Microsoft Entra 多要素認証のユーザー認証方法を管理する

Microsoft Entra ID のユーザーには、次の 2 つの異なる連絡先情報のセットがあります。

• パブリック プロファイルの連絡先情報。これはユーザー プロファイルで管理され、自分の組織のメンバーに表示されます。 オンプレミスの Active Directory から同期したユーザーの場合、この情報はオンプレミスの Windows Server Active Directory Domain Services で管理されます。
• 認証方法。これは常に非公開で、多要素認証を含む認証にのみ使用されます。 管理者はユーザーの認証方法ブレードでこれらの方法を管理でき、ユーザーは MyAccount の [セキュリティ情報] ページで自分の方法を管理できます。

ユーザーの Microsoft Entra 多要素認証方法を管理するとき、認証管理者は次のことができます。

1. MFA に使用される電話番号など、特定のユーザーの認証方法を追加します。
2. ユーザーのパスワードをリセットします。
3. ユーザーに MFA の再登録を要求します。
4. 既存の MFA セッションを取り消します。
5. ユーザーの既存のアプリ パスワードを削除します。

ユーザーの認証方法を追加する

ユーザーの認証方法は、Microsoft Entra 管理センターまたは Microsoft Graph を使用して追加できます。

注意

セキュリティ上の理由から、パブリック ユーザーの連絡先情報フィールドを使用して MFA を実行しないでください。 代わりに、ユーザーは、MFA に使用する自分の認証方法番号を入力する必要があります。

Microsoft Entra 管理センターでユーザーの認証方法を追加するには:

1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。
2. ID>ユーザー>すべてのユーザー を参照します。
3. 認証方法を追加する対象のユーザーを選択し、 [認証方法] を選択します。
4. ウィンドウの上部にある [+ 認証方法の追加] を選択します。
   1. 方法 (電話番号または電子メール) を選択します。 電子メールは、自己パスワードのリセットに使用できますが、認証には使用できません。 電話番号を追加する場合は、電話の種類を選択し、有効な形式で電話番号を入力します (例: +1 4255551234)。
   2. [追加] を選択します。

注意

プレビュー エクスペリエンスでは、管理者はユーザーが利用可能なすべての認証方法を追加できますが、元のエクスペリエンスでは、電話と代替の電話方法の更新のみが可能です。

PowerShell を使用して方法を管理する

次のコマンドを使用して、Microsoft.Graph.Identity.Signins PowerShell モジュールをインストールします。

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

特定のユーザーについての電話ベースの認証方法を一覧表示します。

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

特定のユーザーについての携帯電話認証方法を作成します。

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

ユーザーの特定の電話方法を削除します。

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

認証方法は、Microsoft Graph API を使用して管理することもできます。 詳細については、認証と承認の基本に関する記事を参照してください。

ユーザー認証オプションを管理する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

"認証管理者" ロールが割り当てられている場合、パスワードのリセット、MFA の再登録、またはユーザー オブジェクトからの既存の MFA セッションの取り消しをユーザーに要求できます。 ユーザー設定を管理するには、次の手順を実行します。

1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。

2. ID>ユーザー>すべてのユーザー を参照します。

3. 操作の実行対象のユーザーを選択し、 [認証方法] を選択します。 ウィンドウの上部で、ユーザーに対して次のいずれかのオプションを選択します。

   • [パスワードのリセット] では、ユーザーのパスワードがリセットされ、次のサインイン時に変更する必要がある一時パスワードが割り当てられます。
   • [MFA の再登録が必要] では、ユーザーが次回サインインするときに、新しい MFA 認証方法を設定するように要求されます。

     注意

     ユーザーの現在登録されている認証方法は、管理者が MFA を再登録する必要がある場合は削除されません。 ユーザーが MFA を再登録した後、セキュリティ情報を確認し、以前登録した認証方法のうち使用できなくなったものを削除することをお勧めします。

   • [MFA セッションの取り消し] では、ユーザーの記憶済み MFA セッションがクリアされ、デバイス上のポリシーによって次回要求されたときに MFA を実行するように要求されます。

   

ユーザーの既存のアプリ パスワードを削除する

アプリ パスワードを定義したユーザーの場合、管理者はこれらのパスワードを削除して、これらのアプリケーションのレガシ認証が失敗するようにすることも選択できます。 これらのアクションは、ユーザーを支援する必要がある場合や認証方法をリセットする必要がある場合に必要になることがあります。 これらのアプリ パスワードに関連付けられているブラウザー以外のアプリは、新しいアプリ パスワードが作成されるまで機能しなくなります。

ユーザーのアプリ パスワードを削除するには、次の手順を実行します。

1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。
2. ID>ユーザー>すべてのユーザー を参照します。
3. [多要素認証] を選択します。 このメニュー オプションを表示するには、必要に応じて右にスクロールします。 以下のスクリーンショット例を選択して、ウィンドウ全体とメニューの場所を確認してください。
4. ユーザーまたは管理するユーザーの横にあるチェック ボックスをオンにします。 クイック ステップのオプションの一覧が右側に表示されます。
5. 次の例に示すように、[ユーザー設定の管理] を選択し、[選択したユーザーが生成したすべての既存のアプリケーション パスワードを削除する] チェックボックスをオンにします。
6. 1. [保存] 、 [閉じる] の順に選択します。

次のステップ

この記事では、個々のユーザー設定を構成する方法について説明しました。 Microsoft Entra 多要素認証サービスの全体的な設定を構成するには、「Microsoft Entra 多要素認証の設定を構成する」を参照してください。

ユーザーが支援を必要とする場合は、Microsoft Entra 多要素認証のユーザー ガイドを参照してください。