適用対象: 
従業員テナント緑 
外部テナント (詳細)
多要素認証 (MFA) では、ユーザーがサインアップまたはサインイン中に ID を検証するための 2 つ目の方法を提供するように要求することで、アプリケーションにセキュリティのレイヤーが追加されます。 外部テナントでは、2 つ目の要素として認証のための 2 つの方法がサポートされています。
- メールのワンタイム パスコード
- SMS ベースの認証。アドオンとして使用できます (詳細を参照)。
MFA を適用すると、検証のレイヤーが追加され、承認されていないユーザーがアクセスすることが困難になり、組織のセキュリティが強化されます。
MFA ポリシーの作成
外部テナントでは、Microsoft Entra 条件付きアクセスを使用して、ユーザーがアプリにサインアップまたはサインインするときに、ユーザーに MFA を求めるポリシーを作成できます。 このポリシーは、Microsoft Entra 管理センターの [保護] セクションの [条件付きアクセス] で作成します。 すべてのユーザーを含めて、緊急アクセス用または非常用アカウントを除外して、ポリシーを適用するユーザーとグループを指定できます。
ポリシーでは、MFA を必要とするアプリケーションを定義します。 すべてのクラウド アプリにポリシーを適用することも、MFA を必要としないアプリケーションを除外しながら、特定のアプリを選択することもできます。 次に、ユーザーが MFA 要件を完了した場合にのみアクセス権を付与するようにポリシーを構成します。
詳細については、 外部テナントで条件付きアクセス ポリシーを作成する方法を参照してください。
MFA 方法の有効化
ユーザー フローで ID プロバイダー オプションを選択する場合は、サインアップとサインインの第 1 要素認証方法を定義します。 MFA の第 2 要素検証方法は、Microsoft Entra 管理センターの Entra ID>Authentication メソッドで構成されます。
最初の要素として選択するオプションに応じて、 多要素認証 (MFA) に使用できる第 2 要素検証方法が異なります。
- パスワードと外部 ID プロバイダーを含む電子メール: これらの最初の要素のいずれかの方法では、メールワンタイム パスコード、SMS、またはその両方を MFA の第 2 要素検証方法として有効にすることができます。
- 電子メール ワンタイム パスコード: ワンタイム パスコードを含む電子メールが第 1 要素認証方法として選択されている場合、第 2 要素認証には使用できません。 そのため、MFA 用に有効にできるのは SMS ベースの検証のみです。
詳細については、 外部テナントで MFA メソッドを有効にする方法を参照してください。
メールのワンタイム パスコード
メール ワンタイム パスコード認証は、第 1 要素と第 2 要素の両方の検証方法として外部テナントで使用できます。 MFA の電子メール ワンタイム パスコードの使用を許可するには、ローカル アカウントの認証方法を [パスワード付きの電子メール] に設定する必要があります。 ワンタイム パスコードを含む電子メールを選択した場合、プライマリ サインインにこの方法を使用しているお客様は、MFA のセカンダリ検証に使用できません。
MFA 用にメール ワンタイム パスコードが有効になっている場合、ユーザーは第 1 のサインイン方法でサインインし、ユーザーのメール アドレスにコードが送信されることが知らされます。 ユーザーは、コードの送信を選択し、メールの受信トレイからパスコードを取得し、サインイン ウィンドウにパスコードを入力します。 ユーザーは、この検証プロセスを 10 分以内に完了する必要があります。
SMS ベースの認証
SMS は、外部テナントで第 2 要素検証のために利用できますが、通信費が掛かります。 現在、SMS は、外部テナントでの第 1 要素認証またはセルフサービス パスワード リセットには使用できません。
MFA 用に SMS が有効になっている場合、ユーザーは第 1 の方法でサインインし、SMS 経由で送信されたコードを使用して ID を確認するように求められます。 電話番号を入力し、確認コード付きの SMS を受信します。
次の対策を適用することで、外部 ID は SMS による不正なサインアップを軽減します。
- テレフォニー調整の制限は、停止や速度低下を防ぐのに役立ちます。 サービスの制限と制限を参照してください。
- SMS による MFA 用の CAPTCHA は、人間のユーザーと自動ボットを区別することで、自動攻撃を防ぐのに役立ちます。 危険なユーザーが検出された場合、ユーザーがサインインするのをブロックするか、SMS による検証コードを送信する前に CAPTCHA を完了するようにユーザーに依頼します。
国や地域別の SMS 価格帯
次の表は、さまざまな国または地域にわたる SMS ベースの認証サービスのさまざまな価格帯の詳細を示しています。 価格の詳細については、 Microsoft Entra External ID の価格に関するページを参照してください。
SMS はアドオン機能であり、 リンクされたサブスクリプションが必要です。 サブスクリプションの有効期限が切れた場合、またはサブスクリプションが取り消された場合、エンド ユーザーは SMS を使用して認証できなくなります。そのため、MFA ポリシーに応じてユーザーのサインインがブロックされる可能性があります。
| レベル | 国/地域 |
|---|---|
| 電話認証低コスト | オーストラリア、ブラジル、ブルネイ、カナダ、チリ、中国、コロンビア、キプロス、北マケドニア、ポーランド、ポルトガル、韓国、タイ、Türkiye、米国 |
| 電話認証中低コスト | グリーンランド、アルバニア、アメリカ領サモア、オーストリア、バハマ、バーレーン、ボスニア & ヘルツェゴビナ、 Botswana、コスタリカ、チェコ共和国、デンマーク、エストニア、フェロー諸島、フィンランド、フランス、ギリシャ、香港特別行政区、ハンガリー、アイスランド、アイルランド、イタリア、日本、ラトビア、ラトビア、リトアニア、ルクセンブルク、マカオ SAR、マルタ、メキシコ、ミクロネシア、モルドバ、ナミビア、ニュージーランド、ニカラグア、ノルウェー、ルーマニア、サントメ、プリンシペ、セーシェル共和国、シンガポール、シンガポール、スロバキア、ソロモン諸島、スペイン、スペイン、 スウェーデン、スイス、台湾、英国、米国領バージン諸島、ウルグアイ |
| 電話認証中高コスト | アンドラ、アンゴラ、アンギラ、南極、アンティグア・バーブーダ、アルゼンチン、アルメニア、アルバ、バルバドス、ベルギー、ベナン、ボリビア、ボネール島、キュラソー、サバ島、シント・ユースタティウス島、シント・マールテン、英領ヴァージン諸島、ブルガリア、ブルキナファソ、カメルーン、ケイマン諸島、中央アフリカ共和国、クック諸島、コートジボワール、クロアチア、ディエゴ ガルシア、ジブチ、ドミニカ共和国、ドミニカ共和国、ドミニカ共和国、エクアドル、エルサルバドル、エリトリア、フォークランド諸島、フィジー、仏領ギアナ、仏領ポリネシア、ガンビア、ジョージア、ドイツ、ジブラルタル、グレナダ、グアドループ、グアム、ギニア、ガイアナ、ホンジュラス、インド、ケニア、キリバス、ラオス、リベリア、マレーシア、マーシャル諸島、マルティニーク、モーリシャス、モナコ、モンテネグロ、モントセラト、オランダ、ニューカレドニア、ニウエ、オマーン、パラオ、パナマ、パラグアイ、ペルー、プエルトリコ、プエルトリコ、レユニオン、ルワンダ、セントヘレナ、アセンションおよびトリスタンダクーニャ、セントクリストファー・ネーヴィス、セントルシア、サンピエール島・ミクロン島、セントビンセント及びグレナディーン諸島、サイパン、サモア、サンマリノ、サウジアラビア、シント・マールテン、スロベニア、南アフリカ、南スーダン、スリナム、スワジランド (新名称はエスワティニ王国)、ティモール・レステ、トケラウ、トンガ、タークス カイコス、ツバル、アラブ首長国連邦、バヌアツ、ベネズエラ、ベトナム、ウォリス・フツナ |
| 電話認証高コスト | リヒテンシュタイン、バミューダ、カーボベルデ、カンボジア、コンゴ民主共和国、ドミニカ国、エジプト、赤道ギニア、ガーナ、グアテマラシティ、ギニアビサウ、イスラエル、ジャマイカ、ジャマイカ、コソボ、レソト、モルディブ、マリ、モーリタニア、モロッコ、モザンビーク、パプアニューギニア、フィリピン、カタール、シエラレオネ、トリニダード トバゴ、ウクライナ、ジンバブエ、アフガニスタン、アルジェリア、アゼルバイジャン、バングラデシュ、ベラルーシ、ベリーズ、ブータン、ブルンジ、チャド、コモロ、コンゴ共和国、エチオピア、ガボン共和国、ハイチ、インドネシア、イラク、ヨルダン、クウェート、キルギス、レバノン、リビア、マダガスカル、マラウイ、モンゴル、ミャンマー、ナウル、ネパール、ニジェール、ナイジェリア、パキスタン、パレスチナ自治政府、ロシア、セネガル、セルビア、ソマリア、スリランカ、スーダン、タジキスタン、タンザニア、トーゴ共和国、チュニジア、トルクメニスタン、ウガンダ、ウズベキスタン、イエメン、ザンビア |
SMS のオプトイン リージョン
2025 年 1 月以降、一部の国番号は、SMS による認証は既定で非アクティブ化されます。 非アクティブ化されたリージョンからのトラフィックを許可する場合は、Microsoft Graph onPhoneMethodLoadStartevent ポリシーを使用して、それらをアプリケーションに対してアクティブ化する必要があります。
SMS 検証のオプトインが必要なリージョンを参照してください。