多要素認証 (MFA) をアプリに追加する
適用対象: 従業員テナント 外部テナント (詳細情報)
多要素認証 (MFA) により、アプリケーションにセキュリティ レイヤーが追加されます。 MFA を使用すると、ユーザー名とパスワードを使用してサインインしたお客様は、2 番目の検証方法としてワンタイム パスコードの入力を求められます。 この記事では、Microsoft Entra 条件付きアクセス ポリシーを作成し、サインアップとサインインのユーザー フローに MFA を追加することで、顧客に MFA を適用する方法について説明します。 Microsoft Entra 外部 ID 外部テナントでは、多要素認証 (MFA) を適用することで、コンシューマーおよびビジネス顧客向けのアプリケーションにセキュリティのレイヤーを追加できます。 MFA では、ユーザーはサインインするたびに、メールのワンタイム パスコードを入力する必要があります。 この記事では、Microsoft Entra 条件付きアクセス ポリシーを作成し、サインアップとサインインのユーザー フローに MFA を追加することで、顧客に MFA を適用する方法について説明します。
重要
多要素認証 (MFA) を有効にする場合は、ローカ アカウントの認証方法を [パスワード付きのメール] に設定します。 ローカル アカウントのオプションを [ワンタイム パスコード付きメール] に設定した場合、ワンタイム パスコードは既に第 1 要素のサインイン方法であり、2 番目の要素として使用できないため、この方法を使用する顧客はサインインできません。 現時点では、ワンタイム パスコードが、外部テナントで MFA に使用できる唯一の方法です。
前提条件
- Microsoft Entra 外部テナント (テナントがない場合は、無料試用版を開始できます)。
- ローカル アカウントの認証方法が [パスワード付きメール] に設定されている、サインアップとサインインのユーザー フロー。
- 外部テナントに登録され、サインアップおよびサインイン ユーザー フローに追加され、認証のためにユーザーフローを指すように更新されたアプリ。
- 条件付きアクセス ポリシーと MFA を構成するための、少なくともセキュリティ管理者の役割を持つアカウント。
条件付きアクセス ポリシーを作成する
ユーザーがアプリにサインアップまたはサインインするときに、ユーザーに MFA を求めるダイアログを表示する条件付きアクセス ポリシーを外部テナントに作成します。 (詳細については、「一般的な条件付きアクセス ポリシー: すべてのユーザーに対して MFA を必須にする」を参照してください。
セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用して、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
ID>保護>Security Center を参照します。
[条件付きアクセス]>[ポリシー] を選択し、[新しいポリシー] を選択します。
ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
[割り当て] で [ユーザー] の下にあるリンクを選択します。
a. [含める] タブで [すべてのユーザー] を選択します。
b. [除外] タブで、[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
[クラウド アプリまたは操作] でリンクを選択します。
a. [含める] タブで次のオプションのいずれかを選択します。
[すべてのクラウド アプリ] を選択します。
[アプリを選択] を選択し、[選択] の下にあるリンクを選択します。 アプリを見つけて選択し、[選択] を選択します。
b. [除外] で、多要素認証を必要としないアプリケーションを選択します。
[アクセス制御] で、[許可] の下にあるリンクを選択します。 [アクセス権の付与] を選択し、[多要素認証を要求する] を選択し、[選択] を選択します。
設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。
[作成] を選択して、ポリシーを作成および有効化します。
MFA メソッドとしてメールのワンタイム パスコードを有効にする
すべてのユーザーに対して、外部テナントでのメールのワンタイム パスコード認証方法を有効にします。
セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
ID>保護>認証方法 を参照します。
[メソッド] の一覧で [メール OTP] を選択します。
[有効化およびターゲット] で、[有効にする] トグルをオンにします。
[含める] の [ターゲット] の横にある [すべてのユーザー] を選択します。
[保存] を選択します。
サインインをテストする
プライベート ブラウザーでアプリケーションを開き、[サインイン] を選択します。 別の認証方法を求めるメッセージが表示されます。