ユーザーごとの Microsoft Entra 多要素認証を有効にしてサインイン イベントをセキュリティで保護する
Microsoft Entra ID でユーザー サインイン イベントをセキュリティで保護するには、Microsoft Entra 多要素認証 (MFA) の要求を行うことができます。 Microsoft Entra MFA でユーザーを保護する最善の方法は、条件付きアクセス ポリシーを作成することです。 条件付きアクセスは Microsoft Entra ID P1 または P2 の機能であり、特定のシナリオの必要に応じて MFA を要求する規則を適用できるようになります。 条件付きアクセスの使用を開始するには、「チュートリアル: Microsoft Entra 多要素認証を使用してユーザーのサインイン イベントをセキュリティで保護する」を参照してください。
条件付きアクセスのない Microsoft Entra ID Free テナントについては、セキュリティの既定値を使用してユーザーを保護できます。 ユーザーは必要に応じて MFA の入力を求められますが、独自のルールを定義して動作を制御することはできません。
必要によっては、代わりに各アカウントでユーザーごとの Microsoft Entra 多要素認証を有効にすることができます。 ユーザーを個別に有効にすると、サインインするたびに MFA が実行されます。 信頼できる IP アドレスからサインインする場合や、信頼されたデバイスで MFA を記憶する機能がオンになっている場合などの例外を有効にすることができます。
Microsoft Entra ID ライセンスに条件付きアクセスが含まれておらず、セキュリティの既定値を使用したくない場合を除き、ユーザーの状態を変更することはお勧めしません。 MFA を有効にする他の方法の詳細については、「Microsoft Entra 多要素認証の機能とライセンス」を参照してください。
重要
この記事では、ユーザーごとの Microsoft Entra 多要素認証の状態を表示および変更する方法について詳しく説明しています。 条件付きアクセスまたはセキュリティの既定値を使用する場合、これらの手順を使用してユーザー アカウントを確認したり、有効にしたりしません。
条件付きアクセス ポリシーを使用して Microsoft Entra 多要素認証を有効にしても、ユーザーの状態は変更されません。 ユーザーが無効に見えても問題ありません。 条件付きアクセスでは、状態は変更されません。
条件付きアクセス ポリシーを使用する場合は、ユーザーごとの Microsoft Entra 多要素認証を有効にしたり適用したりしないでください。
Microsoft Entra 多要素認証のユーザー状態
ユーザーの状態には、認証管理者がユーザーをユーザーごとの Microsoft Entra 多要素認証に登録したかどうかが反映されます。 Microsoft Entra 多要素認証のユーザー アカウントには、次の 3 つの異なる状態があります。
完了状態 | 説明 | 影響を受けるレガシ認証 | ブラウザー アプリに影響があるか | 影響を受ける先進認証 |
---|---|---|---|---|
無効 | 既定の状態は、ユーザーごとの Microsoft Entra 多要素認証に登録されていないユーザーを表します。 | いいえ | いいえ | いいえ |
有効 | ユーザーはユーザーごとの Microsoft Entra 多要素認証に登録されていますが、レガシ認証で引き続きパスワードを使用できます。 ユーザーが MFA 認証方法にまだ登録されていない場合は、先進認証を使用して次回サインインするとき (Web ブラウザーでサインインするときなど) に登録するように求められます。 | いいえ。 レガシ認証は、登録プロセスが完了するまで機能し続けます。 | はい。 セッションの有効期限が切れると、Microsoft Entra 多要素認証の登録が必要になります。 | はい。 アクセス トークンの有効期限が切れると、Microsoft Entra 多要素認証の登録が必要になります。 |
強制 | ユーザーは、Microsoft Entra 多要素認証でユーザーごとに登録されています。 ユーザーが認証方法にまだ登録されていない場合は、先進認証を使用して次回サインインするとき (Web ブラウザーでサインインするときなど) に登録するように求められます。 [有効] 状態で登録が完了したユーザーは、[強制] 状態に自動的に移動されます。 | はい。 アプリはアプリ パスワードを必要とします。 | はい。 サインイン時に Microsoft Entra 多要素認証が必要です。 | はい。 サインイン時に Microsoft Entra 多要素認証が必要です。 |
すべてのユーザーの状態は、 [無効] から始まります。 ユーザーをユーザーごとの Microsoft Entra 多要素認証に登録すると、ユーザーの状態は "有効" に変わります。 [有効] 状態のときにユーザーがサインインして登録プロセスを完了すると、ユーザーの状態は [適用] に変わります。 管理者は、ユーザーを状態間 ( [強制] から [有効] または [無効] を含む) で移動させることができます。
注意
ユーザーごとの MFA がユーザーに対して再度有効にされ、ユーザーが再登録されていない場合、MFA 管理 UI で MFA の状態は [有効] から [強制] に移行されません。 管理者は、そのユーザーを [強制] に直接移動する必要があります。
ユーザーの状態を表示する
Microsoft Entra 管理センターでのユーザーごとの MFA 管理エクスペリエンスが最近改善されました。 ユーザーの状態を表示および管理するには、次の手順を実行します。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
ユーザー アカウントを選択し、[ユーザーの MFA 設定] をクリックします。
設定を変更した場合は、[保存] をクリックします。
何千人ものユーザーを並べ替えようとすると、結果として [表示するユーザーがいない] が返されることがあります。 より具体的な検索条件を入力して検索を絞り込むか、特定のステータスまたはビュー フィルターを適用します。
新しいユーザーごとの MFA エクスペリエンスへの移行中に、従来のユーザーごとの MFA エクスペリエンスにアクセスすることもできます。 形式は次のようになります:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
userTenantID
を取得するには、Microsoft Entra 管理センターの [概要] ページでテナント ID をコピーします。 これらの手順に従って、レガシ エクスペリエンスを持つユーザーの状態を表示します。
- 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- ユーザーごとの MFA を選択します。
- 次の例に示すように、ユーザーの状態を表示する新しいページが開きます。
ユーザーの状態を変更する
ユーザーのユーザーごとの Microsoft Entra 多要素認証の状態を変更するには、次の手順を実行します。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
ユーザー アカウントを選択し、[MFA の有効化] をクリックします。
ヒント
"有効" ユーザーは、Microsoft Entra 多要素認証に登録すると自動的に "適用" に切り替えられます。 ユーザーが既に登録されている場合や、レガシ認証プロトコルへの接続が中断されてもユーザーがそれを容認できる場合を除き、ユーザーの状態を [強制] に手動で変更しないでください。
開いたポップアップ ウィンドウで選択内容を確認します。
ユーザーを有効にした後は、ユーザーにメールで通知します。 次回のサインイン時に登録を要求するプロンプトが表示されることをユーザーに伝えます。 ブラウザーで実行されていないアプリケーションや先進認証をサポートしていないアプリケーションを組織で使用している場合は、アプリケーション パスワードを作成できます。 詳細については、従来のアプリケーションでアプリ パスワードを使用して Microsoft Entra 多要素認証を適用するをご覧ください。
Microsoft Graph を使用してユーザーごとの MFA を管理する
ユーザーごとの MFA 設定を管理するには、Microsoft Graph REST API Beta を使用します。 認証リソースの種類を使用して、ユーザーの認証方法の状態を公開することができます。
ユーザーごとの MFA を管理するには、users/id/authentication/requirements 内で perUserMfaState プロパティを使用します。 詳細については、「strongAuthenticationRequirements リソースの種類」を参照してください。
ユーザーごとの MFA 状態を表示する
ユーザーのユーザーごとの多要素認証状態を取得するには:
GET /users/{id | userPrincipalName}/authentication/requirements
次に例を示します。
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
ユーザーがユーザーごとの MFA に対して有効になっている場合、応答は次のようになります。
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
詳細については、「認証方法の状態を取得する」を参照してください。
ユーザーの MFA 状態を変更する
ユーザーの多要素認証の状態を変更するには、ユーザーの strongAuthenticationRequirements を使用します。 次に例を示します。
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
成功した場合、応答は次のようになります。
HTTP/1.1 204 No Content
詳細については、「認証方法の状態を更新する」を参照してください。
次のステップ
Microsoft Entra 多要素認証の設定を構成するには、「Microsoft Entra 多要素認証の設定の構成」を参照してください。
Microsoft Entra 多要素認証のユーザー設定を管理するには、「Microsoft Entra 多要素認証でのユーザー設定の管理」を参照してください。
ユーザーが MFA の実行を求められたり、求められなかった理由を理解するには、「Microsoft Entra 多要素認証レポート」を参照してください。