認証がサポートされているかどうかに関係なく、[今後 X 日間はこのメッセージを表示しない] オプションは表示されません。 これらのアプリでは、新しいアクセス トークンが 1 時間おきに支給される 更新トークン が使用されます。 更新トークンの検証時に、前回の多要素認証が設定されている日数内に実行されたことが Azure AD によって確認されます。

この機能を使用すると、Web アプリでの認証回数 (通常は毎回プロンプトが表示される) が減ります。 より短い期間が構成されている場合、この機能では、先進認証クライアントの認証の回数 (通常は 180 日ごとにプロンプトが表示される) が増える場合があります。 条件付きアクセス ポリシーと組み合わされた場合にも認証数が増える場合があります。

重要

ユーザーが MFA Server、またはサードパーティの多要素認証ソリューションを介して AD FS の多要素認証 を行う場合[Multi-Factor Authentication を記憶する] 機能は、AD FS の [サインインしたままにする] 機能とは互換性がありま せん。

ユーザーが AD FS の [サインインしたままにする] を選択し、さらに MFA に対してデバイスを信頼済みとしてマークした場合、多要素認証を記憶する日数が過ぎるとユーザーは自動的に確認されません。 Azure AD によって、新たに多要素認証を行うように要求されても、AD FS によって多要素認証が再実行されるのでなく、元の MFA 要求および日付を含むトークンが返されます。 その結果、Azure AD と AD FS との間で本人確認がループ状態に陥ります。

多要素認証を記憶する機能は、B2B ユーザーとは互換性がなく、招待されたテナントにサインインしても B2B ユーザーには表示されません。

多要素認証の記憶を有効にする

ユーザーが MFA の状態を記憶し、プロンプトをバイパスできるオプションを有効にして構成するには、次のステップを実行します。

  1. Azure portal で、Azure Active Directory を検索して選択し、[ユーザー] を選択します。
  2. ユーザーごとの MFA を選択します。
  3. ページ上部の [多要素認証] で、[サービス設定] を選択します。
  4. [サービス設定] ページの [Multi-Factor Authentication を記憶する] で、[信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] を選択します。
  5. 信頼できるデバイスが多要素認証をバイパスできるようにする日数を設定します。 最適なユーザー エクスペリエンスを実現するには、期間を 90 日以上に延長します。
  6. [保存] を選択します。

デバイスを信頼済みとマークする

[Multi-Factor Authentication を記憶する] 機能を有効にすると、ユーザーは、サインイン時に [今後このメッセージを表示しない] を選択することで、デバイスを信頼済みとしてマークできます。

次の手順

詳細については、「Azure Active Directory で使用できる認証方法と検証方法」を参照してください