検索
連載

Azure Active Directoryにおける段階的な多要素認証の強化を確認、設定する方法企業ユーザーに贈るWindows 11への乗り換え案内(15)

Microsoftは2023年4月、Azure Active Directoryで管理される組織のアカウントに、新たに「システムが優先する多要素認証」機能を追加し、今後、最も安全な認証方法を提示するように、段階的に切り替えていくことを発表しました。

[山市良,テクニカルライター] PC用表示 関連情報
Share
Tweet
LINE
Hatena
「企業ユーザーに贈るWindows 11への乗り換え案内」のインデックス

企業ユーザーに贈るWindows 11への乗り換え案内

「システムが優先する多要素認証」とは?

 「Microsoft Azure」サブスクリプションや「Microsoft 365」サブスクリプションなどで使用されるIDとアクセス管理サービス「Azure Active Directory(Azure AD)」では、電話やSMS(ショートメールメッセージ)、メール、認証アプリ(「Microsoft Authenticator」など)といった複数の多要素認証(Multi-Factor Authentication、MFA)をサポートし、ユーザーIDとパスワードによる認証に加えて、本人確認に基づいたより安全な認証をサポートしています。多要素認証の方法は、ユーザーが自分で追加登録することもできますし、管理者がポリシー設定で要求(強制)することもできます。

 現在、エンドユーザーはさまざまな認証方法を使用していると思われますが、そのセキュリティレベルはさまざまです。より安全な認証方法を利用できるのにもかかわらず、知識不足や利便性などを理由に安全性の劣る方法が選択される可能性があります。

 Microsoftは、ID認証が必要なそのときにユーザーが利用可能な最も安全な方法で認証することを促すために、2023年4月に「システムが優先する多要素認証(System-preferred multifactor authentication)」機能を追加しました。

 この機能の設定を確認、構成するには、「Azureポータル」(https://portal.azure.com/)の「Azure Active Directory」ブレードを開き、「管理|セキュリティ|認証方法|設定」(画面1)を開きます。

画面1
画面1 AzureポータルでAzure Active Directoryの「システムが優先する多要素認証」を設定する

 「Microsoft Entra管理センター」(https://entra.microsoft.com/)の場合は、「Azure Active Directory|保護とセキュリティ保護|認証方法|設定」を開きます(画面2)。

画面2
画面2 Microsoft Entra管理センターでAzure Active Directoryの「システムが優先する多要素認証」を設定する

 ここで管理者は、「システムが優先する多要素認証」の状態を確認、変更できます。Microsoftのクラウドサービスリソースへのアクセスを可能にする「Microsoft Graph API」(https://learn.microsoft.com/ja-jp/graph/overview)を使用して、「authenticationMethodsPolicy」の「systemCredentialPreferences」でこの機能の設定を確認、構成することも可能です(画面3)。

画面3
画面3 Microsoft Graph APIによる「システムが優先する多要素認証」(systemCredentialPreferences)設定の確認(この画面はMicrosoft Graph Explorerを使用)

 「システムが優先する多要素認証」を「有効」に切り替えると、ユーザーが自分で設定した既定の認証方法に関係なく、ユーザーが利用可能な最も安全な認証方法(通常、Microsoft Authenticatorアプリによる認証)が提示されるようになります(画面4画面5)。

画面4
画面4 「システムが優先する多要素認証」が「無効」(現在の「Microsoftマネージド」を含む)の場合のID/パスワード認証後の多要素認証の選択
画面5
画面5 「システムが優先する多要素認証」が「有効」の場合、最初にMicrosoft Authenticatorアプリによる認証が求められる

 システムが優先する多要素認証の方法が利用できない場合は、以前(前出の画面3)のように、複数の選択肢から認証方法をユーザーが選択して認証を進めることができます。

2023年6月にMicrosoftによる本格的なロールアウト開始

 この機能は既定で「Microsoftマネージド」「有効」「無効」の3つの選択肢のうち、「Microsoftマネージド」の状態で導入されています。

 2023年4月の時点では、「Microsoftマネージド」は「無効」の設定と同じ状態であり、この機能は「無効」の状態で導入されています。「Microsoftマネージド」の設定のままにしてある場合、Microsoftが適切なタイミングでこの機能を利用者のテナントに段階的にロールアウトし、全てのテナントにロールアウトされた後、「無効」の設定は削除される予定です。

 そして、Microsoftは2023年6月9日(米国時間)、「Authenticator Lite(Outlookモバイル用)」について「Microsoftマネージド」値を「無効」から「有効」に移行しました。エンドユーザーがMicrosoft Authenticatorアプリを導入しておくように、多要素認証ポリシーを使用して多要素認証の再設定をユーザーに要求するなどしておくことをお勧めします(画面6)。

画面6
画面6 Microsoft Authenticatorアプリによる多要素認証ができるように、ユーザーとデバイスを準備しておく

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP 2008 to 2023(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。


Copyright © ITmedia, Inc. All Rights Reserved.