Microsoft 365 Business Premium の多要素認証を設定する

多要素認証 (MFA、2 要素認証、または 2FA とも呼ばれます) には、ユーザー のサインインに 2 つ目の検証方法が必要であり、アカウントのセキュリティが向上します。

この記事では、使用可能なオプションを使用して MFA を設定する手順について説明します。

• セキュリティの既定値: Microsoft Entra ID Free を使用して、すべての Microsoft 365 組織で使用できます。
• 条件付きアクセス ポリシー: Microsoft Entra ID P1 または P2 を持つ Microsoft 365 組織で使用できます。
• 従来のユーザーごとの MFA (推奨されていません): Microsoft Entra ID Free を使用して、すべての Microsoft 365 組織で利用できます。

Microsoft 365 の MFA のさまざまなオプションの詳細については、「Microsoft 365 での多要素認証」を参照してください。

はじめに把握しておくべき情報

• この記事の手順を実行するには、適切なアクセス許可が割り当てられている必要があります。 いくつかのオプションを次に示します。

  • Microsoft Entraアクセス許可:

    • セキュリティの既定値をオンまたはオフにする: グローバル管理者 ロールまたは セキュリティ管理者 ロールのメンバーシップ。
    • 条件付きアクセス ポリシーの作成と管理: グローバル管理者 ロールまたは 条件付きアクセス管理者ロールの メンバーシップ。

    重要

    Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

• セキュリティの既定値または条件付きアクセスを使用するには、organizationのユーザーに対して従来のユーザーごとの MFA をオフにする必要があります。 organizationのサブスクリプションが 2019 以降に開始された場合、ユーザーごとのレガシ MFA が有効になっていない可能性が最も高くなります。 詳細については、「ユーザーごとのMicrosoft Entra多要素認証を有効にしてサインイン イベントをセキュリティで保護する」を参照してください。

• 詳細: Active Directory フェデレーション サービス (AD FS) (AD FS) (2019 年 7 月より前に構成) を使用する Microsoft 以外のディレクトリ サービスがある場合は、Azure MFA サーバーを設定します。 詳細については、「Microsoft Entra多要素認証と Microsoft 以外の VPN ソリューションを使用した高度なシナリオ」を参照してください。

セキュリティの既定値の管理

2019 年 10 月以降に作成された Microsoft 365 テナントでは、セキュリティの既定値が既定でオンになっています。 organizationでセキュリティの既定値の現在の状態を表示または変更するには、次の手順に従います。

1. Microsoft Entra 管理センターで、[Id>Overview] に移動します。 または、概要ページに直接移動するには、 https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactViewを使用します。

2. 概要ページで、[ プロパティ ] タブを選択し、タブの下部にある [ セキュリティの既定値 ] セクションに移動します。

   セキュリティの既定値の現在の状態に応じて、次のいずれかのエクスペリエンスを使用できます。

   • セキュリティの既定値はオンです。次のテキストが表示され、 セキュリティの既定値の管理 が使用できます。

     organizationはセキュリティの既定値で保護されています。

   • Microsoft Entra ID P1 または P2 に 1 つ以上の条件付きアクセス ポリシーが存在します。次のテキストが表示され、セキュリティの既定値の管理は使用できません。

     現在、organizationは条件付きアクセス ポリシーを使用しているため、セキュリティの既定値を有効にできなくなります。 条件付きアクセスを使用して、セキュリティの既定値で提供されるのと同じ動作を有効にするカスタム ポリシーを構成できます。

     条件付きアクセスを管理すると、https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/PoliciesList.ReactViewの [ポリシー] ページに移動し、条件付きアクセス ポリシーを管理します。 セキュリティの既定値と条件付きアクセス ポリシーを切り替えるには、この記事の「 条件付きアクセス ポリシーからセキュリティの既定値に戻す 」セクションを参照してください。

   • セキュリティの既定値はオフです:次のテキストが表示され、 セキュリティの既定値の管理 が使用できます。

     organizationは、セキュリティの既定値では保護されていません。

3. [ セキュリティの既定値の管理 ] が使用可能な場合は、セキュリティの既定値をオンまたはオフにするために選択します。

   開いた [セキュリティの既定値] ポップアップで、次のいずれかの手順を実行します。

   • セキュリティの既定値を有効にする: [ セキュリティの既定値 ] ドロップダウン リストで、[ 有効] を選択し、[保存] を選択 します。

   • セキュリティの既定値をオフにする: [ セキュリティの既定値 ] ドロップダウン リストで、[無効] を選択 します。 [無効にする理由] セクションで、[My organization is planning to use Conditional Access]\(条件付きアクセスを使用する予定のマイ organization\) を選択します。

     [セキュリティの既定値] ポップアップが完了したら、[保存] を選択します

   注意

   Microsoft Entra ID P1 または P2 で条件付きアクセス ポリシーに切り替えない限り、セキュリティの既定値をオフにしないでください。

条件付きアクセス ポリシーを管理する

Microsoft 365 organizationに P1 以降Microsoft Entra IDが含まれている場合は、セキュリティの既定値ではなく条件付きアクセスを使用して、セキュリティ体制を強化し、より詳細な制御を行うことができます。 以下に例を示します。

• Microsoft 365 Business Premium (P1 Microsoft Entra ID)
• Microsoft 365 E3 (P1 Microsoft Entra ID)
• Microsoft 365 E5 (P2 Microsoft Entra ID)
• アドオン サブスクリプション

詳細については、「 条件付きアクセスのデプロイを計画する」を参照してください。

セキュリティの既定値から条件付きアクセス ポリシーに切り替えるには、次の基本的な手順が必要です。

1. セキュリティの既定値をオフにします。

2. セキュリティの既定値でセキュリティ ポリシーを再作成するためのベースライン条件付きアクセス ポリシーを作成します。

3. MFA の除外を調整します。

4. 新しい条件付きアクセス ポリシーを作成します。

ヒント

セキュリティの既定値が有効になっている場合は、新しい条件付きアクセス ポリシーを作成できますが、有効にすることはできません。 セキュリティの既定値をオフにした後、条件付きアクセス ポリシーを有効にすることができます。

手順 1: セキュリティの既定値をオフにする

セキュリティの既定値と条件付きアクセス ポリシーを同時に有効にすることはできません。そのため、最初に行う必要があるのは、セキュリティの既定値をオフにすることです。

手順については、この記事の「 セキュリティの既定値を管理する 」セクションを参照してください。

手順 2: セキュリティの既定値でポリシーを再作成するためのベースライン条件付きアクセス ポリシーを作成する

セキュリティの既定値のポリシーは、すべての組織に対して Microsoft が推奨するベースラインであるため、他の条件付きアクセス ポリシーを作成する前に、条件付きアクセスでこれらのポリシーを再作成することが重要です。

条件付きアクセスの次のテンプレートは、セキュリティの既定値でポリシーを再作成します。

• すべてのユーザーに対して MFA を要求する
• 管理者に MFA を要求する^*
• 従来の認証をブロックする
• Azure 管理に MFA を要求する

^*代わりに、 管理者にフィッシング耐性 MFA を要求する を使用して、セキュリティ体制を改善できます。

これらのテンプレートを使用して条件付きアクセス ポリシーを作成するには、次の手順を実行します。

1. Microsoft Entra 管理センターで、条件付きアクセス |https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policiesの [ポリシー] ページ。

2. 条件付きアクセス |[ポリシー] ページで、[テンプレートから新しいポリシー] を選択します。

3. [ テンプレートから新しいポリシー ] ページで、[ テンプレートの選択 ] タブが選択されていることを確認します。 [ テンプレートの選択 ] タブで、[ セキュリティで保護された基盤 ] タブが選択されていることを確認します。

4. [Secure foundation]\( セキュリティで保護された基盤 \) タブで、必要なテンプレートのいずれかを選択し (たとえば、 すべてのユーザーに多要素認証を要求する)、[ 確認と作成] の順に選択します。

   ヒント

   [管理者にフィッシング耐性の多要素認証を要求する] テンプレートを見つけて選択するには、[検索] ボックスを使用します。

5. [ 確認と作成 ] タブで、次の設定を表示または構成します。

   • [基本 ] セクション:

     • ポリシー名: 既定の名前をそのまま使用するか、カスタマイズします。
     • ポリシーの状態: [オン] を選択します

   • [割り当て ] セクション: [ ユーザーとグループ ] セクションで、[ 除外されたユーザー ] の値が [現在のユーザー ] であり、変更できないことに注意してください。 MFA 要件から除外する必要があるのは 緊急アクセス アカウント のみです。 詳細については、次の手順を参照してください。

   [ 確認と作成 ] タブが完了したら、[ 作成] を選択します。

   作成したポリシーは、 条件付きアクセス |[ポリシー] ページ。

6. 残りのテンプレートに対して前の手順を繰り返します。

手順 3: MFA の除外を調整する

既定では、前の手順で作成した条件付きアクセス ポリシーには、サインインしたアカウントの除外が含まれており、ポリシーの作成時に除外を変更することはできません。

特定の個人に割り当てられず、緊急時にのみ使用されるorganizationごとに、少なくとも 2 つの緊急アクセス管理者アカウントをお勧めします。 これらのアカウントは MFA 要件から除外する必要があります。

現在のアカウントの除外を削除したり、緊急アクセス アカウントの除外を次のポリシーに追加したりする必要がある場合があります。

• すべてのユーザーに対して MFA を要求する
• 管理者に MFA を要求するか、管理者 に フィッシング耐性 MFA を要求する
• Azure 管理に MFA を要求する

カスタム条件付きアクセス ポリシーを作成する前に、緊急アクセス アカウントを作成し、次の手順を使用して MFA 関連ポリシーの除外を調整します。

1. 条件付きアクセス |https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policiesの [ポリシー] ページで、前の手順で作成した MFA 関連のポリシーのいずれかを選択します (たとえば、Azure管理に多要素認証を要求する)。

2. 開いたポリシーの詳細ページで、[割り当て>ユーザー] セクションで [すべてのユーザーが含まれ、特定のユーザーが除外されました] を選択します。

3. 表示される情報で、[ 除外 ] タブを選択します。

4. [ 除外 ] タブで、次の設定が構成されます。

   • ポリシーから除外するユーザーとグループを選択します。値 [ ユーザーとグループ ] が選択されています。

   • [除外されたユーザーとグループの選択]: 値 1 のユーザー が表示され、ポリシーの作成に使用されたユーザー アカウントが表示されます。

     • 除外されたユーザーの一覧から現在のアカウントを削除するには、[ >Remove] を選択します。

     値が 選択した 0 人のユーザーとグループ に変わり、警告テキスト [少なくとも 1 人のユーザーまたはグループを選択 ] が表示されます。

     • 除外されたユーザーの一覧に緊急アクセス アカウントを追加するには、 選択した 0 人のユーザーとグループを選択します。 開 いた [除外されたユーザーとグループの選択 ] ポップアップで、除外する緊急アクセス アカウントを見つけて選択します。 選択したユーザーが [ 選択済み ] ウィンドウに表示されます。 完了したら、[選択] を 選択します。

     ポリシーの詳細ページに戻り、[ 保存] を選択します。

5. 残りの MFA 関連ポリシーについては、前の手順を繰り返します。

ヒント

従来 の認証ポリシーのブロック には除外が必要ない可能性があるため、前の手順を使用して既存の除外を削除できます。 手順 4 で [ユーザーとグループ ] をオフにします。

条件付きアクセス ポリシーでのユーザーの除外の詳細については、「ユーザーの 除外」を参照してください。

手順 4: 新しい条件付きアクセス ポリシーを作成する

これで、ビジネス ニーズを満たす条件付きアクセス ポリシーを作成できます。 詳細については、「 条件付きアクセスのデプロイを計画する」を参照してください。

条件付きアクセス ポリシーからセキュリティの既定値に戻す

条件付きアクセス ポリシーを使用している場合、セキュリティの既定値はオフになります。 1 つ以上の条件付きアクセス ポリシーが任意の状態 (オフ、 オン、または レポートのみ) に存在する場合、セキュリティの既定値を有効にすることはできません。 セキュリティの既定値を有効にする前に、既存のすべての条件付きアクセス ポリシーを削除する必要があります。

注意

条件付きアクセス ポリシーを削除する前に、それらの設定を必ず記録してください。

条件付きアクセス ポリシーを削除するには、次の手順に従います。

1. 条件付きアクセス |https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policiesの [ポリシー] ページで、削除するポリシーを選択します。

2. 開いた詳細ページで、ページの上部にある [ 削除 ] を選択します。

3. 開 いた [確認はい ] ダイアログで、[ はい] を選択します。

すべての条件付きアクセス ポリシーを削除した後、「セキュリティの既定値を管理する」の説明に従って 、セキュリティの既定値を有効にすることができます。

ユーザーごとのレガシ MFA を管理する

Microsoft 365 では、MFA のセキュリティの既定値または条件付きアクセスを使用することを強くお勧めします。 できない場合、最後のオプションは、Microsoft Entra ID Free を介した個々のMicrosoft Entra ID アカウントの MFA です。

手順については、「ユーザーごとのMicrosoft Entra多要素認証を有効にしてサインイン イベントをセキュリティで保護する」を参照してください。

次の手順

• 管理者: ビジネス向け Microsoft 365 のアカウント セキュリティを管理する

• ユーザー:

  • 多要素認証とは

  • 登録後のサインイン

  • 追加の検証を行う方法を変更する

  • 多要素認証用に Microsoft 365 サインインを設定 し、次のビデオを参照してください。

関連コンテンツ

• 中小企業が学習を & するのに役立つ
• YouTube: Microsoft 365 小規模ビジネスヘルプ
• 多要素認証を設定する (ビデオ)
• 電話の多要素認証を有効にする (記事)
• Microsoft 365 の多要素認証 (記事)