多要素認証 (MFA) をアプリに追加する

[アーティクル]
05/27/2024

適用対象: 灰色の X 記号が付いた白い円。従業員テナント内側に白いチェックマーク記号がある緑の円。外部テナント (詳細情報)

多要素認証 (MFA) により、アプリケーションにセキュリティレイヤーが追加されます。 MFA を使用すると、ユーザー名とパスワードを使用してサインインしたお客様は、2 番目の検証方法としてワンタイムパスコードの入力を求められます。この記事では、Microsoft Entra 条件付きアクセスポリシーを作成し、サインアップとサインインのユーザーフローに MFA を追加することで、顧客に MFA を適用する方法について説明します。 Microsoft Entra 外部 ID 外部テナントでは、多要素認証 (MFA) を適用することで、コンシューマーおよびビジネス顧客向けのアプリケーションにセキュリティのレイヤーを追加できます。 MFA では、ユーザーはサインインするたびに、メールのワンタイムパスコードを入力する必要があります。この記事では、Microsoft Entra 条件付きアクセスポリシーを作成し、サインアップとサインインのユーザーフローに MFA を追加することで、顧客に MFA を適用する方法について説明します。

重要

多要素認証 (MFA) を有効にする場合は、ローカアカウントの認証方法を [パスワード付きのメール] に設定します。ローカルアカウントのオプションを [ワンタイムパスコード付きメール] に設定した場合、ワンタイムパスコードは既に第 1 要素のサインイン方法であり、2 番目の要素として使用できないため、この方法を使用する顧客はサインインできません。現時点では、ワンタイムパスコードが、外部テナントで MFA に使用できる唯一の方法です。

ヒント

この機能を試すには、Woodgrove Groceries のデモにアクセスし、「Multi-Factor Authentication (多要素認証)」ユースケースを開始してください。

前提条件

Microsoft Entra 外部テナント (テナントがない場合は、無料試用版を開始できます)。
ローカルアカウントの認証方法が [パスワード付きメール] に設定されている、サインアップとサインインのユーザーフロー。
外部テナントに登録され、サインアップおよびサインインユーザーフローに追加され、認証のためにユーザーフローを指すように更新されたアプリ。
条件付きアクセスポリシーと MFA を構成するための、少なくともセキュリティ管理者の役割を持つアカウント。

条件付きアクセスポリシーを作成する

ユーザーがアプリにサインアップまたはサインインするときに、ユーザーに MFA を求めるダイアログを表示する条件付きアクセスポリシーを外部テナントに作成します。 (詳細については、「一般的な条件付きアクセスポリシー: すべてのユーザーに対して MFA を必須にする」を参照してください。

セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを使用して、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。
ID>保護>Security Center を参照します。
[条件付きアクセス]>[ポリシー] を選択し、[新しいポリシー] を選択します。
ポリシーに名前を付けます。ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
[割り当て] で [ユーザー] の下にあるリンクを選択します。

a. [含める] タブで [すべてのユーザー] を選択します。

b. [除外] タブで、[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
[クラウドアプリまたは操作] でリンクを選択します。

a. [含める] タブで次のオプションのいずれかを選択します。
- [すべてのクラウドアプリ] を選択します。
- [アプリを選択] を選択し、[選択] の下にあるリンクを選択します。アプリを見つけて選択し、[選択] を選択します。
b. [除外] で、多要素認証を必要としないアプリケーションを選択します。
[アクセス制御] で、[許可] の下にあるリンクを選択します。 [アクセス権の付与] を選択し、[多要素認証を要求する] を選択し、[選択] を選択します。
設定を確認し、 [Enable policy](ポリシーの有効化) を [オン] に設定します。
[作成] を選択して、ポリシーを作成および有効化します。