Azure Active Directoryにおける段階的な多要素認証の強化を確認、設定する方法:企業ユーザーに贈るWindows 11への乗り換え案内(15)
Microsoftは2023年4月、Azure Active Directoryで管理される組織のアカウントに、新たに「システムが優先する多要素認証」機能を追加し、今後、最も安全な認証方法を提示するように、段階的に切り替えていくことを発表しました。
「システムが優先する多要素認証」とは?
「Microsoft Azure」サブスクリプションや「Microsoft 365」サブスクリプションなどで使用されるIDとアクセス管理サービス「Azure Active Directory(Azure AD)」では、電話やSMS(ショートメールメッセージ)、メール、認証アプリ(「Microsoft Authenticator」など)といった複数の多要素認証(Multi-Factor Authentication、MFA)をサポートし、ユーザーIDとパスワードによる認証に加えて、本人確認に基づいたより安全な認証をサポートしています。多要素認証の方法は、ユーザーが自分で追加登録することもできますし、管理者がポリシー設定で要求(強制)することもできます。
現在、エンドユーザーはさまざまな認証方法を使用していると思われますが、そのセキュリティレベルはさまざまです。より安全な認証方法を利用できるのにもかかわらず、知識不足や利便性などを理由に安全性の劣る方法が選択される可能性があります。
Microsoftは、ID認証が必要なそのときにユーザーが利用可能な最も安全な方法で認証することを促すために、2023年4月に「システムが優先する多要素認証(System-preferred multifactor authentication)」機能を追加しました。
- GA:System-preferred multifactor authentication[英語](Microsoft Tech Community)
この機能の設定を確認、構成するには、「Azureポータル」(https://portal.azure.com/)の「Azure Active Directory」ブレードを開き、「管理|セキュリティ|認証方法|設定」(画面1)を開きます。
「Microsoft Entra管理センター」(https://entra.microsoft.com/)の場合は、「Azure Active Directory|保護とセキュリティ保護|認証方法|設定」を開きます(画面2)。
ここで管理者は、「システムが優先する多要素認証」の状態を確認、変更できます。Microsoftのクラウドサービスリソースへのアクセスを可能にする「Microsoft Graph API」(https://learn.microsoft.com/ja-jp/graph/overview)を使用して、「authenticationMethodsPolicy」の「systemCredentialPreferences」でこの機能の設定を確認、構成することも可能です(画面3)。

画面3 Microsoft Graph APIによる「システムが優先する多要素認証」(systemCredentialPreferences)設定の確認(この画面はMicrosoft Graph Explorerを使用)
「システムが優先する多要素認証」を「有効」に切り替えると、ユーザーが自分で設定した既定の認証方法に関係なく、ユーザーが利用可能な最も安全な認証方法(通常、Microsoft Authenticatorアプリによる認証)が提示されるようになります(画面4、画面5)。
システムが優先する多要素認証の方法が利用できない場合は、以前(前出の画面3)のように、複数の選択肢から認証方法をユーザーが選択して認証を進めることができます。
2023年6月にMicrosoftによる本格的なロールアウト開始
この機能は既定で「Microsoftマネージド」「有効」「無効」の3つの選択肢のうち、「Microsoftマネージド」の状態で導入されています。
2023年4月の時点では、「Microsoftマネージド」は「無効」の設定と同じ状態であり、この機能は「無効」の状態で導入されています。「Microsoftマネージド」の設定のままにしてある場合、Microsoftが適切なタイミングでこの機能を利用者のテナントに段階的にロールアウトし、全てのテナントにロールアウトされた後、「無効」の設定は削除される予定です。
そして、Microsoftは2023年6月9日(米国時間)、「Authenticator Lite(Outlookモバイル用)」について「Microsoftマネージド」値を「無効」から「有効」に移行しました。エンドユーザーがMicrosoft Authenticatorアプリを導入しておくように、多要素認証ポリシーを使用して多要素認証の再設定をユーザーに要求するなどしておくことをお勧めします(画面6)。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP 2008 to 2023(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Windows 11一般提供開始、企業での導入/展開時に注意すべきポイントは?
MicrosoftはWindowsデスクトップOSの最新バージョンである「Windows 11」を正式にリリースし、Windows 11対応ハードウェアを搭載したWindows 10デバイスに対して、無料アップグレードの段階的なロールアウトを開始しました。Windows 11登場! 11で変わること、思ったほど変わらないこと
新しいWindows OS「Windows 11」の正式出荷が2021年10月5日に開始された。Windows 10からの無償アップグレードが可能であるため、どのような新機能が実装されたのか気になる人も多いのではないだろうか。そこで、本稿ではWindows 11の新機能、削除された機能などを簡単にまとめてみた。買って、試して分かったWindows 365(契約・セットアップ編)
Microsoftからクラウド上でWindows 10が動く「クラウドPC」の利用可能なサブスクリプションサービス「Windows 365」の提供が開始された。早速、サブスクリプションを契約し、クラウドPCの設定を行ってみた。契約からセットアップまでで見えてきた便利な点、不便な点などをまとめてみた。いよいよ完全終了へ。Internet Explorer(IE)サポート終了スケジュール
長らくWindows OSに標準装備されてきたInternet Explorer(IE)。その「寿命」は各種サポートの終了時期に左右される。Windows OSごとにIEのサポート終了時期を分かりやすく図示しつつ、見えてきた「終わり」について解説する。