Microsoft Authenticator を設定してもらうための登録キャンペーンを実行する方法
サインイン時に Microsoft Authenticator をセットアップするようにユーザーにナッジすることができます。 ユーザーは通常のサインインを行い、いつもどおりに多要素認証を実行した後に、Microsoft Authenticator を設定するように求められます。 ユーザーまたはグループを含めるか除外して、アプリをセットアップするようにナッジするユーザーを制御することができます。 これにより、対象を絞ったキャンペーンで、安全性の低い認証方法から Authenticator にユーザーを移行させることができます。
また、ユーザーがナッジを延期 ("一時停止") できる日数を定義することもできます。 ユーザーが [今はしない] をタップしてアプリの設定を延期すると、再通知期間が経過した後、次回の MFA の試行時に再びナッジされます。 再通知の回数は無制限、または 3 回まで (これを過ぎると登録が必要になります) のどちらかに決めることができます。
Note
ユーザーが通常のサインインを行う際、Authenticator をセットアップするようユーザーに求める前に、セキュリティ情報の登録を管理する条件付きアクセス ポリシーが適用されます。 たとえば、内部ネットワークでのみセキュリティ情報の更新を行うことが条件付きアクセス ポリシーによって求められている場合、その内部ネットワーク上にいるのでない限り、ユーザーは Authenticator のセットアップを求められません。
前提条件
- 組織で Microsoft Entra の多要素認証を有効にしている必要があります。 Microsoft Entra ID のすべてのエディションには、Microsoft Entra の多要素認証が含まれます。 登録キャンペーンにその他のライセンスは必要ありません。
- ユーザーが、自分のアカウントでプッシュ通知用に Authenticator アプリをまだセットアップしていない。
- 管理者は、次のいずれかのポリシーを使用して、Authenticator アプリのユーザーを有効にする必要があります。
- MFA 登録ポリシー: ユーザーが、モバイル アプリ を使用した通知に対して有効になっている必要があります。
- 認証方法ポリシー: ユーザーが、Authenticator アプリに対して有効になっている必要があり、認証モードが [任意] または [プッシュ] に設定されている必要があります。 ポリシーが [パスワードレス] に設定されている場合、ユーザーはナッジの対象になりません。 認証モードを設定する方法の詳細については、「Microsoft Authenticator を使ったパスワードレスのサインインを有効にする」を参照してください。
ユーザー エクスペリエンス
まず、Microsoft Entra 多要素認証 (MFA) を使用して正常に認証する必要があります。
Authenticator プッシュ通知を有効にしていて、まだ設定していない場合は、サインイン エクスペリエンスを向上させるために Authenticator を設定するように求められます。
Note
パスワードレス パスキー、セルフサービス パスワード リセット、セキュリティの既定値など、その他のセキュリティ機能も設定を求められる場合があります。
[次へ] をタップし、Authenticator アプリを設定します。
まず、アプリをダウンロードします。
Authenticator アプリのセットアップ方法を確認します。
QR コードをスキャンします。
本人確認をします。
デバイスでテスト通知を承認します。
これで Authenticator アプリが正常に設定されました。
Authenticator アプリをインストールしない場合は、[今はしない] をタップして、プロンプトを最大 14 日間再通知できます。この日数は管理者が設定できます。無料および試用版サブスクリプションのユーザーは、プロンプトを最大 3 回再通知できます。
Microsoft Entra 管理センターを使って登録キャンペーン ポリシーを有効にする
Microsoft Entra 管理センターで登録キャンペーンを有効にするには、次の手順を実行します。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]>[認証方法]>[登録キャンペーン] の順に参照し、[編集] をクリックします。
[状態]:
- [有効] を選択して、登録キャンペーンをすべてのユーザー向けに有効化します。
- [Microsoft マネージド] を選択して、登録キャンペーンを音声通話またはテキスト メッセージのユーザーのみに対して有効化します。 [Microsoft マネージド] 設定を選択した場合、Microsoft が既定値を設定できます。 詳細については、「Microsoft Entra ID の認証方法の保護」を参照してください。
登録キャンペーンの状態が [有効] または [Microsoft マネージド] に設定されている場合は、[限られた数のスヌーズ] を使用してエンド ユーザーのエクスペリエンスを構成できます。
- [限られた数のスヌーズ] が有効になっている場合、ユーザーは割り込みプロンプトを 3 回スキップできますが、それ以降は Authenticator の登録が強制されます。
- [限られた数のスヌーズ] が無効になっている場合、ユーザーがスヌーズできる回数は無制限となり、Authenticator の登録を回避できます。
[スヌーズできる日数] では、連続する 2 回の割り込みプロンプト間の期間を設定します。 たとえば、3 日に設定されている場合、登録をスキップしたユーザーは、3 日間は再度プロンプトが表示されません。
登録キャンペーンから除外するユーザーまたはグループを選択してから、[保存] をクリックします。
Graph エクスプローラーを使用して登録キャンペーンのポリシーを有効にする
Microsoft Entra 管理センターを使う方法に加え、Graph エクスプローラーを使ってキャンペーン ポリシーを登録することもできます。 登録キャンペーンのポリシーを有効にするには、Graph API を使用して認証方法ポリシーを使用する必要があります。 少なくとも認証ポリシー管理者ロールが割り当てられているユーザーは、ポリシーを更新できます。
Graph エクスプローラーを使用してポリシーを構成するには、次の手順を実行します。
Graph エクスプローラーにサインインし、Policy.Read.All および Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意していることを確認します。
[アクセス許可] パネルを開きます。
認証方法ポリシーを取得します。
GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
ポリシーの registrationEnforcement および authenticationMethodsRegistrationCampaign セクションを更新して、ユーザーまたはグループへのナッジを有効にします。
ポリシーを更新するには、更新された registrationEnforcement セクションのみを使用して、認証方法ポリシーに対して PATCH を実行します。
PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
次の表に、authenticationMethodsRegistrationCampaign のプロパティの一覧を示します。
Name | 指定できる値 | 説明 |
---|---|---|
snoozeDurationInDays | 範囲: 0 – 14 | ユーザーが再度微調整されるまでの日数を定義します。 値が 0 の場合、ユーザーは MFA を試行するたびにナッジされます。 既定値: 1 日 |
enforceRegistrationAfterAllowedSnoozes | "true" "false" |
3 回の再通知後にユーザーに設定を求めるかどうかを指定します。 true の場合、ユーザーは登録が必要です。 false の場合、ユーザーは無制限に再通知を受けられます。 既定値: true |
state | "enabled" "disabled" "default" |
この機能を有効または無効にすることができます。 この構成が明示的に設定されていない場合は、既定値が使用され、Microsoft Entra ID の既定値がこの設定に使用されます。 すべてのテナントの、音声通話とテキスト メッセージのユーザーに対して既定の状態が有効になります。 必要に応じて、状態を有効 (すべてのユーザーに対して) または無効に変更してください。 |
excludeTargets | N/A | 機能の対象としないさまざまなユーザーとグループを除外できます。 ユーザーが除外されるグループと含められるグループのメンバーである場合、そのユーザーは機能から除外されます。 |
includeTargets | N/A | 機能の対象にするさまざまなユーザーとグループを含めることができます。 |
次の表に、includeTargets のプロパティの一覧を示します。
Name | 指定できる値 | 説明 |
---|---|---|
targetType | "user" "group" |
対象となるエンティティの種類。 |
ID | GUID 識別子 | 対象となるユーザーまたはグループの ID。 |
targetedAuthenticationMethod | "microsoftAuthenticator" | 認証方法のユーザーに登録を求めるメッセージが表示されます。 許容される値は "microsoftAuthenticator" のみです。 |
次の表に、excludeTargets のプロパティの一覧を示します。
Name | 指定できる値 | 説明 |
---|---|---|
targetType | "user" "group" |
対象となるエンティティの種類。 |
ID | 文字列 | 対象となるユーザーまたはグループの ID。 |
例
作業を開始するために使用できるいくつかの JSON の例を次に示します。
すべてのユーザーを含める
テナントのすべてのユーザーを含める場合は、ユーザーとグループの関連する GUID を使用して次の JSON の例を更新します。 次に、Graph エクスプローラーにそれを貼り付けて、エンドポイントで
PATCH
を実行します。{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "all_users", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
特定のユーザーまたはユーザーのグループを含める
テナントの特定のユーザーまたはグループを含める場合は、ユーザーとグループの関連する GUID を使用して次の JSON の例を更新します。 次に、Graph エクスプローラーにその JSON を貼り付けて、エンドポイントで
PATCH
を実行します。{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
特定のユーザーまたはグループを含めたり除外したりする
テナントの特定のユーザーまたはグループを含めたり除外したりする場合は、ユーザーとグループの関連する GUID を使用して次の JSON の例を更新します。 次に、Graph エクスプローラーにそれを貼り付けて、エンドポイントで
PATCH
を実行します。{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user" } ], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
JSON に挿入するユーザーの GUID を識別する
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[管理] ブレードで、 [ユーザー] をタップします。
[ユーザー] ページで、対象とする特定のユーザーを識別します。
特定のユーザーをタップすると、ユーザーの GUID である [オブジェクト ID] が表示されます。
JSON に挿入するグループの GUID を識別する
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[管理] ブレードで、 [グループ] をタップします。
[グループ] ページで、対象にする特定のグループを識別します。
そのグループをタップして、 [オブジェクト ID] を取得します。
制限事項
このナッジは、Android または iOS が実行されているモバイル デバイスには表示されません。
よく寄せられる質問
登録キャンペーンは MFA Server で使用できますか?
いいえ。この登録キャンペーンは Microsoft Entra 多要素認証を使用するユーザーにのみ提供されます。
アプリケーション内でユーザーを微調整できますか?
はい、一部のアプリケーションでは埋め込みブラウザー ビューをサポートしています。 Microsoft では、既定値で使用できるエクスペリエンスや Windows の設定に埋め込まれたブラウザー ビューでユーザーを誘導することはありません。
モバイル デバイスでユーザーにナッジできますか?
この登録キャンペーンは モバイル デバイスでは提供されません。
キャンペーンはどのくらいの期間実行されますか?
このキャンペーンを有効にできる期間は任意です。 キャンペーンの実行を終了するときは、管理センターまたは API を使ってキャンペーンを無効にします。
ユーザーのグループにそれぞれ異なる再通知期間を設定することはできますか?
いいえ。 プロンプトの再通知期間は、テナント全体の設定であり、スコープ内のすべてのグループに適用されます。
パスワードレスの電話によるサインインをセットアップするようにユーザーにナッジできますか?
この機能は、MFA がセットアップされているユーザーに Authenticator アプリを使用するように促す機能を管理者に提供することを目的としています。パスワードレスのサインイン用ではありません。
サード パーティの認証システム アプリを使用してサインインするユーザーにナッジは表示されますか?
はい。 ユーザーに対して登録キャンペーンが有効になっており、プッシュ通知用に Microsoft Authenticator がセットアップされていない場合、ユーザーは Authenticator をセットアップするように促されます。
TOTP コード用にのみ Authenticator がセットアップされているユーザーにナッジは表示されますか?
はい。 ユーザーに対して登録キャンペーンが有効になっており、プッシュ通知用に Authenticator アプリがセットアップされていない場合、ユーザーは Authenticator でプッシュ通知をセットアップするように促されます。
ユーザーが MFA の登録を行ったばかりの場合、同じサインイン セッションでナッジされますか?
不正解です。 適切なユーザー エクスペリエンスを提供するために、ユーザーは、他の認証方法を登録したのと同じセッションでは、Authenticator をセットアップするようにナッジされません。
別の認証方法を登録するようにユーザーにナッジすることはできますか?
いいえ。 現時点では、この機能は、Authenticator アプリのみをセットアップするようにユーザーにナッジすることを目的としています。
再通知オプションを非表示にして、ユーザーに Authenticator アプリのセットアップを強制する方法はありますか?
ユーザーがアプリの設定を 3 回まで延期できるように、[Limited number of snoozes] (再通知回数の制限) を [有効] に設定します。これを過ぎると設定が必要になります。
自分が Microsoft Entra の多要素認証を使用していない場合、ユーザーにナッジできますか?
不正解です。 ナッジは、Microsoft Entra の多要素認証サービスを使って MFA を実行するユーザーに対してのみ機能します。
テナントのゲスト/B2B ユーザーにナッジできますか?
はい。 ポリシーを使用して、ナッジの対象範囲として設定されている場合。
ユーザーがブラウザーを閉じた場合はどうなりますか?
これは再通知と同じです。 3 回の再通知後、ユーザーにセットアップが必要な場合、次回のサインイン時に、プロンプトが表示されます。
"セキュリティ情報の登録" の条件付きアクセス ポリシーがある場合に、一部のユーザーにナッジが表示されないのはなぜですか?
[セキュリティ情報の登録] ページへのアクセスをブロックする条件付きアクセス ポリシーがユーザーに適用される場合、ナッジは表示されません。
サインイン中にユーザーに利用規約 (ToU) 画面が表示されると、ユーザーにナッジが表示されますか?
サインイン中にユーザーに 利用規約 (ToU) 画面が表示された場合、ナッジは表示されません。
条件付きアクセスのカスタム コントロールがサインインに適用される場合、ユーザーにナッジが表示されますか?
条件付きアクセスのカスタム コントロールの設定により、サインイン中にユーザーがリダイレクトされた場合、ナッジは表示されません。
MFA に使用できる方法として SMS と音声を中止する計画はありますか。
いいえ、そのような計画はありません。