Microsoft Entra ID を使用して SMS ベース認証用にユーザーを構成して有効にする

Entra SMS ベースの認証を使用すると、ユーザーは登録された電話番号と SMS 経由で送信されたワンタイム パスコード (OTP) のみを使用してサインインできます。ユーザー名やパスワードは必要ありません。 これは、通常、MFA メソッドとしてユーザー名、パスワード、SMS が必要な Entra SMS 多要素認証とは異なります。 この認証方法は、主に、fronline worker のサインイン エクスペリエンスを簡略化するように設計されており、インフォメーション ワーカー (IW) には推奨されません。

Entra には、組織が現場の共有デバイス シナリオを検討する場合がある 、QR コード認証 と呼ばれる現場担当者向けの代替アプローチのパブリック プレビューもあります。

この記事の残りの部分では、Microsoft Entra ID で選択したユーザーまたはグループの最初の要素として SMS ベースの認証を有効にする方法について説明します。 SMS ベースのサインインの使用をサポートするアプリの一覧については、「SMS ベースの 認証に対するアプリのサポート」を参照してください。

開始する前に

開始する前に、いくつかの重要なポイントを次に示します。

• SMS 認証は、現場担当者 に対してのみ 有効にする必要があります。
• SMS 認証を有効にする場合は、現場担当者の職場または自宅へのアクセスにセキュリティ制御を使用するためのベスト プラクティスに従ってください。 詳細については、「 現場担当者を保護するためのベスト プラクティス」を参照してください。
• 現場担当者に対して SMS 認証を有効にする場合は、フィッシング対応ではない QR コード認証 (プレビュー) の使用に移行することをお勧めします。 詳細については、「 Microsoft Entra ID の認証方法 - QR コード認証方法 (プレビュー)」を参照してください。

アプリケーションやサービスへのサインインを簡素化してセキュリティで保護するために、Microsoft Entra ID には複数の認証オプションが用意されています。 SMS ベースの認証を使用すると、frontlone worker などのユーザーは、サインインの最初の要素として SMS コードを入力できます。 ユーザーは、ユーザー名とパスワードを指定したり、知ったりする必要はありません。

ユーザーは、ID 管理者によってアカウントが作成された後、サインイン プロンプトで電話番号を入力できます。 ユーザーは、サインインを完了するために指定できる SMS 認証コードを受け取ります。 この認証方法を使用すると、特に第一線で働くユーザーにとっては、アプリケーションやサービスへのアクセスが簡単になります。

[前提条件]

この記事を完了するには、以下のリソースと特権が必要です。

• 有効な Azure サブスクリプション
  • Azure サブスクリプションをお持ちでない場合は、 アカウントを作成します。
• サブスクリプションに関連付けられている Microsoft Entra テナント。
  • 必要に応じて、 Microsoft Entra テナントを作成 するか、 Azure サブスクリプションをアカウントに関連付けます。
• SMS ベースの認証を有効にするには、Microsoft Entra テナントに少なくとも 認証ポリシー管理者 ロールが必要です。
• SMS 認証方法ポリシーで有効になっている各ユーザーは、その方法を使用しない場合でも、ライセンスを取得している必要があります。 有効な各ユーザーは、次の Microsoft Entra ID、EMS、または Microsoft 365 ライセンスのいずれかを保持している必要があります。
  • Microsoft 365 F1 または F3
  • Microsoft Entra ID P1 または P2
  • Enterprise Mobility + Security (EMS) E3 または E5 または Microsoft 365 E3 または E5
  • Office 365 F3

既知の問題

既知の問題の一部をここに挙げます。

• 現在、SMS ベース認証には Microsoft Entra 多要素認証との互換性はありません。
• Teams を除き、SMS ベース認証には、ネイティブな Office アプリケーションとの互換性はありません。
• B2B アカウントの場合、SMS ベース認証はサポートされていません。
• フェデレーション ユーザーは、ホーム テナントでは認証されません。 クラウドでのみ認証されます。
• 既定のサインイン方法を電話番号に対するテキスト メッセージまたは音声通話にしている場合は、多要素認証時に、SMS コードか音声呼び出しを自動的に発信します。 2021 年 6 月の時点で、一部のアプリではユーザーに テキスト または 通話 を最初に選択するよう求められます。 このオプションにより、さまざまなアプリに対して必要以上に多くのセキュリティ コードを送信しなくて済みます。 既定のサインイン方法が Microsoft Authenticator アプリ (強くお勧めします) の場合、アプリ通知は自動的に送信されます。
• テナント間同期 では、SMS サインインが有効になっているユーザーはサポートされません。

SMS ベースの認証方法を有効にする

組織で SMS ベース認証を有効にして使用するには、次の 3 つの主要な手順があります。

• 認証方法ポリシーを有効にする。
• SMS ベースの認証方法を使用できるユーザーまたはグループを選択する。
• 各ユーザー アカウントに電話番号を割り当てる。
  • この電話番号は、(この記事で示されている) Microsoft Entra 管理センターと "マイ スタッフ" または "マイ アカウント" で割り当てることができます。

まず、Microsoft Entra テナントの SMS ベース認証を有効にしましょう。

1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

2. Entra ID>認証方法>ポリシー に移動します。

3. 使用可能な認証方法の一覧から、[ SMS] を選択します。

   

4. [有効にする] を選択し、[ターゲット ユーザー] を選択します。 [すべてのユーザー] または [ユーザーとグループの選択] で SMS ベースの認証を有効にすることができます。

   注

   第 1 要素に SMS ベースの認証を構成するには (つまり、ユーザーがこの方法でサインインできるようにするには)、[ サインインに使用 する] チェック ボックスをオンにします。 これをオフのままにすると、SMS ベースの認証は多要素認証とセルフサービス パスワード リセットのみに使用できるようになります。

   

認証方法をユーザーとグループに割り当てる

Microsoft Entra テナントで SMS ベース認証が有効になっている状態で、この認証方法の使用が許可されるようにいくつかのユーザーまたはグループを選択します。

1. [SMS 認証ポリシー] ウィンドウで、[ ターゲット] を [ユーザーの選択] に設定します。
2. [ ユーザーまたはグループの追加] を選択し、 Contoso ユーザー や Contoso SMS ユーザーなどのテスト ユーザーまたはグループを選択します。
3. ユーザーまたはグループを選択したら、[ 選択] を選択し、更新された認証方法ポリシーを 保存します 。

SMS 認証方法ポリシーで有効になっている各ユーザーは、その方法を使用しない場合でも、ライセンスを取得している必要があります。 特に、大規模なユーザー グループに対して機能を有効にする場合は、認証方法ポリシーで有効にするユーザーに適切なライセンスがあることを確認してください。

ユーザー アカウントに電話番号を設定する

これで、SMS ベース認証に対してユーザーが有効になりましたが、サインインするには、事前にユーザーの電話番号が Microsoft Entra ID 上でユーザー プロファイルに関連付けられている必要があります。 ユーザーはこの 電話番号を自分 の アカウントで設定することも、Microsoft Entra 管理センターを使用して電話番号を割り当てることもできます。 電話番号は、少なくとも 認証管理者 ロールを持つユーザーが設定できます。

SMS ベースのサインインに電話番号が設定されている場合は、 Microsoft Entra 多要素認証 と セルフサービス パスワード リセットでも使用できます。

1. Microsoft Entra ID を検索して選択します。

2. Microsoft Entra ウィンドウの左側にあるナビゲーション メニューから、[ユーザー] を選択 します。

3. 前のセクションで SMS ベースの認証を有効にしたユーザー ( Contoso ユーザーなど) を選択し、[ 認証方法] を選択します。

4. [ + 認証方法の追加] を選択し、[ 方法の選択 ] ドロップダウン メニューで [ 電話番号] を選択します。

   +1 xxxxxxxxx など、国コードを含むユーザーの電話番号を入力します。 Microsoft Entra 管理センターは、電話番号が正しい形式であることを検証します。

   次に、[ 電話の種類 ] ドロップダウン メニューから、必要に応じて [ モバイル]、[ 代替モバイル]、または [その他 ] を選択します。

   

   電話番号はテナント内で一意にする必要があります。 複数のユーザーに同じ電話番号を使用しようとすると、エラー メッセージが表示されます。

5. ユーザーのアカウントに電話番号を適用するには、[追加] を選択 します。

正常にプロビジョニングされると、 SMS サインインが有効になっているかどうかのチェック マークが表示されます。

SMS ベースのサインインをテストする

SMS ベースのサインインが有効になったユーザー アカウントをテストするには、次の手順を実行します。

1. https://www.office.com に新しい InPrivate または Incognito Web ブラウザー ウィンドウを開きます

2. 右上隅にある [ サインイン] を選択します。

3. サインイン プロンプトで、前のセクションでユーザーに関連付けられている電話番号を入力し、[ 次へ] を選択します。

   

4. 指定された電話番号に、SMS メッセージが送信されます。 サインイン プロセスを完了するには、SMS メッセージに記載されている 6 桁のコードをサインイン プロンプトに入力します。

   

5. これでユーザーは、ユーザー名やパスワードを入力しなくてもサインインできるようになりました。

SMS ベースのサインインをトラブルシューティングする

SMS ベースのサインインの有効化と使用に問題がある場合は、次のシナリオとトラブルシューティング手順を使用できます。 SMS ベースのサインインの使用をサポートするアプリの一覧については、「SMS ベースの 認証に対するアプリのサポート」を参照してください。

ユーザー アカウントに既に電話番号が設定されている

ユーザーが Microsoft Entra 多要素認証またはセルフサービス パスワード リセット (SSPR) に既に登録されている場合は、そのアカウントに関連付けられている電話番号が既に設定されています。 SMS ベースのサインインに使用できるように、この電話番号が自動的に利用可能になるわけではありません。

自分のアカウントに電話番号が既に設定されているユーザーには、[マイ プロファイル] ページで SMS サインインを有効にするボタンが表示されます。 このボタンを選択すると、アカウントが SMS ベースのサインインでの使用と、以前の Microsoft Entra 多要素認証または SSPR 登録に対して有効化されます。

エンド ユーザー エクスペリエンスの詳細については、 電話番号の SMS サインイン ユーザー エクスペリエンスに関する説明を参照してください。

ユーザーのアカウントに電話番号を設定しようとするとエラーが発生する

Microsoft Entra 管理センターでユーザー アカウントに電話番号を設定しようとするとエラーが発生する場合は、次に示すトラブルシューティング手順を確認してください。

1. SMS ベースのサインインに対してご自身が有効になっていることを確認します。
2. SMS 認証方法ポリシーでユーザー アカウントが有効になっていることを確認します。
3. Microsoft Entra 管理センター ( +1 4251234567 など) で検証されているように、適切な書式で電話番号を設定してください。
4. 電話番号がテナント内の他の場所に使用されていないことを確認します。
5. アカウントに音声番号が設定されていないことを確認します。 音声番号が設定されている場合は、削除してからもう一度電話番号の設定を試してください。

次のステップ

• SMS ベースのサインインの使用をサポートするアプリの一覧については、「SMS ベースの 認証に対するアプリのサポート」を参照してください。
• Microsoft Authenticator アプリや FIDO2 セキュリティ キーなど、パスワードなしで Microsoft Entra ID にサインインするその他の方法については、「 Microsoft Entra ID のパスワードレス認証オプション」を参照してください。
• Microsoft Graph REST API を使用して、SMS ベースのサインインを 有効 または 無効 にすることもできます。