次の方法で共有

ユーザーが必須の MFA を設定していることを確認する方法

このトピックでは、組織内のユーザーが Azure の必須 MFA 要件を満たすように設定されていることを確認する手順について説明します。 影響を受けるアプリケーションとアカウント、およびロールアウトのしくみの詳細については、「Azure やその他の管理ポータルにおける多要素認証の義務化の計画」を参照してください。

個人用アカウントの MFA を確認する

ユーザーは、個人用アカウントを使用して、少数のユーザーのみを対象とする Microsoft Entra テナントを作成する場合があります。 個人用アカウントを使用して Azure にサブスクライブした場合、次の手順を実行して、アカウントが MFA 用に設定されていることを確認します。

  1. Microsoft アカウントの[高度なセキュリティ オプション] にサインインします。
  2. [追加のセキュリティ][2 段階認証] で、[有効にする] を選択します。
  3. 画面に表示される指示に従います。

詳細については、「Microsoft アカウントで 2 段階認証を使用する方法」を参照してください。

MFA でサインインするユーザーとサインインしないユーザーを検出する

MFA でサインインするユーザーとサインインしないユーザーを検出するには、次のリソースを使用します。

  • ユーザーと認証方法のリストをエクスポートするには、PowerShell を使用します。
  • クエリを実行してユーザーのログインを分析する場合、MFA を要求するアプリケーション のアプリケーション ID を使用します。

MFA の有効化を確認する

MFA を必要とするアプリケーションにアクセスするすべてのユーザーは、MFA を使用するように設定する必要があります。 必須の MFA は、特権ロールに制限されません。 ベスト プラクティスとして、"いずれか" の管理ポータルにアクセスするすべてのユーザーは MFA を使用する必要があります。

ユーザーに対して MFA が設定されていることを確認し、必要に応じて MFA を有効にするには、次の手順を使用します。

  1. グローバル閲覧者として Azure portal にサインインします。

  2. Entra ID>Overview に移動します。

  3. テナント サブスクリプションのライセンスの種類を確認します。

  4. MFA が有効であることを確認し、必要に応じて MFA を有効にするには、ライセンスの種類に応じた手順に従います。 これらの手順を完了するには、グローバル閲覧者としてサインアウトし、より高い特権のロールでもう一度サインインします。

Microsoft Entra ID P1 または Microsoft Entra ID P2 ライセンスに対して MFA が有効になっていることを確認する

Microsoft Entra ID P1 または Microsoft Entra ID P2 ライセンスをお持ちの場合は、MFA を 必要とするアプリケーションにアクセスするユーザーに MFA を要求する条件付きアクセス ポリシーを作成できます。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>Conditional Access>Policies に移動します。

  3. [新しいポリシー] を選択します。

  4. ポリシーに名前を設定してください。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。

  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。

  6. [含む] の下で、[すべてのユーザー] を選択するか、MFA を要求するアプリケーションにサインインするユーザーのグループを選択します。

  7. ターゲット リソース>Cloud アプリ>に含めるアプリの選択で、Microsoft 管理ポータルWindows Azure サービス管理 APIを選択します。

  8. [アクセス制御]>[許可]の下で、[アクセス権の付与][認証強度が必要][多要素認証] の順に選択して、[選択] を選択します。

  9. 設定を確認し、[ポリシーの有効化][レポート専用] に設定します。

  10. [作成] を選択して、ポリシーを作成および有効化します。

    重要

    Report-Only モードで CA ポリシーを作成し、ロックアウトされないようにテナントへの影響を把握します。

詳細については、「一般的な条件付きアクセス ポリシー: Microsoft 管理ポータルにアクセスする管理者に多要素認証を要求する」を参照してください。

サインイン ログを含む条件付きアクセスの分析情報とレポート ブックを使用して、テナントへの影響を把握できます。 前提条件として、次の手順を実行する必要があります。

必須 MFA がテナントに与える影響を確認するには、次のパラメーターを選択します。

  • 以前に作成した MFA 条件付きアクセス ポリシーを選択する
  • 時間範囲を選択してデータを評価する
  • [データ ビュー] を選択すると、ユーザー数またはサインイン数に関する結果が表示されます

サインインの詳細を照会したり、サインイン ログをダウンロードしてデータをさらに詳しく調べることもできます。 詳細については、「条件付きアクセスに関する分析情報とレポート」をご覧ください。

Microsoft 365 または Microsoft Entra ID Free に対して MFA が有効になっていることを確認する

Microsoft 365 または Microsoft Entra ID Free のライセンスがある場合は、セキュリティの既定値を使用して MFA を有効にすることができます。 ユーザーは必要に応じて MFA の入力を求められますが、独自のルールを定義して動作を制御することはできません。

次のようにして、セキュリティの既定値群を有効にします。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
  2. Entra ID>Overview>Properties に移動します。
  3. [セキュリティの既定値群の管理] を選択します。
  4. [セキュリティの既定値群][有効] に設定します。
  5. [保存] を選択します。

セキュリティの既定値の詳細については、「Microsoft Entra ID のセキュリティの既定値群」を参照してください。

セキュリティの既定値を使用しない場合は、ユーザーごとの MFA を有効にすることができます。 ユーザーを個別に有効にすると、ログインするたびに MFA を実行します。 認証管理者は、いくつかの例外を有効にすることができます。 ユーザーごとの MFA を有効にするには、次の手順を使用します。

  1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。
  2. Entra ID>Users に移動します。
  3. ユーザー アカウントを選択し、[MFA の有効化] をクリックします。
  4. 開いたポップアップ ウィンドウで選択内容を確認します。

ユーザーを有効にした後は、ユーザーにメールで通知します。 次回のサインイン時に登録を要求するプロンプトが表示されることをユーザーに伝えます。 詳細については、「ユーザーごとの Microsoft Entra 多要素認証を有効にしてサインイン イベントをセキュリティで保護する」を参照してください。

関連するコンテンツ

MFA の詳細については、次のトピックを参照してください。