Azure Active Directory での統合されたセキュリティ情報の登録の有効化

統合された登録の前、ユーザーは Azure AD Multi-Factor Authentication (MFA) とセルフサービス パスワード リセット (SSPR) の認証方法を別々に登録しました。 ユーザーは Azure AD Multi-Factor Authentication と SSPR に同様の方法が使用されることに混乱していましたが、どちらの機能も登録する必要がありました。 現在では、統合された登録を使用することで、ユーザーは 1 回登録して Azure AD Multi-Factor Authentication と SSPR の両方の利点を得ることができます。

注意

2022 年 10 月 1 日から、2020 年 8 月 15 日より前に作成された Azure AD テナントのすべてのユーザーに対して、統合登録の有効化が開始されます。 この日付より後に作成されたテナントは、統合された登録で有効になります。

この新しいエクスペリエンスを有効にする前にその機能と効果を確実に把握するには、統合されたセキュリティ情報の登録の概念に関する記事をご覧ください。

統合されたセキュリティ情報登録の強化エクスペリエンス

統合された登録の有効化

統合された登録を有効にするには、次の手順に従います。

  1. Azure portal にユーザー管理者または全体管理者としてサインインします。

  2. [Azure Active Directory][ユーザー設定][ユーザー機能設定の管理] の順に移動します。

  3. [ユーザーはセキュリティ情報の登録と管理のためにプレビュー機能を使用できます] で、 [選択済み] のユーザーのグループまたは [すべて] のユーザーを選択して有効にします。

    ユーザーに対して統合されたセキュリティ情報のエクスペリエンスを有効にする

注意

統合された登録を有効にすると、新しいエクスペリエンスで電話番号やモバイル アプリを登録または確認したユーザーは、Azure AD Multi-Factor Authentication と SSPR ポリシーでこれらの方法が有効な場合、これらを Azure AD Multi-Factor Authentication と SSPR に使用できます。

このエクスペリエンスを無効にすると、以前の SSPR 登録ページ (https://aka.ms/ssprsetup) にアクセスするユーザーは、ページにアクセスする前に多要素認証を実行する必要があります。

Internet Explorer でサイトとゾーンの割り当て一覧を構成した場合、以下のサイトは同じゾーン内に存在する必要があります。

統合登録の条件付きアクセス ポリシー

ユーザーが Azure AD Multi-Factor Authentication とセルフサービス パスワード リセットの登録を実行するタイミングと方法をセキュリティで保護するため、条件付きアクセス ポリシーのユーザー アクションを使用できます。 この機能では、HR オンボード中に信頼できるネットワークの場所などの一元化された場所から Azure AD Multi-Factor Authentication と SSPR の登録をユーザーに行わせたい組織で有効にすることができます。

注意

このポリシーは、ユーザーが統合登録ページにアクセスした場合にのみ適用されます。 このポリシーは、ユーザーが他のアプリケーションにアクセスしたときに MFA 登録を強制しません。

MFA 登録ポリシーを作成するには、Azure Identity Protection - MFA ポリシーの構成を使用します。

条件付きアクセスでの信頼できる場所の作成について詳しくは、Azure Active Directory 条件付きアクセスの場所の条件の概要に関する記事をご覧ください

信頼できる場所からの登録を要求するポリシーを作成する

次の手順に従って、統合された登録エクスペリエンスを使用して登録しようとするすべての選択ユーザーに適用され、信頼されたネットワークとしてマークされている場所から接続していない場合はアクセスをブロックするポリシーを作成します。

  1. Azure portal で、 [Azure Active Directory]>[セキュリティ]>[条件付きアクセス] に移動します。

  2. [新しいポリシー] を選択します。

  3. このポリシーの名前を入力します。たとえば、"信頼されたネットワーク上の統合されたセキュリティ情報の登録" などです。

  4. [割り当て] で、[ユーザーまたはワークロード ID] を選択します。 このポリシーを適用するユーザーとグループを選択し、 [完了] を選択します。

    警告

    統合された登録に対してユーザーを有効にする必要があります。

  5. [クラウド アプリまたはアクション] で、 [ユーザー操作] を選択します。 [セキュリティ情報の登録] をオンにし、 [完了] を選択します。

    セキュリティ情報の登録を制御する条件付きアクセスポリシーを作成する

  6. [条件]>[場所] で、次のオプションを構成します。

    1. [はい] を構成します。
    2. [任意の場所] を含めます。
    3. [すべての信頼できる場所] を除外します。
  7. [場所] ウィンドウで [完了] を選択し、 [条件] ウィンドウで [完了] を選択します。

  8. [アクセス制御]>[許可] で、 [アクセスのブロック][選択] の順に選択します。

  9. [ポリシーを有効にする][オン] に設定します。

  10. ポリシーを完了するには、 [作成] を選択します。

次のステップ

ヘルプが必要な場合は、「統合されたセキュリティ情報の登録のトラブルシューティング」またはAzure AD 条件付きアクセスの場所の条件の概要に関する記事を参照してください。

統合された登録に対してユーザーを有効にした後は、セルフサービス パスワード リセットを有効にしたり、Azure AD Multi-Factor Authentication を有効にしたりできます。

必要な場合は、ユーザーに認証方法の再登録を強制する方法を学習します。