Microsoft Entra 多要素認証のユーザー認証方法を管理する

Microsoft Entra ID のユーザーには、次の 2 つの異なる連絡先情報のセットがあります。

• パブリック プロファイルの連絡先情報。これはユーザー プロファイルで管理され、自分の組織のメンバーに表示されます。 オンプレミスの Active Directory から同期したユーザーの場合、この情報はオンプレミスの Windows Server Active Directory Domain Services で管理されます。
• 認証方法。これは常に非公開で、多要素認証を含む認証にのみ使用されます。 管理者はユーザーの認証方法ブレードでこれらの方法を管理でき、ユーザーは MyAccount の [セキュリティ情報] ページで自分の方法を管理できます。

ユーザーの Microsoft Entra 多要素認証方法を管理するとき、認証管理者は次のことができます。

• MFA に使用される電話番号など、特定のユーザーの認証方法を追加します。
• ユーザーのパスワードをリセットします。
• ユーザーに MFA の再登録を要求します。
• 既存の MFA セッションを取り消します。
• ユーザーの既存のアプリ パスワードを削除する。

注

このトピックのスクリーンショットには、Microsoft Entra 管理センターの更新されたエクスペリエンスを使用してユーザー認証方法を管理する方法を示します。 従来のエクスペリエンスもあり、管理者は管理センターのバナーを使用して 2 つを切り替えることができます。 最新のエクスペリエンスは従来のエクスペリエンスと完全な同等性を有し、一時アクセス パス、パスキー、その他の設定などの最新のメソッドを管理します。 Microsoft Entra 管理センターのレガシ エクスペリエンスは、2025 年 9 月 30 日に廃止されました。 廃止の前に組織がとるべきアクションはありません。

前提条件

Microsoft Entra 多要素認証。既定では有効になっています。

ユーザーの認証方法を追加または変更する

Microsoft Entra 管理センターまたは Microsoft Graph PowerShell を使用して、ユーザーの認証方法を追加または変更できます。 Microsoft Entra 管理センターでは、ユーザー認証方法を管理するための従来の方法は、2025 年 9 月 30 日以降に廃止されます。

注

セキュリティ上の理由から、パブリック ユーザーの連絡先情報フィールドを使用して MFA を実行しないでください。 代わりに、ユーザーは、MFA に使用する自分の認証方法番号を入力する必要があります。

Microsoft Entra 管理センターでユーザーの認証方法を追加または変更するには:

1. 少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。
2. Entra ID>Users に移動します。
3. 認証方法を追加または変更するユーザーを選択し、[ 認証方法] を選択します。
4. ウィンドウの上部にある [ + 認証方法の追加] を選択します。
   • 方法 (電話番号または電子メール) を選択します。 電子メールは、自己パスワードのリセットに使用できますが、認証には使用できません。 電話番号を追加する場合は、電話の種類を選択し、有効な形式で電話番号を入力します (+1 4255551234 など)。
   • [ 追加] を選択します。

ユーザーはマイ サインインで独自の認証方法を追加または編集できます |セキュリティ情報。 たとえば、電話番号を変更 するには、[電話番号 ] を選択して [ 変更] をタップします。

PowerShell を使用して方法を管理する

次のコマンドを使用して、Microsoft.Graph.Identity.Signins PowerShell モジュールをインストールします。

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

ユーザー認証オプションを管理する

認証管理者は、他の ユーザーに対して、パスワードのリセット、MFA への再登録、またはユーザー オブジェクトからの既存の MFA セッションの取り消しを要求できます。 ユーザーは自分のユーザー オブジェクトを更新できません。 独自のセキュリティ方法を変更またはリセットするには、セキュリティ 情報に移動するか、 セルフサービスパスワードリセット に移動してパスワードをリセットします。 他のユーザー設定を管理するには、次の手順を実行します。

1. 少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>Users に移動します。

3. アクションを実行するユーザーを選択し、[ 認証方法] を選択します。 ウィンドウの上部で、ユーザーに対して次のいずれかのオプションを選択します。

   • パスワードをリセット すると、ユーザーのパスワードがリセットされ、次のサインイン時に変更する必要がある一時的なパスワードが割り当てられます。
   • MFA の再登録を要求 すると、ユーザーのハードウェア OATH トークンが非アクティブ化され、このユーザーから次の認証方法 (電話番号、Microsoft Authenticator アプリ、ソフトウェア OATH トークン) が削除されます。 必要に応じて、ユーザーは次回サインインする際に新しい MFA 認証方法を設定することが求められます。
   • MFA セッションを取り消すと 、ユーザーの記憶された MFA セッションがクリアされ、次回デバイスのポリシーで必要になった場合に MFA を実行する必要があります。

   

ユーザーの既存のアプリ パスワードを削除する

アプリ パスワードを定義したユーザーの場合、管理者はこれらのパスワードを削除して、これらのアプリケーションのレガシ認証が失敗するようにすることも選択できます。 これらのアクションは、ユーザーを支援する必要がある場合や認証方法をリセットする必要がある場合に必要になることがあります。 これらのアプリ パスワードに関連付けられたブラウザー以外のアプリは、新しいアプリ パスワードが作成されるまで動作を停止します。

ユーザーのアプリ パスワードを削除するには、次の手順を実行します。

1. 少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>Users に移動します。

3. [多要素認証] を選択します。 このメニュー オプションを表示するには、必要に応じて右にスクロールします。 次のスクリーンショットの例を選択すると、完全なウィンドウとメニューの場所が表示されます。したスクリーンショット。

4. ユーザーまたは管理するユーザーの横にあるチェック ボックスをオンにします。 クイック ステップのオプションの一覧が右側に表示されます。

5. 次の例に示すように、[ ユーザー設定の管理] を選択し、[ 選択したユーザーによって生成されたすべての既存のアプリ パスワードを削除する] チェック ボックスをオンにします。

6. [保存] を選択して閉じます。

関連するコンテンツ

• Microsoft Entra 多要素認証の設定を構成する
• Microsoft Entra 多要素認証のユーザー ガイド

Microsoft Entra ID のユーザーには、次の 2 つの異なる連絡先情報のセットがあります。

• パブリック プロファイルの連絡先情報。これはユーザー プロファイルで管理され、自分の組織のメンバーに表示されます。 オンプレミスの Active Directory から同期したユーザーの場合、この情報はオンプレミスの Windows Server Active Directory Domain Services で管理されます。
• 認証方法。これは常に非公開で、多要素認証を含む認証にのみ使用されます。 管理者はユーザーの認証方法ブレードでこれらの方法を管理でき、ユーザーは MyAccount の [セキュリティ情報] ページで自分の方法を管理できます。

ユーザーの Microsoft Entra 多要素認証方法を管理するとき、認証管理者は次のことができます。

• MFA に使用される電話番号など、特定のユーザーの認証方法を追加します。
• ユーザーのパスワードをリセットします。
• ユーザーに MFA の再登録を要求します。
• 既存の MFA セッションを取り消します。
• ユーザーの既存のアプリ パスワードを削除する。

注

このトピックのスクリーンショットには、Microsoft Entra 管理センターの更新されたエクスペリエンスを使用してユーザー認証方法を管理する方法を示します。 従来のエクスペリエンスもあり、管理者は管理センターのバナーを使用して 2 つを切り替えることができます。 最新のエクスペリエンスは従来のエクスペリエンスと完全な同等性を有し、一時アクセス パス、パスキー、その他の設定などの最新のメソッドを管理します。 Microsoft Entra 管理センターのレガシ エクスペリエンスは、2025 年 9 月 30 日に廃止されました。 廃止の前に組織がとるべきアクションはありません。

Microsoft Entra 多要素認証。既定では有効になっています。

Microsoft Entra 管理センターまたは Microsoft Graph PowerShell を使用して、ユーザーの認証方法を追加または変更できます。 Microsoft Entra 管理センターでは、ユーザー認証方法を管理するための従来の方法は、2025 年 9 月 30 日以降に廃止されます。

注

セキュリティ上の理由から、パブリック ユーザーの連絡先情報フィールドを使用して MFA を実行しないでください。 代わりに、ユーザーは、MFA に使用する自分の認証方法番号を入力する必要があります。

Microsoft Entra 管理センターでユーザーの認証方法を追加または変更するには:

1. 少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。
2. Entra ID>Users に移動します。
3. 認証方法を追加または変更するユーザーを選択し、[ 認証方法] を選択します。
4. ウィンドウの上部にある [ + 認証方法の追加] を選択します。
   • 方法 (電話番号または電子メール) を選択します。 電子メールは、自己パスワードのリセットに使用できますが、認証には使用できません。 電話番号を追加する場合は、電話の種類を選択し、有効な形式で電話番号を入力します (+1 4255551234 など)。
   • [ 追加] を選択します。

ユーザーはマイ サインインで独自の認証方法を追加または編集できます |セキュリティ情報。 たとえば、電話番号を変更 するには、[電話番号 ] を選択して [ 変更] をタップします。

PowerShell を使用して方法を管理する

次のコマンドを使用して、Microsoft.Graph.Identity.Signins PowerShell モジュールをインストールします。

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

認証管理者は、他の ユーザーに対して、パスワードのリセット、MFA への再登録、またはユーザー オブジェクトからの既存の MFA セッションの取り消しを要求できます。 ユーザーは自分のユーザー オブジェクトを更新できません。 独自のセキュリティ方法を変更またはリセットするには、セキュリティ 情報に移動するか、 セルフサービスパスワードリセット に移動してパスワードをリセットします。 他のユーザー設定を管理するには、次の手順を実行します。

1. 少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>Users に移動します。

3. アクションを実行するユーザーを選択し、[ 認証方法] を選択します。 ウィンドウの上部で、ユーザーに対して次のいずれかのオプションを選択します。

   • パスワードをリセット すると、ユーザーのパスワードがリセットされ、次のサインイン時に変更する必要がある一時的なパスワードが割り当てられます。
   • MFA の再登録を要求 すると、ユーザーのハードウェア OATH トークンが非アクティブ化され、このユーザーから次の認証方法 (電話番号、Microsoft Authenticator アプリ、ソフトウェア OATH トークン) が削除されます。 必要に応じて、ユーザーは次回サインインする際に新しい MFA 認証方法を設定することが求められます。
   • MFA セッションを取り消すと 、ユーザーの記憶された MFA セッションがクリアされ、次回デバイスのポリシーで必要になった場合に MFA を実行する必要があります。

   

アプリ パスワードを定義したユーザーの場合、管理者はこれらのパスワードを削除して、これらのアプリケーションのレガシ認証が失敗するようにすることも選択できます。 これらのアクションは、ユーザーを支援する必要がある場合や認証方法をリセットする必要がある場合に必要になることがあります。 これらのアプリ パスワードに関連付けられたブラウザー以外のアプリは、新しいアプリ パスワードが作成されるまで動作を停止します。

ユーザーのアプリ パスワードを削除するには、次の手順を実行します。

1. 少なくとも認証管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>Users に移動します。

3. [多要素認証] を選択します。 このメニュー オプションを表示するには、必要に応じて右にスクロールします。 次のスクリーンショットの例を選択すると、完全なウィンドウとメニューの場所が表示されます。したスクリーンショット。

4. ユーザーまたは管理するユーザーの横にあるチェック ボックスをオンにします。 クイック ステップのオプションの一覧が右側に表示されます。

5. 次の例に示すように、[ ユーザー設定の管理] を選択し、[ 選択したユーザーによって生成されたすべての既存のアプリ パスワードを削除する] チェック ボックスをオンにします。

6. [保存] を選択して閉じます。