Microsoft 365 Lighthouse で多要素認証を管理する

  • [アーティクル]

Microsoft 365 Lighthouse を使用すると、すべてのテナントで多要素認証 (MFA) 設定を管理できます。 多要素認証ページには、MFA 有効化の状態と特定のユーザーに対してアクションを実行する機能に関する詳細情報が表示されます。

中小企業 (SMB) のお客様の場合は、少なくともセキュリティの既定値群を有効にすることをお勧めします。 より複雑なシナリオでは、条件付きアクセスを使用して特定のポリシーを構成できます。

注:

このページでは、データの可用性が制限されているテナントに関する分析情報を提供します。

開始する前に

顧客テナントは Microsoft 365 Lighthouse 内でアクティブである必要があります。 テナントがアクティブかどうかを判断するには、「 Microsoft 365 Lighthouse テナントリストの概要」を参照してください。

MFA に登録されていないユーザーに通知する

  1. Lighthouse の左側のナビゲーション ウィンドウで、[ユーザーの多要素認証] を選択します>。

  2. 通知するユーザーを含むテナントを選択します。

  3. [ MFA に登録されていないユーザー ] タブを選択します。

  4. 通知するユーザーを含むテナントを選択します。

  5. [メールの作成] を選択します。

    既定の電子メール アプリケーションでは、選択した各ユーザーに宛てたサンプルメールが作成されます。

  6. 必要に応じて通知メールを編集します。

  7. メールを送信します。

ヒント

[ 管理者]、[ ゲスト]、または [メンバー数] を選択して、種類で一覧をフィルター処理します。 一覧内のユーザー アカウントが、MFA を必要としない緊急アクセスまたはサービス アカウントである場合は、それらのユーザー アカウントを選択し、[ ユーザーの除外] を選択します。 除外されたユーザー アカウントは、MFA に登録されていないユーザーの一覧に表示されなくなります。

注:

Lighthouse によって既定のメール クライアントが開き、MFA に登録する手順がメール メッセージに事前入力されます。 選択したすべてのユーザーが BCC 行に含まれます。 ユーザーに個別にメールを送信する場合は、ユーザー名の横にあるメール アイコンを選択できます。

別のメール アカウントを使用する場合は、ユーザーのリストをファイルにエクスポートできます。 会社のブランドを使用してカスタマイズできるサンプルメールテンプレートをダウンロードすることもできます。

MFA 登録からユーザーを除外する

  1. Lighthouse の左側のナビゲーション ウィンドウで、[ユーザーの多要素認証] を選択します>

  2. 除外するユーザーを含むテナントを選択します。

  3. [ MFA に登録されていないユーザー ] タブを選択します。

  4. 除外するユーザーを選択します。

  5. [ ユーザーの除外] を選択します

  6. [ ユーザーの除外 ] ウィンドウで、[ 変更の保存] を選択して、Lighthouse とテナントの両方に変更を保存します。

注:

Microsoft 365 Lighthouse - MFA の除外セキュリティ グループが、MFA を必要とするテナントの条件付きアクセス ポリシーと、Lighthouse のテナントの展開計画の適用可能な展開タスクから除外されていることを確認します。

MFA に登録されていないユーザーのサインインをブロックする

  1. Lighthouse の左側のナビゲーション ウィンドウで、[ユーザーの多要素認証] を選択します>。
  2. ブロックするユーザーを含むテナントを選択します。
  3. [ MFA に登録されていないユーザー ] タブを選択します。
  4. ブロックするユーザーを選択します。
  5. [ サインインのブロック] を選択します
  6. [サインイン状態の管理] ウィンドウ 、[ ユーザーのサインインをブロックする] を選択します。
  7. [保存] を選択します。

注:

共有メールボックス アカウントまたは非アクティブなユーザー アカウントが MFA に登録されていないユーザーの一覧に表示される場合は、それらのアカウントのサインインをブロックして一覧から削除することをお勧めします。

ユーザーをブロックすると、このユーザーとして誰もサインインできなくなります。パスワードやユーザー名が侵害される可能性があると思われる場合は、お勧めします。 ユーザーをブロックすると、そのアカウントの新しいサインインが直ちに停止されます。 アカウントがサインインしている場合、アカウントは 60 分以内にすべての Microsoft サービスから自動的にサインアウトされます。 これにより、アカウントはメールの受信を停止せず、アカウント データは削除されません。

[除外されたユーザー] グループからユーザーを削除する

  1. Lighthouse の左側のナビゲーション ウィンドウで、[ユーザーの多要素認証] を選択します>。
  2. 削除するユーザーを含むテナントを選択します。
  3. [ ユーザーの除外 ] タブを選択します。
  4. 削除するユーザーを選択します。
  5. 削除を選択します。
  6. 確認メッセージで、[削除] を選択 します

注:

Lighthouse に一覧表示されている除外されたユーザーは、現在のメンバーシップ Microsoft 365 Lighthouse - MFA 除外 セキュリティ グループを反映しますが、MFA を必要とするテナントの条件付きアクセス ポリシーから、または Lighthouse のテナントの展開計画の適用可能な展開タスクからグループが除外されていることを確認しません。

次の手順

MFA が有効になると、Microsoft Entra セルフサービス パスワード リセット (SSPR) を有効にすることができます。 SSPR を使用すると、ユーザーは管理者やヘルプ デスクに関与することなく、パスワードを変更またはリセットできます。 詳細については、「 Microsoft 365 Lighthouse でのセルフサービス パスワード リセットの管理」を参照してください。

関連コンテンツ

Lighthouse での多要素認証の概要 (記事)
Microsoft Entra 多要素認証の展開を計画 する (記事)
セキュリティの既定値とは (記事)
条件付きアクセスとは (記事)
ユーザーごとの MFA から条件付きアクセスにユーザーを変換する方法の説明 (記事)