Microsoft Entra 多要素認証と Active Directory フェデレーションサービス (AD FS)の概要

Microsoft Entra multifactor authentication and ADFS getting started

組織が AD FS を使用して Microsoft Entra ID でオンプレミスの Active Directory をフェデレーションしている場合は、Microsoft Entra 多要素認証を使用するためのオプションが 2 つあります。

Microsoft Entra 多要素認証または Active Directory フェデレーションサービス (AD FS) を使用したクラウドリソースのセキュリティ保護
Azure Multi-Factor Authentication Server を使用したクラウドおよびオンプレミスのリソースのセキュリティ保護

Microsoft Entra MFA と AD FS を使用したリソースのセキュリティ保護の認証エクスペリエンスを次の表に要約します

認証エクスペリエンス - ブラウザーベースのアプリ	認証エクスペリエンス - 非ブラウザーベースのアプリ
Microsoft Entra MFA を使用したMicrosoft Entra リソースのセキュリティ保護	認証の第 1 段階は、AD FS を使用してオンプレミスで実行されます。第 2 段階は、クラウド認証を使用して実行される電話ベースの方式です。
Active Directory フェデレーションサービス (AD FS) を使用した Microsoft Entra リソースのセキュリティ保護	認証の第 1 段階は、AD FS を使用してオンプレミスで実行されます。第 2 段階は、要求を受け入れることによりオンプレミスで実行されます。

フェデレーションユーザーに対するアプリパスワードに関する注意事項があります。

アプリパスワードはクラウド認証を使用して検証されるため、フェデレーションはバイパスされます。フェデレーションは、アプリパスワードを設定するときにのみアクティブに使用されます。
オンプレミスのクライアントアクセス制御設定は、アプリパスワードには適用されません。
アプリパスワードでは、オンプレミスの認証ログ機能が失われます。
ディレクトリ同期のアカウントの無効化/削除には 3 時間かかり、クラウド ID のアプリのパスワードの無効化/削除も遅延します。

AD FS を使用した Microsoft Entra 多要素認証または Azure Multi-Factor Authentication Server の設定の詳細については、次の記事を参照してください:

フィードバック