外部テナントでの多要素認証
適用対象: 
従業員テナント 
外部テナント (詳細情報)
多要素認証 (MFA) では、ユーザーがサインアップまたはサインイン中に ID を検証するための 2 つ目の方法を提供するように要求することで、アプリケーションにセキュリティのレイヤーが追加されます。 外部テナントでは、2 つ目の要素として認証のための 2 つの方法がサポートされています。
- メールのワンタイム パスコード
- アドオンとして使用できる SMS ベースの認証 (詳細をご覧ください)
MFA を適用すると、検証のレイヤーが追加され、承認されていないユーザーがアクセスすることが困難になり、組織のセキュリティが強化されます。
MFA ポリシーの作成
外部テナントでは、Microsoft Entra 条件付きアクセスを使用して、ユーザーがアプリにサインアップまたはサインインするときに、ユーザーに MFA を求めるポリシーを作成できます。 このポリシーは、Microsoft Entra 管理センターの [保護] セクションの [条件付きアクセス] で作成します。 すべてのユーザーを含めて、緊急アクセス用または非常用アカウントを除外して、ポリシーを適用するユーザーとグループを指定できます。
ポリシーでは、MFA を必要とするアプリケーションを定義します。 すべてのクラウド アプリにポリシーを適用することも、MFA を必要としないアプリケーションを除外しながら、特定のアプリを選択することもできます。 次に、ユーザーが MFA 要件を完了した場合にのみアクセス権を付与するようにポリシーを構成します。
詳細については、「外部テナントで条件付きアクセス ポリシーを作成する方法」をご覧ください。
MFA 方法の有効化
ユーザー フローで ID プロバイダー オプションを選択する場合は、サインアップとサインインの第 1 要素認証方法を定義します。 MFA の第 2 要素検証方法は、Microsoft Entra 管理センターの別のセクションで、[保護] セクションの [認証方法] で構成されます。
第 1 要素として選択するオプションに応じて、多要素認証 (MFA) に使用できる第 2 要素検証方法は異なります。
- パスワードとソーシャル ID プロバイダーを含むメール: これらの第 1 要素の方法のどれでも、メールのワンタイム パスコード、SMS、またはその両方を第 2 要素検証方法として MFA 用に有効にすることができます。
- メール ワンタイム パスコード: ワンタイム パスコード付きメールが第 1 要素認証方法として選択されている場合、第 2 要素検証には使用できません。 そのため、MFA 用に有効にできるのは SMS ベースの検証のみです。
詳細については、「外部テナントで MFA 方法を有効にする方法」をご覧ください。
メールのワンタイム パスコード
メール ワンタイム パスコード認証は、第 1 要素と第 2 要素の両方の検証方法として外部テナントで使用できます。 MFA 用にメール ワンタイム パスコードの使用を許可するには、ローカル アカウントの認証方法を [パスワード付きメール] に設定する必要があります。 ワンタイム パスコード付きメールを選択した場合、この方法を第 1 のサインインに使用する顧客は、MFA の第 2 の検証に使用できません。
MFA 用にメール ワンタイム パスコードが有効になっている場合、ユーザーは第 1 のサインイン方法でサインインし、ユーザーのメール アドレスにコードが送信されることが知らされます。 ユーザーは、コードの送信を選択し、メールの受信トレイからパスコードを取得し、サインイン ウィンドウにパスコードを入力します。 ユーザーは、この検証プロセスを 10 分以内に完了する必要があります。
SMS ベースの認証
SMS は、外部テナントで第 2 要素検証のために利用できますが、通信費が掛かります。 現在、SMS は、外部テナントでの第 1 要素認証またはセルフサービス パスワード リセットには使用できません。
MFA 用に SMS が有効になっている場合、ユーザーは第 1 の方法でサインインし、SMS 経由で送信されたコードを使用して ID を確認するように求められます。 電話番号を入力し、確認コード付きの SMS を受信します。
次の対策を適用することで、外部 ID は SMS による不正なサインアップを軽減します。
- テレフォニー調整の制限は、停止や速度低下を防ぐのに役立ちます。 サービスの制限と制約をご覧ください。
- SMS による MFA 用の CAPTCHA は、人間のユーザーと自動ボットを区別することで、自動攻撃を防ぐのに役立ちます。 危険なユーザーが検出された場合、ユーザーがサインインするのをブロックするか、SMS による検証コードを送信する前に CAPTCHA を完了するようにユーザーに依頼します。
国や地域別の SMS 価格帯
次の表は、さまざまな国または地域にわたる SMS ベースの認証サービスのさまざまな価格帯の詳細を示しています。 価格の詳細については、「Microsoft Entra External IDの価格」をご覧ください。
SMS はアドオン機能であり、リンクされたサブスクリプションが必要です。 サブスクリプションの有効期限が切れた場合、またはサブスクリプションが取り消された場合、エンド ユーザーは SMS を使用して認証できなくなります。そのため、MFA ポリシーに応じてユーザーのサインインがブロックされる可能性があります。
| レベル | 国/地域 |
|---|---|
| 電話認証低コスト | オーストラリア、ブラジル、ブルネイ、カナダ、チリ、中国、コロンビア、キプロス、マケドニア、ポーランド、ポルトガル、韓国、タイ、トルコ、米国 |
| 電話認証中低コスト | グリーンランド、アルバニア、米領サモア、オーストリア、バハマ、バーレーン、ボスニア・ヘルツェゴビナ、ボツワナ、コスタリカ、チェコ共和国、デンマーク、エストニア、フェロー諸島、フィンランド、フランス、ギリシャ、香港、ハンガリー、アイスランド、アイルランド、イタリア、日本、ラトビア、リトアニア、ルクセンブルク、マカオ、マルタ、メキシコ、ミクロネシア、モルドバ、ナミビア、ニュージーランド、ニカラグア、ノルウェー、ルーマニア、ルーマニア、サントメ・プリンシペ、セーシェル共和国、シンガポール、スロバキア、ソロモン諸島、スペイン、スウェーデン、スイス、台湾、英国、米領バージン諸島、ウルグアイ |
| 電話認証中高コスト | アンドラ、アンゴラ、アンギラ、南極、アンティグア・バーブーダ、アルゼンチン、アルメニア、アルバ、アセンション、バルバドス、ベルギー、ベナン、ボリビア、英領バージン諸島、ブルガリア、ブルキナファソ、カメルーン、ケイマン諸島、中央アフリカ共和国、クック諸島、クロアチア、ディエゴガルシア島、ジブチ、ドミニカ共和国、東ティモール、エクアドル、エルサルバドル、エリトリア、フォークランド諸島、フィジー、仏領ギアナ、仏領ポリネシア、ガンビア、ジョージア、ドイツ、ジブラルタル、グレナダ、グアドループ、グアム、ギニア、ガイアナ、ホンジュラス、インド、コートジボワール、ケニア、キリバス、ラオス、リベリア、マレーシア、マーシャル諸島、マルティニーク、モーリシャス、モナコ、モンテネグロ、モントセラト、オランダ、オランダ領アンティル、ニューカレドニア、ニウエ、オマーン、パラオ、パナマ、パラグアイ、ペルー、プエルトリコ、レユニオン、ルワンダ、セントヘレナ、セントクリストファー・ネーヴィス、セントルシア、サンピエール島・ミクロン島、セントビンセント及びグレナディーン諸島、サイパン、サモア、サンマリノ、サウジアラビア、シント・マールテン、スロベニア、南アフリカ、南スーダン、スリナム、スワジランド (新しい国名はエスワティニ王国)、トケラウ、トンガ、タークス・カイコス諸島、ツバル、アラブ首長国連邦、バヌアツ、ベネズエラ、ベトナム、ウォリス・フツナ |
| 電話認証高コスト | リヒテンシュタイン、バミューダ、カンボジア、カーボベルデ、コンゴ民主共和国、ドミニカ、エジプト、赤道ギニア、ガーナ、グアテマラ、ギニアビサウ、イスラエル、ジャマイカ、コソボ、レソト、モルディブ、マリ、モーリタニア、モロッコ、モザンビーク、パプアニューギニア、フィリピン、カタール、シエラレオネ、トリニダード・トバゴ、ウクライナ、ジンバブエ、アフガニスタン、アルジェリア、アゼルバイジャン、バングラデシュ、ベラルーシ、ベリーズ、ブータン、ブルンジ、チャド、コモロ、コンゴ、エチオピア、ガボン共和国、ハイチ、インドネシア、イラク、ヨルダン、クウェート、キルギス、レバノン、リビア、マダガスカル、マラウイ、モンゴル、ミャンマー、ナウル、ネパール、ニジェール、ナイジェリア、パキスタン、パレスチナ自治政府、ロシア、セネガル、セルビア、ソマリア、スリランカ、スーダン、タジキスタン、タンザニア、トーゴ共和国、チュニジア、トルクメニスタン、ウガンダ、ウズベキスタン、イエメン、ザンビア |