システム優先多要素認証 - 認証方法ポリシー
システム優先多要素認証 (MFA) では、ユーザーが登録した最も安全な方法を使用してサインインするように求められます。 これは、通信トランスポート経由で認証するユーザーにとって重要なセキュリティ強化です。 管理者は、システム優先 MFA を有効にしてサインイン セキュリティを向上させ、ショート メッセージ サービス (SMS) などの安全性の低いサインイン方法の使用を抑制することができます。
たとえば、ユーザーが MFA の方法として SMS と Microsoft Authenticator の両方のプッシュ通知を登録した場合、システム優先 MFA は、より安全なプッシュ通知方法を使用してサインインするようにユーザーに求めます。 ユーザーは別の方法を使用してサインインすることもできますが、登録した中から最も安全な方法を試すようはじめに求められます。
システム優先 MFA は、マイクロソフト マネージド設定であり、これはトライステート ポリシーです。 システム優先 MFA の マイクロソフト マネージドの値は [有効] です。 システムが優先する MFA を有効にしない場合は、状態を [マイクロソフト マネージド] から [無効] に変更するか、ポリシーからユーザーとグループを除外します。
システム優先 MFA が有効になると、すべての作業が認証システムによって実行されます。 登録した中から最も安全な方法を常にシステムが決定し提示するため、ユーザーはどの認証方法も既定として設定する必要はありません。
Microsoft Entra 管理センターでシステム優先 MFA を有効にする
既定では、システム優先 MFA はマイクロソフト マネージドであり、すべてのユーザーに対して無効になっています。
認証ポリシー管理者以上の権限で Microsoft Entra 管理センターにサインインします。
[保護]>[認証方法]>[設定] の順に進みます。
[システム優先多要素認証] については、機能を明示的に有効または無効にするか、および任意のユーザーについて含めるか除外するかを選択します。 グループの除外は、グループを含める選択よりも優先されます。
たとえば、次のスクリーンショットは、エンジニアリング グループに対してのみシステム優先 MFA を明示的に有効にする方法を示しています。
変更が完了したら、[保存] を選択します。
Graph API を使用してシステム優先 MFA を有効にする
システム優先 MFA を事前に有効にするには、リクエストの例に示すように、スキーマ設定に 1 つのターゲット グループを選択する必要があります。
認証方法機能の構成プロパティ
既定では、システム優先 MFA はマイクロソフト マネージドであり、有効になっています。
| プロパティ | タイプ | 説明 |
|---|---|---|
| excludeTarget | featureTarget | この機能から除外される 1 つのエンティティ。 システム優先 MFA から除外できるグループは 1 つだけであり、これは動的グループまたは入れ子にしたグループにすることができます。 |
| includeTarget | featureTarget | この機能に含まれる 1 つのエンティティ。 システム優先 MFA に含めることができるグループは 1 つだけであり、これは動的グループまたは入れ子にしたグループにすることができます。 |
| State | advancedConfigState | 次のいずれかの値になります。 有効は、選択したグループについて、この機能を明示的に有効にします。 無効は、選択したグループについて、この機能を明示的に無効にします。 既定は、選択したグループについて、この機能を有効にするかどうかを Microsoft Entra ID で管理できます。 |
機能ターゲット プロパティ
システム優先 MFA は、1 つのグループに対してのみ有効にすることができ、これは動的グループまたは入れ子にしたグループにすることができます。
| プロパティ | タイプ | 説明 |
|---|---|---|
| id | String | ターゲットとなるエンティティの ID。 |
| targetType | featureTargetType | グループ、役割、管理単位など、ターゲットとなるエンティティの種類。 使用可能な値は、「group」、「administrativeUnit」、「role」、「unknownFutureValue」です。 |
systemCredentialPreferences を有効にし、グループを含めるか除外するには、次の API エンドポイントを使用します。
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
注
Graph エクスプローラーでは、Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意する必要があります。
リクエスト
次の例は、サンプル ターゲット グループを除外し、すべてのユーザーを含めます。 詳細については、「authenticationMethodsPolicy を更新する」を参照してください。
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
よくあるご質問
システム優先 MFA は、最も安全なメソッドをどのように決定しますか?
ユーザーがサインインすると、ユーザーに対しどの認証方法が登録されているかが認証プロセスによって確認されます。 ユーザーは、次の順序に従って、最も安全な方法でサインインするように求められます。 認証方法の順序は動的です。 これは、セキュリティの環境が変化し、より優れた認証方法が出現するにつれて更新されます。 証明書ベースの認証 (CBA) とシステム優先 MFA に関する既知の問題が原因で、CBA は一覧の一番下に移動されました。 各メソッドに関する情報については、このリンクをクリックしてください。
1 Microsoft Authenticator、Authenticator Lite、またはサードパーティ製アプリケーションからのハードウェアまたはソフトウェアの TOTP が含まれます。
2 SMS と音声通話が含まれます。
システム優先 MFA は、NPS 拡張機能にどのように影響しますか?
システム優先 MFA は、ネットワーク ポリシー サーバー (NPS) 拡張機能を使用してサインインするユーザーには影響しません。 こうしたユーザーのサインイン環境に変化はありません。
認証方法ポリシーには指定されていないが、レガシ MFA のテナント全体のポリシーでは有効になっているユーザーはどうなりますか?
システム優先 MFA は、レガシ MFA ポリシーで MFA が有効になっているユーザーにも適用されます。
