多要素認証について説明する
多要素認証は、サインイン プロセスでユーザーに別の形式の ID (携帯電話に示されるコードや指紋スキャンなど) を求めるプロセスです。
多要素認証は、ユーザーにとって単純なままで、ID のセキュリティが大幅に強化されます。 追加の認証要素は、攻撃者が取得または複製するのが困難なものである必要があります。
Microsoft Entra の多要素認証が機能するには、次が必要です。
- ユーザーが知っているもの –通常はパスワードまたは PIN
- ユーザーが持っているもの –携帯電話やハードウェア キーのように 簡単に複製されない信頼されたデバイス
- ユーザー自身 – 指紋スキャンや顔面認識などの生体認証
多要素認証の検証プロンプトは、Microsoft Entra サインイン イベントの一環として構成されます。 Microsoft Entra ID では、アプリケーションやサービスの変更を行わずに、自動的に多要素認証が要求され、処理されます。 ユーザーがサインインすると、多要素認証プロンプトが表示され、登録した追加の検証形式のいずれかを選択できます。
管理者が特定の検証方法を要求することも、ユーザーが MyAccount にアクセスして検証方法を編集または追加することもできます。
次のような追加の検証形式は、前のユニットで説明したように、Microsoft Entra の多要素認証で使用できます。
- Microsoft Authenticator アプリ
- Windows Hello for Business
- FIDO2 セキュリティ キー
- OATH ハードウェア トークン (プレビュー)
- OATH ソフトウェア トークン
- SMS
- 音声通話
セキュリティの既定値群と多要素認証
セキュリティの既定値群は、Microsoft で推奨される一連の基本 ID セキュリティ メカニズムです。 有効にすると、これらの推奨事項が自動的に組織に適用されます。 目標は、すべての組織が追加の費用なしで基本レベルのセキュリティを確実に有効にできるようにすることです。 これらの既定値群では、次のような最も一般的なセキュリティの機能と制御が有効になります。
- すべてのユーザーが Microsoft Entra 多要素認証を登録するように強制する。
- 管理者が多要素認証を使用するように強制する。
- 必要に応じて、すべてのユーザーが多要素認証を完了するように要求する。
セキュリティの既定値群は、セキュリティの状態を強化する必要があるが、どこから始めるのかわからない組織や、Free レベルの Microsoft Entra ID ライセンスを使用している組織にとって優れたオプションです。 セキュリティの既定値群は、Microsoft Entra ID P1 または P2 ライセンスまたは複雑なセキュリティ要件を持っている組織には適していない場合があります。 詳細については、「セキュリティの既定値群とは」を参照してください