組織内のユーザー アカウントを保護するには、多要素認証を使用する必要があります。 リソースへの特権アクセスが認められているアカウントでは、この機能が特に重要となります。 基本的な多要素認証機能は、追加料金なしで Microsoft 365 と Microsoft Entra のユーザーとグローバル管理者が利用できます。 管理者の機能アップグレードや、他のユーザーへの多要素認証の拡張、より多くの認証方法とより高度な制御を希望する場合は、条件付きアクセスを使用して Microsoft Entra の多要素認証を有効にすることができます。 詳細については、「一般的な条件付きアクセス ポリシー: すべてのユーザーに対して MFA を必須にする」を参照してください。
重要
この記事では、Microsoft Entra 多要素認証のライセンスを取得して使用するさまざまな方法について詳しく説明します。 価格と課金の詳細については、Microsoft Entra の価格に関するページを参照してください。
Microsoft Entra 多要素認証の使用可能なバージョン
Microsoft Entra 多要素認証は、組織のニーズに応じて、いくつかの異なる方法で使用し、ライセンスを取得することができます。 すべてのテナントには、セキュリティの既定値を使用した基本的な多要素認証機能を使用する権利があります。 現在お持ちのライセンスによっては、すでに高度な Microsoft Entra 多要素認証を使用する権利がある場合があります。 たとえば、Microsoft Entra External ID での最初の 50,000 人の月間アクティブ ユーザーは、MFA および他の Premium P1 または P2 の機能を無料で使用できます。
次の表では、Microsoft Entra 多要素認証を入手するさまざまな方法と、それぞれの機能およびユース ケースについて詳しく説明します。
次のユーザーの場合 | 機能とユース ケース |
---|---|
Microsoft 365 Business Premium および EMS または Microsoft 365 E3 と E5 | EMS E3、Microsoft 365 E3、Microsoft 365 Business Premium には Microsoft Entra ID P1 が含まれています。 EMS E5 または Microsoft 365 E5 には、Microsoft Entra ID P2 が含まれています。 次のセクションに記載されている同じ条件付きアクセス機能を使用して、ユーザーに多要素認証を提供できます。 |
Microsoft Entra ID P1 | Microsoft Entra 条件付きアクセスを使用して、ビジネス要件に合わせて特定のシナリオやイベントの際に多要素認証をユーザーに求めることができます。 |
Microsoft Entra ID P2 | 最も強力なセキュリティのポジションと、向上したユーザー エクスペリエンスを提供します。 Microsoft Entra ID P1の機能にリスクベースの条件付きアクセスを追加し、ユーザーのパターンに合わせて多要素認証プロンプトを最小限に抑えます。 |
すべての Microsoft 365 プラン | Microsoft Entra 多要素認証は、セキュリティの既定値群を使用して、すべてのユーザーについて有効にすることができます。 Microsoft Entra 多要素認証の管理は、Microsoft 365 ポータルを通じて行います。 ユーザー エクスペリエンスを向上させるには、Microsoft Entra ID P1 または P2 にアップグレードし、条件付きアクセスを使用します。 詳細については、多要素認証を使用した Microsoft 365 リソースのセキュリティ保護に関するページを参照してください。 |
Office 365 Free Microsoft Entra ID Free |
必要に応じてセキュリティの既定値群を使用して多要素認証をユーザーに要求できますが、有効となるユーザーまたはシナリオをきめ細かく制御することはできません。ただし、追加のセキュリティ措置を提供することはできます。 |
ライセンスに基づく機能比較
次の表に、さまざまなバージョンの Microsoft Entra ID 多要素認証で使用できる機能の一覧を示します。 ユーザー認証のセキュリティ保護に必要なものを詳しく検討し、その要件を満たす方法を決定します。 たとえば、Microsoft Entra ID Free は Microsoft Entra 多要素認証を提供するセキュリティの既定値群を提供しますが、認証プロンプトに使用できるのはモバイル認証アプリだけです。 モバイル認証アプリがユーザーの個人のデバイスにインストールされていることを保証できない場合、この方法は制約を受けるかもしれません。 詳細については、後の「Microsoft Entra ID Free レベル」を参照してください。
機能 | Microsoft Entra ID Free - セキュリティの既定値群 (すべてのユーザーに対して有効) | Microsoft Entra ID Free - グローバル管理者のみ | オフィス365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
---|---|---|---|---|---|
MFA で Microsoft Entra テナント管理者アカウントを保護する | ● | ● (Microsoft Entra グローバル管理者アカウントの場合のみ) | ● | ● | ● |
モバイル アプリを 2 番目の要素にする | ● | ● | ● | ● | ● |
音声通話を 2 番目の要素にする | ● | ● | ● | ||
2 番目の要素としてのテキスト メッセージ | ● | ● | ● | ● | |
検証方法の管理制御 | ● | ● | ● | ● | |
不正アクセスのアラート | ● | ● | |||
MFA レポート | ● | ● | |||
音声通話のカスタムあいさつ文 | ● | ● | |||
音声通話のカスタム発信元 ID | ● | ● | |||
信頼できる IP | ● | ● | |||
信頼済みデバイスの MFA の記憶 | ● | ● | ● | ● | |
オンプレミス アプリケーション用の MFA | ● | ● | |||
条件付きアクセス | ● | ● | |||
リスクベースの条件付きアクセス | ● |
多要素認証ポリシーを比較する
MFA を適用する方法としては、条件付きアクセスの使用が推奨されます。 次の表を見て、ご利用のライセンスに含まれる機能を確認してください。
ポリシー | セキュリティの既定値群 | 条件付きアクセス | ユーザーごとの MFA |
---|---|---|---|
管理 | |||
会社の安全を維持するためのセキュリティ規則の標準セット | ● | ||
ワンクリックのオンまたはオフ | ● | ||
Office 365 ライセンスに含まれる (ライセンスに関する考慮事項に関するセクションを参照してください) | ● | ● | |
Microsoft 365 管理センター ウィザードでの事前構成済みのテンプレート | ● | ● | |
構成の柔軟性 | ● | ||
機能 | |||
ポリシーからユーザーを除外する | ● | ● | |
電話またはテキスト メッセージによる認証 | ● | ● | ● |
Microsoft Authenticator とソフトウェア トークンによる認証 | ● | ● | ● |
FIDO2、Windows Hello for Business、およびハードウェア トークンによる認証 | ● | ● | |
レガシ認証プロトコルのブロック | ● | ● | ● |
新しい従業員の自動的な保護 | ● | ● | |
リスク イベントに基づく動的 MFA トリガー | ● | ||
認証および承認ポリシー | ● | ||
場所とデバイスの状態に基づいて構成可能 | ● | ||
"レポート専用" モードのサポート | ● | ||
ユーザーまたはサービスを完全にブロックする機能 | ● |
Microsoft Entra ID Free レベル
Microsoft Entra ID Free テナントのすべてのユーザーは、セキュリティの既定値群を使用して Microsoft Entra 多要素認証を使用できます。 Microsoft Entra ID Free のセキュリティの既定値群を使用しているときは、Microsoft Entra 多要素認証にモバイル認証アプリを使用できます。
使用しているアカウントの種類に応じて、次のいずれかの方法で Microsoft Entra 多要素認証を有効にします。
- Microsoft アカウントを使用している場合は、多要素認証に登録します。
- Microsoft アカウントを使用していない場合は、Microsoft Entra ID のユーザーまたはグループの多要素認証を有効にします。
次のステップ
- 費用の詳細については、Microsoft Entra の価格に関する記事を参照してください。
- 条件付きアクセスとは
- Microsoft Entra ID Protection とは
- MFA は、ユーザーごとに有効にすることもできます