チュートリアル: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護する

  • [アーティクル]

多要素認証 (MFA) は、サインイン・イベントの間に、ユーザが追加的な識別形態を要求されるプロ セスであります。 たとえば、携帯電話でのコード入力や指紋のスキャンが求められる場合があります。 2 つ目の認証形式を要求すると、この追加要素は、攻撃者が容易に取得したり複製したりできないため、セキュリティが向上します。

Microsoft Entra 多要素認証と条件付きアクセス ポリシーを使用すると、特定のサインイン イベント中にユーザーに MFA を要求する柔軟性が得られます。

重要

このチュートリアルでは、管理者が Microsoft Entra 多要素認証を有効にする方法について説明します。 ユーザーとして多要素認証を実行するには、「2 段階認証方法を使って職場または学校アカウントにサインインする」を参照してください。

IT チームが Microsoft Entra 多要素認証を使用する機能を有効にしていない場合、またはサインイン時に問題が発生した場合は、ヘルプ デスクに連絡して追加のサポートを依頼してください。

このチュートリアルで学習する内容は次のとおりです。

  • ユーザーのグループに対してMicrosoft Entra 多要素認証を有効にする条件付きアクセス ポリシーを作成する。
  • MFA を求めるポリシーの条件を構成する。
  • ユーザーとして多要素認証の構成と使用をテストする。

前提条件

このチュートリアルを完了するには、以下のリソースと特権が必要です。

  • Microsoft Entra ID P1 か試用版のライセンスが有効になっている稼働中の Microsoft Entra テナント。

  • 少なくとも条件付きアクセス管理者ロールのあるアカウント。 一部の MFA 設定は、認証ポリシー管理者が管理することもできます。

  • パスワードがわかっている管理者以外のアカウント。 このチュートリアルでは、このようなアカウントとして、testuser という名前のアカウントを作成しています。 このチュートリアルでは、Microsoft Entra 多要素認証を構成して使用するエンドユーザー エクスペリエンスをテストします。

  • 管理者以外のユーザーが所属するグループ。 このチュートリアルでは、このようなグループとして、MFA-Test-Group という名前のグループを作成しています。 このチュートリアルでは、このグループに対して Microsoft Entra 多要素認証を有効にします。

条件付きアクセス ポリシーを作成する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

Microsoft Entra Multi-Factor Authentication を有効にして使用する推奨の方法は、Conditional Access ポリシーを使用することです。 条件付きアクセスを使用すると、サインイン イベントに反応し、アプリケーションまたはサービスへのアクセスをユーザーに許可する前に二次的なアクションを要求するポリシーを作成および定義することができます。

条件付きアクセスによってサインイン プロセスにセキュリティを確保するしくみを示す概要図

条件付きアクセス ポリシーは、特定のユーザー、グループ、アプリに適用できます。 目標は、組織を保護しながら、アクセスを必要とするユーザーに適切なレベルのアクセスを提供することです。

このチュートリアルでは、ユーザーがサインインしたときに MFA を求める基本的な条件付きアクセス ポリシーを作成します。 このシリーズの後続のチュートリアルでは、リスクベースの条件付きアクセス ポリシーを使用して Microsoft Entra 多要素認証を構成します。

まず、次のとおり条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てます。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [保護][条件付きアクセス] の順に進み、[+ 新しいポリシー] を選択してから [新しいポリシーの作成] を選択します。

    [条件付きアクセス] ページのスクリーンショット。[新しいポリシー] を選択し、[新しいポリシーの作成] を選択します。

  3. ポリシーの名前を入力します (例: MFA Pilot)。

  4. [割り当て] で、[ユーザーまたはワークロードの ID] の下の現在の値を選択します。

    [条件付きアクセス] ページのスクリーンショット。[ユーザーまたはワークロード ID] で現在の値を選択します。

  5. [このポリシーの適用対象] で、[ユーザーとグループ] が選択されていることを確認します。

  6. [含める] で、[ユーザーとグループを選択] をオンにし、[ユーザーとグループ] をオンにします。

    新しいポリシーを作成するためのページのスクリーンショット。ユーザーとグループを指定するオプションを選択します。

    まだ割り当てられていない場合は、ユーザーとグループの一覧 (次の手順を参照) が自動的に開きます。

  7. 使用する Microsoft Entra グループ (MFA-Test-Group など) を参照して選択し、[選択] を選択します。

    ユーザーとグループの一覧のスクリーンショット。結果は文字 M F A でフィルター処理され、

ポリシーを適用するグループを選択しました。 次のセクションでは、ポリシーを適用する条件を構成します。

多要素認証の条件を構成する

条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てたので、ポリシーをトリガーするクラウド アプリまたはアクションを定義します。 これらのクラウド アプリまたはアクションは、追加の処理 (多要素認証の要求など) を要求することを決定するシナリオです。 たとえば、財務アプリケーションへのアクセスまたは管理ツールの使用には、追加の認証を要求する必要があると決定した場合などが考えられます。

多要素認証を要求するアプリを構成する

このチュートリアルでは、ユーザーがサインインするときに多要素認証を要求するように条件付きアクセス ポリシーを構成します。

  1. [クラウド アプリまたはアクション] の下の現在の値を選択し、[このポリシーの適用対象を選択する] で、[クラウド アプリ] が選択されていることを確認します。

  2. [含める] で、 [アプリを選択] を選択します。

    アプリがまだ選択されていないので、アプリの一覧 (次の手順を参照) が自動的に開きます。

    ヒント

    条件付きアクセス ポリシーの適用先として、 [すべてのクラウド アプリ] または [アプリの選択] を選択できます。 柔軟に、特定のアプリをポリシーから除外することもできます。

  3. 使用可能なサインイン イベントの一覧を参照します。 このチュートリアルでは、ポリシーがサインイン イベントに適用されるように [Windows Azure Service Management API] を選択します。 次に [選択] を選択します。

    新しいポリシーが適用されるアプリである Windows Azure サービス管理 API を選択する [条件付きアクセス] ページのスクリーンショット。

アクセスのための多要素認証を構成する

次に、アクセスの制御を構成します。 アクセスの制御を使用すると、ユーザーがアクセス権を付与されるための要件を定義できます。 承認されたクライアント アプリまたは Microsoft Entra ID にハイブリッド結合されたデバイスを使用することが必要な場合があります。

このチュートリアルでは、サインイン イベント時に多要素認証を要求するようにアクセスの制御を構成します。

  1. [アクセスの制御] で、[許可] の下の現在の値を選択し、[アクセス権の付与] をオンにします。

    [条件付きアクセス] ページのスクリーンショット。[付与] を選択し、[アクセスの付与] を選択します。

  2. [多要素認証を要求する] をオンにし、[選択] を選択します。

    アクセスを付与するためのオプションのスクリーンショット。[多要素認証が必要] を選択します。

ポリシーをアクティブ化する

構成がユーザーに及ぼす影響を確認したい場合、条件付きアクセス ポリシーを [レポート専用] に設定することができます。また、ポリシーをすぐに使用しない場合は [オフ] に設定することもできます。 このチュートリアルではテストグループのユーザーを対象としているので、ポリシーを有効にして、Microsoft Entra Multi-Factor Authentication をテストしてみます。

  1. [ポリシーの有効化] で、 [オン] を選択します。

    ポリシーを有効にするかどうかを指定する、Web ページの下部付近にあるコントロールのスクリーンショット。

  2. 条件付きアクセス ポリシーを適用するには、 [作成] を選択します。

Microsoft Entra の多要素認証をテストする

条件付きアクセス ポリシーと Microsoft Entra 多要素認証が機能していることを確認しましょう。

まず、MFA が要求されないリソースにサインインします。

  1. InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、https://account.activedirectory.windowsazure.com に移動します。

    ブラウザーのプライベート モードを使用すると、既存の資格情報がこのサインイン イベントに影響を与えるのを防ぐことができます。

  2. 管理者ではないテスト ユーザー (testuser など) でサインインします。 必ず、@ とユーザー アカウントのドメイン名を含めてください。

    このアカウントを使用して初めてサインインする場合は、パスワードを変更するように求められます。 ただし、多要素認証の構成または使用を求めるプロンプトは表示されません。

  3. ブラウザー ウィンドウを閉じます。

サインインの追加認証を要求するように条件付きアクセス ポリシーを構成しました。 この構成であるため、Microsoft Entra 多要素認証を使用するか、まだ構成していない場合は方法を構成するように要求されます。 Microsoft Entra 管理センターにサインインし、この新しい要件をテストします。

  1. InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、Microsoft Entra 管理センターにサインインします。

  2. 管理者ではないテスト ユーザー (testuser など) でサインインします。 必ず、@ とユーザー アカウントのドメイン名を含めてください。

    Microsoft Entra 多要素認証に登録して使用する必要があります。

    [More information required] (詳細情報が必要) というプロンプト。これは、このユーザーの多要素認証の方法を構成するためのプロンプトです。

  3. [次へ] を選択してプロセスを開始します。

    認証用電話、会社電話、またはモバイル アプリを認証用として構成することができます。 "認証用電話" では、テキスト メッセージと通話がサポートされます。"会社電話" では、内線のある番号への通話がサポートされます。"モバイル アプリ" では、認証の通知を受信したり、認証コードを生成したりするためのモバイル アプリの使用がサポートされます。

    [追加のセキュリティ確認] というプロンプト。これは、このユーザーの多要素認証の方法を構成するためのプロンプトです。方法として、認証用電話、会社電話、またはモバイル アプリを選択できます。

  4. 画面の指示に従って、選択した多要素認証の方法を構成します。

  5. ブラウザーのウィンドウを閉じ、Microsoft Entra 管理センターにもう一度ログインして、構成した認証方法をテストします。 たとえば、認証用にモバイル アプリを構成した場合、次のようなプロンプトが表示されます。

    サインインするには、ブラウザーのプロンプト、次に、多要素認証用に登録したデバイスのプロンプトに従います。

  6. ブラウザー ウィンドウを閉じます。

リソースをクリーンアップする

このチュートリアルの中で構成した条件付きアクセス ポリシーを使用する必要がなくなった場合は、次の手順に従ってポリシーを削除します。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [保護][条件付きアクセス] の順に進み、作成したポリシー (MFA Pilot など) を選択します。

  3. [削除] を選択し、ポリシーを削除することを確認します。

    開いた条件付きアクセス ポリシーを削除するには、ポリシーの名前の下にある [削除] を選択します。

次のステップ

このチュートリアルでは、選択したユーザー グループを対象に、条件付きアクセス ポリシーを使用して Microsoft Entra 多要素認証を有効にしました。 以下の方法を学習しました。

  • Microsoft Entra のユーザーのグループに対して Microsoft Entra 多要素認証を有効にする条件付きアクセス ポリシーを作成する。
  • 多要素認証を求めるポリシー条件を構成する。
  • ユーザーとして多要素認証の構成と使用をテストする。

セルフサービス パスワード リセット (SSPR) のパスワード ライトバックを有効にする