方法: 多要素認証登録ポリシーを構成する
Microsoft は、サインインする先進認証アプリに関係なく、MFA 登録を要求するように Microsoft Entra ID Protection ポリシーを構成することで、多要素認証 (MFA) の展開を管理するのを支援します。 多要素認証は、ユーザー名とパスワードに加えて、その他の要素を使用することでユーザーを確認する手段を提供します。 ユーザーのサインインに第 2 のセキュリティ層を提供します。ユーザーが MFA プロンプトに応答できるようにするには、まず、Microsoft Authenticator アプリなどの認証方法を登録する必要があります。
ユーザーのサインインに対して多要素認証を要求することをお勧めします。Microsoft の調査によると、MFA を使用した場合、アカウントが侵害されるリスクは 99% 以上低下します。 常に MFA を必要としない場合でも、このポリシーにより、ユーザーが MFA を行う準備が整っていることが保証されます。
詳細については、「一般的な条件付きアクセス ポリシー: すべてのユーザーに対して MFA を必須にする」の記事を参照してください。
ポリシーの構成
- セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[Identity Protection]>[多要素認証登録ポリシー] に移動します。
- [割り当て]>[ユーザー]。
- [含める] の下で [すべてのユーザー] またはロールアウトを制限する場合は [個人とグループの選択] を選択します。
- [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
- [割り当て]>[ユーザー]。
- [ポリシーの適用] を [有効] に設定します。
- [保存] を選択します。
ユーザー エクスペリエンス
Microsoft Entra ID Protection によって、次回対話形式でサインインするときに、ユーザーに登録を求めるプロンプトが表示されます。ユーザーは、14 日の間に登録を完了します。 この 14 日間は、条件として MFA が要求されていない場合は登録をパイバスできますが、この期間の最後にサインイン プロセスを完了するには、登録が必要です。
関連するユーザー エクスペリエンスの概要については、以下を参照してください。