Microsoft Entra 多要素認証の展開の計画

Microsoft Entra 多要素認証を導入すると、2 つ目の認証要素により追加のセキュリティ層が形成されるので、データやアプリケーションへのアクセス保護を強化できます。 組織は、条件付きアクセスを使用して多要素認証を有効化し、ソリューションを組織の特定のニーズに適合させることができます。

本デプロイ ガイドでは、Microsoft Entra 多要素認証のロールアウトのプランニングと実装の方法について説明します。

Microsoft Entra 多要素認証をデプロイするための前提条件

デプロイを開始する前に、関連するシナリオについて次の前提条件が満たされていることを確認してください。

MFA の認証方法を選択する

2 つ目の要素の認証に使用できる方法は多数あります。 使用可能な認証方法それぞれを、セキュリティ、使いやすさ、可用性の観点から評価してください。

• Windows Hello for Business
• Microsoft Authenticator アプリ
• FIDO2 セキュリティ キー
• OATH ハードウェア トークン (プレビュー提供中)
• OATH ソフトウェア トークン
• SMS による認証
• 音声通話による認証

テナントで使用する認証方法を選択する際には、それぞれの方法のセキュリティレベルと使いやすさを考慮してください。

これらの方法の強度とセキュリティレベル、および動作の詳細については、次のリソースを参照してください。

• Microsoft Entra ID で使用できる認証方法と検証方法
• 動画: 組織の安全を維持するための適切な認証方法の選択

こちらの PowerShell スクリプトを使用すると、ユーザーの MFA 構成を分析し、適切な MFA 認証方法を提案することができます。

最高の柔軟性と使いやすさを実現するには、Microsoft Authenticator アプリを使用してください。 この認証ツールは、パスワードレス、MFA プッシュ通知、OATH コードなど、優れたユーザー エクスペリエンスと複数の認証モードを提供します。 Microsoft Authenticator アプリは、米国国立標準技術研究所 (NIST) の Authenticator Assurance Level 2 要件にも適合しています。

テナントで利用可能とする認証方法をコントロールできます。 たとえば、SMS などの安全性の最も低い方法をブロックすることができます。

条件付きアクセス ポリシーをプランニングする

Microsoft Entra 多要素認証は条件付きアクセス ポリシーを使って適用されます。 これらのポリシーを使用することで、セキュリティのために必要な場合はユーザーに MFA を要求し、不要な場合はユーザーに対して何も操作を要求しないようにすることができます。

Microsoft Entra 管理センターで [保護]>[条件付きアクセス] を選択し、条件付きアクセス ポリシーを構成します。

条件付きアクセス ポリシーの作成の詳細については、「ユーザーのサインイン時に Microsoft Entra 多要素認証を要求する条件付きアクセス ポリシー」の記事を参照してください。 この記事をお読みいただくことで、以下の知識が得られます。

• ユーザー インターフェイスの基本を学習する。
• 条件付きアクセスの動作の概要を理解する。

Microsoft Entra の条件付きアクセスのデプロイに関するエンドツーエンドのガイドについては、「条件付きアクセスのデプロイ プランニング」を参照してください。

Microsoft Entra 多要素認証の一般的なポリシー

Microsoft Entra 多要素認証が必要となる一般的なユース ケースは次のとおりです。

• 管理者向け
• 特定のアプリケーション向け
• すべてのユーザー向け
• Azure 管理のため
• 信頼されていないネットワークの場所からのアクセス管理のため

ネームド ロケーション

条件付きアクセス ポリシーを管理するには、条件付きアクセス ポリシーの場所の条件によって、アクセス制御設定をユーザーのネットワーク上の場所に関連付けることができます。 IP アドレスの範囲または国や地域の論理グループを作成できるように、ネームド ロケーションを使用することをお勧めします。 これにより、特定のネームド ロケーションからのサインインをブロックする、すべてのアプリ向けのポリシーを作成できます。 なお、管理者は必ずこのポリシーの対象から除外してください。

リスクベースのポリシー

組織内で Microsoft Entra ID 保護 を使用してリスクの徴候を検出している場合は、ネームド ロケーションではなくリスクベースのポリシーを使用することを検討してください。 リスク ベースのポリシーの作成により、例えば ID 侵害の脅威がある場合にパスワードの変更を強制したり、あるいは認証情報の漏洩、匿名 IP アドレスからのサインインなど、リスクありと見なされるサインインに対して MFA を要求することができます。

リスク ポリシーには次のものが含まれます。

• すべてのユーザーに対して Microsoft Entra 多要素認証への登録を要求する
• リスクの高いユーザーに対してパスワードの変更を要求する
• サインイン リスクレベルが中以上のユーザーに対して MFA を要求する

ユーザー認証を、ユーザー個別の MFA から条件付きアクセス ベースの MFA へと移行させる

ユーザー個別の MFA によりユーザーが有効化されており、かつMicrosoft Entra 多要素認証を適用している場合は、すべてのユーザーについて条件付きアクセスを有効にしたうえで、ユーザーごとの多要素認証を手動で無効にすることをお勧めします。 詳細については、「条件付きアクセス ポリシーの作成」を参照してください。

ユーザー セッションの有効期間をプランニングする

多要素認証のデプロイをプランニングする際には、ユーザーにどの程度の頻度で入力を求めるかを検討することが重要です。 ユーザーに頻繁に資格情報を求めることは一見妥当に思われますが、じつは悪影響を及ぼすこともあります。 深く考えずに認証情報を入力することにユーザーが慣れてしまうと、不正な認証情報プロンプトに対して不用意に情報を渡してしまう恐れがあるからです。 Microsoft Entra ID には、認証を要求する頻度を決定する複数の設定項目があります。 ビジネス面のニーズおよびユーザーのニーズをよく検討して、貴社環境において最適のバランスを実現する設定を構成してください。

プライマリ更新トークン (PRT) 付きデバイスの使用によりエンド ユーザーのエクスペリエンスを向上させるとともに、特定のビジネスユース ケースについてのみサインイン頻度ポリシーを適用してセッションの有効期間を短縮することをお勧めします。

詳細については、「再認証プロンプトを最適化し、Microsoft Entra 多要素認証のセッション有効期間について理解する」を参照してください。

ユーザー登録をプランニングする

多要素認証のすべてのデプロイに共通する重要な手順の一つが、Microsoft Entra 多要素認証を使用できるようユーザーに登録してもらうことです。 音声や SMS などの認証方法では事前登録が可能ですが、Authenticator アプリのような他の認証方法ではユーザーとのやり取りが必要となります。 管理者は、ユーザーがメソッドを登録する方法を決定する必要があります。

SSPR と Microsoft Entra multifactor での統合された登録

Microsoft Entra 多要素認証とセルフサービス パスワード リセット (SSPR) を組み合わせた登録エクスペリエンスにより、ユーザーは MFA と SSPR の両方に統合されたエクスペリエンスで登録できます。 SSPR では、ユーザーは、Microsoft Entra 多要素認証に使用するのと同じ方法を使用して、セキュリティで保護された方法でパスワードをリセットすることができます。 機能とエンド ユーザー エクスペリエンスを確実に理解するには、「統合されたセキュリティ情報の登録の概要」を参照してください。

予定されている変更、登録要件、必要なユーザー操作について、ユーザーにあらかじめ通知することが重要です。 貴社ユーザーに新しいエクスペリエンスの導入に向けて準備していただき、スムーズなロールアウトを実現するために、通信テンプレートとユーザー ドキュメントをご用意しています。 ユーザーを https://myprofile.microsoft.com に誘導し、そのページの [セキュリティ情報] リンクを選択して登録してもらいます。

Microsoft Entra ID 保護への登録

Microsoft Entra ID 保護は、Microsoft Entra 多要素認証スキームに、登録ポリシーと、自動化されたリスクの検出・修復ポリシーの両面で貢献します。 ポリシーの作成により、ID 侵害の脅威があるときにパスワードの変更を強制したり、あるいはサインインにリスクがあると認められるときに MFA を要求することができます。 Microsoft Entra ID 保護を使用する場合は、次に対話形式でサインインするときにユーザーに登録を求めるよう、Microsoft Entra 多要素認証登録ポリシーを構成してください。

Microsoft Entra ID 保護を使用しない登録

Microsoft Entra ID 保護を有効にするライセンスがない場合、ユーザーに対して、次にサインインで MFA が必要となったときに登録を求めます。 ユーザーに MFA 使用を求める要求に関しては、条件付きアクセス ポリシーを使用して、HR システムなどの頻繁に使用されるアプリケーションを対象にすることができます。 ユーザーのパスワードが侵害された場合、条件付きアクセスポリシーを MFA 登録に利用して、ユーザーのアカウントをコントロールすることができます。 そのため、信頼できるデバイスと場所を必要とする条件付きアクセス ポリシーでセキュリティ登録プロセスを保護することをお勧めします。 また、一時アクセス パスも併せて要求することにより、このプロセスをさらに強力なセキュリティで保護することができます。 管理者によって発行される、強力な認証要件を満たす期間限定のパスコードを、パスワードレス認証などの他の認証方法をオンボードするまでの期間に使用できます。

登録されたユーザーのセキュリティを強化する

SMS または音声通話を使用して MFA に登録されたユーザーがいる場合、それらのユーザーをMicrosoft Authenticator アプリなどのより安全な方法に移行できます。 Microsoft では、ユーザーに対してサインイン時に Microsoft Authenticator アプリのセットアップを求める機能のパブリック プレビューを提供しています。 これらのセットアッププロンプトをグループ別に設定することで、誰にセットアップを求めるかをコントロールでき、これにより、対象を限定したキャンペーンでユーザーをより安全な認証方法に移行できます。

復旧シナリオをプランニングする

既に説明したように、ユーザーに複数の MFA 方法に登録してもらうことで、1 つの方法が使用できない場合にバックアップ方法で認証できるようにしてください。 ユーザーが使用できるバックアップの認証方法がない場合は、次のようにすることができます。

• ユーザーが自分の認証方法を管理できるように、各ユーザーに一時アクセス パスを提供します。 また、リソースに一時的にアクセスできる一時アクセス パスを提供することもできます。
• そのうえで、管理者としてそれらのユーザーの認証方法を更新してください。 これを行うには、Microsoft Entra 管理センターでユーザーを選び、[保護]>[認証方法] を選んで、認証方法を更新します。

オンプレミスのシステムとの統合をプランニングする

Microsoft Entra ID に対して直接認証を行い、最新の認証 (WS-Fed、SAML、OAuth、OpenID Connect) を使用するアプリケーションでは、条件付きアクセス ポリシーを使用できます。 しかし、一部のレガシおよびオンプレミスのアプリケーションでは、Microsoft Entra ID に対して直接認証が行われず、Microsoft Entra 多要素認証を使用するには追加の手順が必要となります。 Microsoft Entra アプリケーション プロキシまたはネットワーク ポリシー サービスを使用してそれらを統合することができます。

AD FS リソースとの統合

Active Directory フェデレーション サービス (AD FS) でセキュリティ保護されているアプリケーションを Microsoft Entra ID に移行することをお勧めします。 ただし、これらを Microsoft Entra ID に移行する準備ができていない場合は、Azure 多要素認証アダプターを AD FS 2016 以降で使用できます。

組織が Microsoft Entra ID とのフェデレーション認証を採用している場合、オンプレミスとクラウドの両方で、AD FS リソースを使用した認証プロバイダーとして Microsoft Entra 多要素認証を構成できます。

RADIUS クライアントと Microsoft Entra 多要素認証について

RADIUS 認証を使用しているアプリケーションの場合は、クライアント アプリケーションを最新のプロトコル (SAML、Open ID Connect、Microsoft Entra ID 上の OAuth など) に移行することをお勧めします。 アプリケーションを更新できない場合は、ネットワーク ポリシー サーバー (NPS) 拡張機能 を展開できます。 ネットワーク ポリシー サーバー (NPS) 拡張機能は、RADIUS ベースのアプリケーションと Microsoft Entra 多要素認証をつなぐアダプターとなり、2 番目の認証要素として機能します。

一般的な統合

多くのベンダーでアプリケーションの SAML 認証がサポートされるようになりました。 可能な場合は、これらのアプリケーションを Microsoft Entra ID とフェデレーションし、条件付きアクセスを使用して MFA を適用することをお勧めします。 ベンダーが最新の認証方式をサポートしていない場合は、NPS 拡張機能を使用することができます。 一般的な RADIUS クライアントの統合には、リモート デスクトップ ゲートウェイや VPN サーバーなどのアプリケーションが含まれます。

その他の統合を次に示します。

• Citrix Gateway

  Citrix Gateway は、RADIUS と NPS の拡張機能統合と、SAML 統合の両方をサポートしています。

• Cisco VPN

  • Cisco VPN は、RADIUS 認証と SAML 認証の両方のSSOをサポートしています。
  • RADIUS 認証から SAML認証 に移行することで、NPS 拡張機能をデプロイすることなく、Cisco VPN を統合できます。

• すべての VPN

Microsoft Entra 多要素認証をデプロイする

Microsoft Entra 多要素認証のロールアウト計画には、最初のパイロット デプロイと、それに続くサポート キャパシティ内での段階的デプロイを含めてください。 まず条件付きアクセス ポリシーをパイロット ユーザーの小さなグループに適用することによってロールアウトを開始します。 パイロット ユーザーへの影響、使用されたプロセス、および登録動作を評価した後、ポリシーにさらにグループを追加するか、もしくは既存のグループにユーザーを追加してロールアウトを進めてください。

以下のステップに従います。

1. 必要な前提条件を満たす
2. 選択した認証方法を構成する
3. 条件付きアクセス ポリシーを構成する
4. セッションの有効期間設定を構成する
5. Microsoft Entra 多要素認証の登録ポリシーを構成する

Microsoft Entra 多要素認証を管理する

このセクションでは、Microsoft Entra 多要素認証のレポートとトラブルシューティングに関する情報を提供します。

レポートと監視

Microsoft Entra ID は、技術的な分析情報とビジネス上の分析情報の提供、デプロイの進行状況の追跡、および個々のユーザーが MFA サインインに成功したかどうかの確認などの各種レポートを提供します。 ビジネスアプリケーションや技術アプリケーションの各所有者に、組織の要件に基づいてこれらのレポートの管理を割当て、レポートを活用してもらってください。

認証方法アクティビティのダッシュボードを使用することで、組織全体での認証方法の登録と使用を監視できます。 これにより、どのような認証方法が登録され、どのように活用されているかを把握できます。

MFA イベントを確認するためのサインイン レポート

Microsoft Entra サインイン レポートには、ユーザーに MFA を要求したときの認証詳細と、条件付きアクセス ポリシーが使用されていたかどうかの記録が含まれます。 また、PowerShell を使用して、Microsoft Entra 多要素認証に登録されているユーザーのレポートを作成することもできます。

現在、クラウド MFA アクティビティの NPS 拡張機能と AD FS のログがサインイン ログに含まれるようになり、それに伴いこれらの内容はアクティビティ レポートには公開されなくなっています。

追加の Microsoft Entra 多要素認証レポートが必要な場合など、詳しい内容については「Microsoft Entra 多要素認証イベントのレビュー」を参照してください。

Microsoft Entra 多要素認証のトラブルシューティング

一般的な問題については、「Microsoft Entra 多要素認証のトラブルシューティング」を参照してください。

ガイド付きチュートリアル

この記事内の多くの推奨事項に関するガイド付きチュートリアルについては、「Microsoft 365 多要素認証の構成のためのガイド付きチュートリアル」を参照してください。

次のステップ

その他の ID 機能をデプロイする