Microsoft Entra 多要素認証の再認証プロンプトを最適化しセッション有効期間を理解する

  • [アーティクル]

Microsoft Entra ID には、どの程度の頻度でユーザーが再認証する必要があるのか、を決定する設定が複数あります。 この再認証は、パスワード、FIDO、パスワードレスの Microsoft Authenticator などの第 1 要素によるか、多要素認証により実行されます。 これらの再認証の設定は、必要に応じて、独自の環境と目的のユーザー エクスペリエンスに合わせて構成することができます。

ユーザー サインインの頻度に関する Microsoft Entra ID の既定の構成は、90 日間のローリング ウィンドウです。 ユーザーに資格情報を求めることはしばしば目的にかなっているように思われますが、不足の結果に終わる可能性があります。 考えることなしに資格情報を入力するようにユーザーが訓練されている場合、悪意のある資格情報プロンプトに情報を意図せず渡してしまうことがあります。

ユーザーにサインインし直すように求めないことは不安に感じられるかもしれませんが、IT ポリシーのどのような違反によってもセッションは取り消されます。 たとえば、パスワードの変更、非準拠のデバイス、アカウントの無効化操作などがあります。 また、Microsoft Graph PowerShell を使用して明示的にユーザーのセッションを取り消すことができます。

この記事では、推奨される構成と、さまざまな設定のしくみと相互作用について説明します

適切な頻度でサインインするように要求することで、セキュリティと使いやすさのバランスをユーザーに付与するには、次の構成をお勧めします。

  • Microsoft Entra ID P1 または P2 がある場合:
    • マネージド デバイスまたはシームレス SSO を使用して、アプリケーション間でシングル サインオン (SSO) を有効にします。
    • 再認証が必要な場合は、条件付きアクセスのサインイン頻度ポリシーを使用します。
    • 管理対象外のデバイスまたはモバイル デバイスからサインインするユーザーにとって、永続的なブラウザー セッションは望ましくない場合があります。または条件付きアクセスを使用して、サインイン頻度ポリシーで永続的なブラウザー セッションを有効にできます。 サインイン リスクに基づいて、期間を適切な時間に制限すると、リスクの低いユーザーほどセッション継続時間が長くなります。
  • Microsoft 365 アプリのライセンスがあるか無料レベルの Microsoft Entra をお使いの場合:
    • マネージド デバイスまたはシームレス SSO を使用して、アプリケーション間でシングル サインオン (SSO) を有効にします。
    • [Remain signed-in] (サインインしたままの状態を続ける) オプションを有効にしたままにして、ユーザーに同意するようガイドします。
  • モバイル デバイス シナリオの場合、ユーザーが Microsoft Authenticator アプリを必ず使用するようにします。 このアプリは他の Microsoft Entra ID のフェデレーション アプリとして使用され、デバイスの認証プロンプト数を減らします。

この調査では、ほとんどのテナントに対してこれらの設定が適切であることが示されています。 これらの [MFA を記憶する][Remain signed-in] (サインインしたままの状態を続ける) などの設定の組み合わせによっては、ユーザーが認証を頻繁に行うように求めるメッセージが表示される可能性があります。 通常の再認証プロンプトでは、ユーザーの生産性が低下し、攻撃に対して脆弱になる可能性があります。

Microsoft Entra セッションの有効期間を設定する

ユーザーの認証プロンプトの頻度を最適化するには、Microsoft Entra セッションの有効期間オプションを構成します。 ビジネスおよびユーザーのニーズを理解し、環境に最適なバランスを提供する設定を構成してください。

セッションの有効期間ポリシーを評価する

セッションの有効期間が設定されていない場合、ブラウザー セッションに永続的な Cookie はありません。 ユーザーがブラウザーを閉じて開くたびに、再認証を求めるプロンプトが表示されます。 Office クライアントでは、既定の期間は 90 日のローリング ウィンドウです。 この既定の Office 構成では、ユーザーが自分のパスワードをリセットした場合、または非アクティブな状態が 90 日を超えた場合、ユーザーは必要なすべての要素 (第 1 要素と第 2 要素) を使用して再認証を行う必要があります。

Microsoft Entra の ID がないデバイスでは、ユーザーに対し複数の MFA プロンプトが表示される場合があります。 各アプリケーションに他のクライアント アプリと共有されていない独自の OAuth 更新トークンがあると、複数のプロンプトが表示されます。 このシナリオでは、MFA を使用して OAuth 更新トークンを検証するよう各アプリケーションから要求されるため、MFA によって複数回プロンプトが表示されます。

Microsoft Entra ID では、セッションの有効期間について最も制限の厳しいポリシーによって、ユーザーが再認証を必要とするタイミングが決まります。 以下のシナリオについて考えてみます。

  • [Remain signed-in] (サインインしたままの状態を続ける) を有効にします。これにより、永続的なブラウザー Cookie が使用されます
  • また、 [Remember MFA for 14 days] (14 日間 MFA を記憶する) も有効にします

このシナリオ例では、ユーザーは 14 日ごとに再認証する必要があります。 この動作は、 [サインインしたままにする] 自体でブラウザーでユーザーに再認証を要求としない場合でも、最も制限の厳しいポリシーに従います。

マネージド デバイス

Microsoft Entra の参加またはハイブリッド参加を使用して Microsoft Entra ID に参加しているデバイスは、アプリケーション間でシングル サインオン (SSO) を使用するためにプライマリ更新トークン (PRT) を受け取ります。 この PRT を使用すると、ユーザーはデバイスに一度サインインすることができ、IT スタッフはセキュリティとコンプライアンスの基準を満たしているかどうかを確認できます。 アプリまたはシナリオによっては、参加しているデバイスでより頻繁にサインインするようにユーザーに求める必要がある場合は、条件付きアクセスのサインインの頻度に関するページを使用することで実現できます。

サインインしたままにするオプションを表示する

ユーザーがサインイン中に [サインインの状態を維持しますか?] で [はい] を選択した場合は、永続的な Cookie がブラウザーに設定されます。 この永続的な Cookie は、第 1 要素と第 2 要素を記憶し、ブラウザーでの認証要求にのみ適用されます。

サインインしたままの状態を続けるよう求めるメッセージの例のスクリーンショット

Microsoft Entra ID P1 または P2 ライセンスをお持ちの場合は、永続ブラウザー セッションの、条件付きアクセス ポリシーを使うことをお勧めします。 このポリシーは、 [サインインの状態を維持] の設定を上書きして、ユーザー エクスペリエンスを向上させます。 Microsoft Entra ID P1 または P2 ライセンスがない場合は、ユーザーに対してサインインを維持するための設定を有効にすることをお勧めします。

ユーザーがサインインの状態を維持するためのオプションの構成の詳細については、[サインインの状態を維持しますか?] プロンプトを管理する方法に関する記事を参照してください。

多要素認証を記憶する

この設定では、1 日から 365 日までの間の値を設定でき、ブラウザーでユーザーがサインイン時に [今後 X 日間はこのメッセージを表示しない] オプションを選択したときに永続的な Cookie が設定されます。

サインイン要求の承認を求めるメッセージの例のスクリーンショット

この設定によって Web アプリの認証回数が減りますが、Office クライアントなどの最新の認証クライアントで認証回数が増えます。 これらのクライアントでは、通常、パスワードのリセットまたは 90 日の非アクティブな状態の経過後にのみメッセージが表示されます。 ただし、この値を 90 日間より短く設定すると Office クライアントの既定 MFA プロンプトが短縮され、再認証の頻度が増加します。 [Remain signed-in] (サインインしたままの状態を続ける) または条件付きアクセス ポリシーと組み合わせて使用すると、認証要求の数が増える場合があります。

[MFA を記憶する] を使っていて、Microsoft Entra ID P1 または P2 ライセンスをお持ちの場合は、これらの設定を移行して、条件付きアクセスのサインイン頻度を使うことを検討してください。 それ以外の場合は、代わりに [サインインしたままにする] の使用を検討してください。

詳細については、「多要素認証を記憶する」を参照してください。

条件付きアクセスを使用した認証セッション管理

[サインインの頻度] では、管理者は、クライアントとブラウザーの両方の第 1 要素と第 2 要素の両方に適用されるサインインの頻度を選択できます。 重要なビジネス アプリケーションなどで認証セッションを制限する必要があるシナリオでは、マネージド デバイスの使用と共にこれらの設定を使用することをお勧めします。

永続的なブラウザー セッションでは、ユーザーはブラウザー ウィンドウを閉じてから再度開いた後でもサインインした状態を維持できます。 [Remain signed-in] (サインインしたままの状態を続ける) 設定と同様に、これによりブラウザーに永続的な Cookie が設定されます。 ただし、管理者によって構成されているので、ユーザーが [サインインしたままにする] オプションで [はい] を選択する必要がないため、ユーザー エクスペリエンスが向上します。 [Remain signed-in] (サインインしたままの状態を続ける) オプションを使用する場合は、代わりに [永続的ブラウザー セッション] ポリシーを有効にすることをお勧めします。

詳しくは、 「条件付きアクセスを使用して認証セッション管理を構成する」を参照してください。

構成可能なトークンの有効期間

この設定により、Microsoft Entra ID によって発行されたトークンの有効期間を構成できます。 このポリシーは、「条件付きアクセスを使用した認証セッション管理」に置き換えられます。 現在、構成可能なトークンの有効期間を使用している場合は、条件付きアクセス ポリシーへの移行を開始することをお勧めします。

テナント構成を確認する

さまざまな設定のしくみと推奨される構成について理解しましたので、次はテナントの構成を確認します。 最初に、サインイン ログを参照して、サインイン時にどのセッションの有効期間ポリシーが適用されたかを把握することができます。

各サインイン ログで、 [認証の詳細] タブに移動して、 [セッションの有効期間ポリシーが適用されました] を確認します。 詳細については、「サインイン ログ アクティビティの詳細について学習する」の記事を参照してください。

[認証の詳細] のスクリーンショット。

[Remain signed-in] (サインインしたままの状態を続ける) オプションを構成または確認するには、次の手順を実行します。

  1. Microsoft Entra 管理センターグローバル管理者としてサインインします。
  2. [ID]>[会社のブランド] に移動し、ロケールごとに [サインインしたままにするオプションを表示する] をオンにします。
  3. [はい] を選択してから、 [保存] を選択します。

信頼済みデバイスに多要素認証の設定を記憶させるには、次の手順を実行します。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
  2. [保護]>[多要素認証] の順に移動します。
  3. [構成] で、 [追加のクラウドベースの MFA 設定] を選択します。
  4. [多要素認証サービス設定]のページで、[多要素認証の設定の記憶]までスクロールします。 このチェック ボックスをオフにして、設定を無効にします。

サインインの頻度と永続的なブラウザー セッションの条件付きアクセス ポリシーを構成するには、次の手順を実行します。

  1. 少なくとも条件付きアクセス管理者として Microsoft Entra 管理センター にサインインします。
  2. 保護>条件付きアクセス を参照します。
  3. この記事で詳しく説明している推奨のセッション管理オプションを使用して、ポリシーを構成します。

トークンの有効期間を確認するには、Azure AD PowerShell を使用して Microsoft Entra ポリシーに対してクエリを実行します。 使用しているすべてのポリシーを無効にします。

テナントで複数の設定が有効になっている場合は、使用可能なライセンスに基づいて設定を更新することをお勧めします。 たとえば、Microsoft Entra ID P1 あるいは P2 ライセンスをお持ちの場合は、サインインの頻度および永続的ブラウザー セッションの、条件付きアクセス ポリシーのみを使用する必要があります。 Microsoft 365 アプリまたは Microsoft Entra ID の無料ライセンスをお持ちの場合は、[サインインを維持しますか?] の構成をする必要があります。

構成可能なトークンの有効期間が有効になっている場合、この機能はすぐに削除されます。 条件付きアクセス ポリシーへの移行を計画します。

ライセンスに基づく推奨事項を次の表に示します。

Microsoft Entra ID の無料アプリと Microsoft 365 アプリ Microsoft Entra ID P1 または P2
SSO Microsoft Entra 参加Microsoft Entra ハイブリッド参加、またはアンマネージド デバイス向けのシームレス SSO Microsoft Entra Join
Microsoft Entra ハイブリッド参加
再認証の設定 Remain signed-in (サインインしたままの状態を続ける) サインインの頻度と永続的なブラウザー セッションに条件付きアクセス ポリシーを使用する

次のステップ

作業を開始するには、「Microsoft Entra 多要素認証を使用したユーザーのサインイン イベントのセキュリティ保護」、または「Microsoft Entra 多要素認証をトリガーするためのユーザー サインインのリスク検出」でのチュートリアルを完了します。