次の方法で共有

チュートリアル: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護する

多要素認証 (MFA) は、サインイン・イベントの間に、ユーザが追加的な識別形態を要求されるプロ セスであります。 たとえば、携帯電話でのコード入力や指紋のスキャンが求められる場合があります。 2 つ目の認証形式を要求すると、この追加要素は、攻撃者が容易に取得したり複製したりできないため、セキュリティが向上します。

Microsoft Entra 多要素認証と条件付きアクセス ポリシーを使用すると、特定のサインイン イベント中にユーザーに MFA を要求する柔軟性が得られます。

重要

このチュートリアルでは、管理者が Microsoft Entra 多要素認証を有効にする方法について説明します。 ユーザーとして多要素認証をステップ実行するには、「 2 段階認証方法を使用して職場または学校アカウントにサインインする」を参照してください。

IT チームが Microsoft Entra 多要素認証を使用する機能を有効にしていない場合、またはサインイン時に問題が発生した場合は、ヘルプ デスクに連絡して追加のサポートを依頼してください。

このチュートリアルで学習する内容は次のとおりです。

  • ユーザーのグループに対してMicrosoft Entra 多要素認証を有効にする条件付きアクセス ポリシーを作成する。
  • MFA を求めるポリシーの条件を構成する。
  • ユーザーとして多要素認証の構成と使用をテストする。

前提条件

このチュートリアルを完了するには、以下のリソースと特権が必要です。

  • Microsoft Entra ID P1 か試用版のライセンスが有効になっている稼働中の Microsoft Entra テナント。

  • 少なくとも 条件付きアクセス管理者 ロールを持つアカウント。 一部の MFA 設定は、 認証ポリシー管理者が管理することもできます。

  • パスワードがわかっている管理者以外のアカウント。 このチュートリアルでは、 testuser という名前のアカウントを作成しました。 このチュートリアルでは、Microsoft Entra 多要素認証を構成して使用するエンドユーザー エクスペリエンスをテストします。

  • 管理者以外のユーザーが所属するグループ。 このチュートリアルでは、 MFA-Test-Group という名前のグループを作成しました。 このチュートリアルでは、このグループに対して Microsoft Entra 多要素認証を有効にします。

条件付きアクセス ポリシーを作成する

Microsoft Entra Multi-Factor Authentication を有効にして使用する推奨の方法は、Conditional Access ポリシーを使用することです。 条件付きアクセスを使用すると、サインイン イベントに反応し、アプリケーションまたはサービスへのアクセスをユーザーに許可する前に二次的なアクションを要求するポリシーを作成および定義することができます。

サインイン プロセスをセキュリティで保護するための条件付きアクセスのしくみの概要図

条件付きアクセス ポリシーは、特定のユーザー、グループ、アプリに適用できます。 目標は、組織を保護しながら、アクセスを必要とするユーザーに適切なレベルのアクセスを提供することです。

このチュートリアルでは、ユーザーがサインインしたときに MFA を求める基本的な条件付きアクセス ポリシーを作成します。 このシリーズの後続のチュートリアルでは、リスクベースの条件付きアクセス ポリシーを使用して Microsoft Entra 多要素認証を構成します。

まず、次のとおり条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てます。

  1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
  2. Entra ID>Conditional Access> Overview に移動し、[ + 新しいポリシーの作成] を選択します。

[条件付きアクセス] ページのスクリーンショット。[新しいポリシー] を選択し、[新しいポリシーの作成] を選択します。

  1. ポリシーの名前 ( MFA パイロットなど) を入力します。

  2. [ 割り当て] で、[ ユーザーまたはワークロード ID] で現在の値を選択します。

    [条件付きアクセス] ページのスクリーンショット。[ユーザーまたはワークロード ID] で現在の値を選択します。

  3. [ このポリシーの適用対象] で、[ ユーザーとグループ ] が選択されていることを確認します。

  4. [ 含める] で、[ ユーザーとグループの選択] を選択し、[ ユーザーとグループ] を選択します。

    新しいポリシーを作成するためのページのスクリーンショット。ユーザーとグループを指定するオプションを選択します。

    まだ割り当てられていない場合は、ユーザーとグループの一覧 (次の手順を参照) が自動的に開きます。

  5. MFA-Test-Group などの Microsoft Entra グループを参照して選択し、[選択] を選択します

    ユーザーとグループの一覧のスクリーンショット。結果は文字 M F A でフィルター処理され、[MFA-Test-Group] が選択されています。

ポリシーを適用するグループを選択しました。 次のセクションでは、ポリシーを適用する条件を構成します。

多要素認証の条件を構成する

条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てたので、ポリシーをトリガーするクラウド アプリまたはアクションを定義します。 これらのクラウド アプリまたはアクションは、追加の処理 (多要素認証の要求など) を要求することを決定するシナリオです。 たとえば、財務アプリケーションへのアクセスまたは管理ツールの使用には、追加の認証を要求する必要があると決定した場合などが考えられます。

多要素認証を要求するアプリを構成する

このチュートリアルでは、ユーザーがサインインするときに多要素認証を要求するように条件付きアクセス ポリシーを構成します。

  1. [ クラウド アプリまたはアクション] で現在の値を選択し、[ このポリシーの適用対象を選択] で [ クラウド アプリ ] が選択されていることを確認します。

  2. [ 含める] で、[ リソースの選択] を選択します。

    アプリがまだ選択されていないので、アプリの一覧 (次の手順を参照) が自動的に開きます。

    ヒント

    条件付きアクセス ポリシーを すべてのリソース (以前は "すべてのクラウド アプリ") に 適用するか 、リソースを選択するか選択できます。 柔軟に、特定のアプリをポリシーから除外することもできます。

  3. 使用可能なサインイン イベントの一覧を参照します。 このチュートリアルでは、ポリシーがサインイン イベントに適用されるように、 Windows Azure Service Management API を選択します。 次に、[選択] を 選択します

    新しいポリシーが適用されるアプリである Windows Azure サービス管理 API を選択する [条件付きアクセス] ページのスクリーンショット。

アクセスのための多要素認証を構成する

次に、アクセスの制御を構成します。 アクセスの制御を使用すると、ユーザーがアクセス権を付与されるための要件を定義できます。 承認されたクライアント アプリまたは Microsoft Entra ID にハイブリッド結合されたデバイスを使用することが必要な場合があります。

このチュートリアルでは、サインイン イベント時に多要素認証を要求するようにアクセスの制御を構成します。

  1. [ アクセス制御] で、[ 許可] で現在の値を選択し、[ アクセス権の付与] を選択します。

    [条件付きアクセス] ページのスクリーンショット。[許可] を選択し、[アクセス権の付与] を選択します。

  2. [ 多要素認証が必要] を選択し、[選択] を 選択します

    [多要素認証を要求する] を選択した、アクセス権を付与するためのオプションのスクリーンショット。

ポリシーをアクティブ化する

条件付きアクセス ポリシーは、構成がユーザーにどのように影響するかを確認する場合は レポート専用 に設定できます。現在使用ポリシーを使用しない場合は オフ に設定できます。 このチュートリアルではテストグループのユーザーを対象としているので、ポリシーを有効にして、Microsoft Entra Multi-Factor Authentication をテストしてみます。

  1. ポリシーの有効化オン を選択します。

    ポリシーを有効にするかどうかを指定する Web ページの下部付近にあるコントロールのスクリーンショット。

  2. 条件付きアクセス ポリシーを適用するには、[ 作成] を選択します。

Microsoft Entra の多要素認証をテストする

条件付きアクセス ポリシーと Microsoft Entra 多要素認証が機能していることを確認しましょう。

まず、MFA が要求されないリソースにサインインします。

  1. InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、https://account.activedirectory.windowsazure.com に移動します。

    ブラウザーのプライベート モードを使用すると、既存の資格情報がこのサインイン イベントに影響を与えるのを防ぐことができます。

  2. 管理者以外のテスト ユーザー ( testuser など) でサインインします。 必ず、@ とユーザー アカウントのドメイン名を含めてください。

    このアカウントを使用して初めてサインインする場合は、パスワードを変更するように求められます。 ただし、多要素認証の構成または使用を求めるプロンプトは表示されません。

  3. ブラウザー ウィンドウを閉じます。

サインインの追加認証を要求するように条件付きアクセス ポリシーを構成しました。 この構成であるため、Microsoft Entra 多要素認証を使用するか、まだ構成していない場合は方法を構成するように要求されます。 Microsoft Entra 管理センターにサインインし、この新しい要件をテストします。

  1. InPrivate モードまたはシークレット モードで新しいブラウザー ウィンドウを開き、 Microsoft Entra 管理センターにサインインします。

  2. 管理者以外のテスト ユーザー ( testuser など) でサインインします。 必ず、@ とユーザー アカウントのドメイン名を含めてください。

    Microsoft Entra 多要素認証に登録して使用する必要があります。

  3. [ 次へ ] を選択してプロセスを開始します。

    認証用電話、会社電話、またはモバイル アプリを認証用として構成することができます。 "認証用電話" では、テキスト メッセージと通話がサポートされます。"会社電話" では、内線のある番号への通話がサポートされます。"モバイル アプリ" では、認証の通知を受信したり、認証コードを生成したりするためのモバイル アプリの使用がサポートされます。

  4. 画面の指示に従って、選択した多要素認証の方法を構成します。

  5. ブラウザー ウィンドウを閉じ、 Microsoft Entra 管理センター にもう一度サインインして、構成した認証方法をテストします。 たとえば、認証用にモバイル アプリを構成した場合、次のようなプロンプトが表示されます。

    サインインするには、ブラウザーのプロンプトに従い、多要素認証に登録したデバイスのプロンプトに従います。

  6. ブラウザー ウィンドウを閉じます。

リソースをクリーンアップする

このチュートリアルの中で構成した条件付きアクセス ポリシーを使用する必要がなくなった場合は、次の手順に従ってポリシーを削除します。

  1. Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。

  2. [ポリシー>Conditional Access] を参照し、作成したポリシー (MFA パイロットなど) を選択します。

  3. [ 削除] を選択し、ポリシーを削除することを確認します。

    開いた条件付きアクセス ポリシーを削除するには、ポリシーの名前の下にある [削除] を選択します。

次のステップ

このチュートリアルでは、選択したユーザー グループを対象に、条件付きアクセス ポリシーを使用して Microsoft Entra 多要素認証を有効にしました。 以下の方法を学習しました。

  • Microsoft Entra のユーザーのグループに対して Microsoft Entra 多要素認証を有効にする条件付きアクセス ポリシーを作成する。
  • 多要素認証を求めるポリシー条件を構成する。
  • ユーザーとして多要素認証の構成と使用をテストする。

セルフサービス パスワード リセットのパスワード書き戻しを有効にする (SSPR)