システム優先多要素認証 - 認証方法ポリシー
システム優先多要素認証 (MFA) では、ユーザーが登録した最も安全な方法を使用してサインインするように求められます。 これは、通信トランスポート経由で認証するユーザーにとって重要なセキュリティ強化です。 管理者は、システム優先 MFA を有効にしてサインイン セキュリティを向上させ、ショート メッセージ サービス (SMS) などの安全性の低いサインイン方法の使用を抑制することができます。
たとえば、ユーザーが MFA の方法として SMS と Microsoft Authenticator の両方のプッシュ通知を登録した場合、システム優先 MFA は、より安全なプッシュ通知方法を使用してサインインするようにユーザーに求めます。 ユーザーは別の方法を使用してサインインすることもできますが、最初に登録した最も安全な方法を試すように求められます。
システム優先 MFA は、マイクロソフト マネージド設定であり、これはトライステート ポリシーです。 システム優先 MFA の マイクロソフト マネージドの値は [有効] です。 システムが優先する MFA を有効にしない場合は、状態を [マイクロソフト マネージド] から [無効] に変更するか、ポリシーからユーザーとグループを除外します。
システム優先 MFA が有効になると、すべての作業が認証システムによって実行されます。 登録した中から最も安全な方法を常にシステムが決定し提示するため、ユーザーはどの認証方法も既定として設定する必要はありません。
Microsoft Entra 管理センターでシステム優先 MFA を有効にする
既定では、システム優先 MFA は Microsoft マネージドであり、すべてのユーザーに対して無効になっています。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]>[認証方法]>[設定] の順に進みます。
[システム優先多要素認証] では、機能を明示的に有効または無効にするかどうかを選択し、すべてのユーザーを含めるまたは除外します。 除外されるグループは、含めるグループよりも優先されます。
たとえば、次のスクリーンショットは、エンジニアリング グループに対してのみシステム優先 MFA を明示的に有効にする方法を示しています。
変更が完了したら、[保存] を選択します。
Graph API を使用してシステム優先 MFA を有効にする
システム優先 MFA を事前に有効にするには、要求の例に示すように、スキーマ構成用に 1 つのターゲット グループを選択する必要があります。
認証方法機能の構成プロパティ
既定では、システム優先 MFA はマイクロソフト マネージドであり、有効になっています。
| プロパティ | タイプ | 説明 |
|---|---|---|
| excludeTarget | featureTarget | この機能から除外される 1 つのエンティティ。 システム優先 MFA から除外できるグループは 1 つだけであり、動的または入れ子にしたグループにすることができます。 |
| includeTarget | featureTarget | この機能に含まれる 1 つのエンティティ。 システム優先 MFA から含めることができるグループは 1 つだけであり、動的または入れ子にしたグループにすることができます。 |
| State | advancedConfigState | 次のいずれかの値になります。 enabled では、選択したグループに対してこの機能を明示的に有効にします。 disabled では、選択したグループに対してこの機能を明示的に無効にします。 既定 では、選択したグループに対してこの機能を有効にするかどうかを Microsoft Entra ID で管理できます。 |
機能ターゲット プロパティ
システム優先 MFA は、1 つのグループに対してのみ有効にすることができ、動的グループまたは入れ子になっているグループの場合があります。
| プロパティ | タイプ | 説明 |
|---|---|---|
| id | String | ターゲットとなるエンティティの ID。 |
| targetType | featureTargetType | グループ、ロール、管理ユニットなど、ターゲットとなるエンティティの種類。 使用可能な値は、'group'、'administrativeUnit'、'role'、'unknownFutureValue' です。 |
systemCredentialPreferences を有効にし、グループを含めるか除外するには、次の API エンドポイントを使用します。
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
注意
Graph Explorer で、Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意する必要があります。
要求
次の例では、サンプル ターゲット グループを除外し、すべてのユーザーを含めます。 詳細については、「authenticationMethodsPolicy を更新する」を参照してください。
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
よく寄せられる質問
システム優先 MFA によって最も安全な方法はどのように決定されますか?
ユーザーがサインインすると、認証プロセスによって、ユーザーに登録されている認証方法が確認されます。 ユーザーは、次の順序に従って、最も安全な方法でサインインするように求められます。 認証方法の順序は動的です。 これは、セキュリティの環境が変化し、より優れた認証方法が出現するにつれて更新されます。 証明書ベースの認証 (CBA) とシステム優先 MFA に関する既知の問題が原因で、CBA は一覧の一番下に移動されました。 各メソッドに関する情報については、このリンクをクリックしてください。
1 Microsoft Authenticator、Authenticator Lite、またはサードパーティ製アプリケーションからのハードウェアまたはソフトウェアの TOTP が含まれます。
2 SMS と音声通話が含まれます。
システム優先 MFA は、NPS 拡張機能にどのように影響しますか?
システム優先 MFA は、ネットワーク ポリシー サーバー (NPS) 拡張機能を使用してサインインするユーザーには影響しません。 これらのユーザーの、サインイン エクスペリエンスに変更はありません。
認証方法ポリシーには指定されていないが、レガシ MFA のテナント全体のポリシーで有効になっているユーザーはどうなりますか?
システム優先 MFA は、レガシ MFA ポリシーで MFA が有効になっているユーザーにも適用されます。
