Microsoft Entra 多要素認証の再認証プロンプトとセッション有効期間
Microsoft Entra ID には、どの程度の頻度でユーザーが再認証する必要があるのか、を決定する設定が複数あります。 この再認証には、パスワード、Fast IDentity Online (FIDO)、パスワードレス Microsoft Authenticator など、第 1 要素のみが含まれる場合があります。 または、多要素認証 (MFA) が求められる場合があります。 これらの再認証の設定は、必要に応じて、独自の環境と目的のユーザー エクスペリエンスに合わせて構成することができます。
ユーザー サインインの頻度に関する Microsoft Entra ID の既定の構成は、90 日間のローリング ウィンドウです。 ユーザーに資格情報を求めることはしばしば目的にかなっているように思われますが、不足の結果に終わる可能性があります。 深く考えずに認証情報を入力することにユーザーが慣れてしまうと、不正な認証情報プロンプトに対して不用意に情報を渡してしまう恐れがあるからです。
ユーザーにもう一度サインインを求めないのは、危険に思われるかもしれません。 ただし、IT ポリシーの違反があれば、セッションは取り消されます。 このような例には、パスワードの変更、非準拠のデバイス、アカウントの無効化操作などがあります。 また、Microsoft Graph PowerShell を使用して明示的にユーザーのセッションを取り消すことができます。
この記事では、推奨される構成と、さまざまな設定のしくみと相互作用について詳しく説明します。
推奨設定
適切な頻度でサインインするように要求することで、セキュリティと使いやすさのバランスをユーザーに付与するには、次の構成をお勧めします。
- Microsoft Entra ID P1 または P2 がある場合:
- マネージド デバイスまたはシームレス SSO を使用して、アプリケーション間でシングル サインオン (SSO) を有効にします。
- 再認証が必要な場合は、Microsoft Entra 条件付きアクセスのサインインの頻度ポリシーを使用します。
- アンマネージド デバイスからサインインするユーザーやモバイル デバイスのシナリオでは、永続的ブラウザー セッションが望ましくない場合があります。 または、条件付きアクセスを使用して、サインインの頻度ポリシーで永続的ブラウザー セッションを有効にできます。 サインイン リスクに基づいて、期間を適切な時間に制限すると、リスクの低いユーザーほどセッション継続時間が長くなります。
- Microsoft 365 Apps ライセンスまたは Microsoft Entra ID Free ライセンスをお持ちの場合は、次の手順を実行します。
- マネージド デバイスまたはシームレス SSO を使用して、アプリケーション間で SSO を有効にします。
- [サインインしたままにするオプションを表示する] オプションを有効にしたままにして、ユーザーがサインイン時に [サインインの状態を維持しますか?] に同意するようガイドします。
- モバイル デバイス シナリオの場合、ユーザーが Microsoft Authenticator アプリを必ず使用するようにします。 このアプリは、他の Microsoft Entra ID のフェデレーション アプリに対する仲介の役割を果たし、デバイスで認証が求められる回数を減らします。
この調査では、ほとんどのテナントに対してこれらの設定が適切であることが示されています。 これらの [多要素認証を記憶する] や [サインインしたままにするオプションを表示する] などの設定の組み合わせによっては、ユーザーが認証を頻繁に行うように求めるメッセージが表示される可能性があります。 通常の再認証プロンプトでは、ユーザーの生産性が低下し、ユーザーが攻撃に対して、より脆弱になる可能性があります。
Microsoft Entra セッションの有効期間の設定を構成する
ユーザーの認証プロンプトの頻度を最適化するには、Microsoft Entra セッションの有効期間の設定を構成します。 ビジネス面のニーズおよびユーザーのニーズをよく検討して、貴社環境において最適のバランスを実現する設定を構成してください。
セッションの有効期間ポリシー
セッションの有効期間が設定されていない場合、そのブラウザー セッションに永続的な Cookie はありません。 ユーザーがブラウザーを閉じて開くたびに、再認証を求めるプロンプトが表示されます。 Office クライアントでは、既定の期間は 90 日のローリング ウィンドウです。 このデフォルトの Office 構成では、ユーザーがパスワードをリセットした場合、またはセッションが 90 日を超えて非アクティブである場合、そのユーザーは、必要な第 1 要素と第 2 要素を使用して再認証する必要があります。
Microsoft Entra の ID がないデバイスでは、ユーザーに対し複数の MFA プロンプトが表示される場合があります。 各アプリケーションに他のクライアント アプリと共有されていない独自の OAuth 更新トークンがあると、複数のプロンプトが表示されます。 このシナリオでは、MFA を使用して OAuth 更新トークンを検証するよう各アプリケーションから要求されるため、MFA によって複数回プロンプトが表示されます。
Microsoft Entra ID では、セッションの有効期間について最も制限の厳しいポリシーによって、ユーザーが再認証を必要とするタイミングが決まります。 次の両方の設定を有効にするシナリオを考えてみましょう。
- 永続的なブラウザー Cookie が使用される [サインインしたままにするオプションを表示する]
- 14 日間の値を持つ [多要素認証を記憶する]
この例では、ユーザーは 14 日ごとに再認証する必要があります。 この動作は、[サインインしたままにするオプションを表示する] 自体によってブラウザーでユーザーに再認証を要求としない場合でも、最も制限の厳しいポリシーに従います。
マネージド デバイス
Microsoft Entra 参加または Microsoft Entra ハイブリッド参加を使用して Microsoft Entra ID に参加しているデバイスは、アプリケーション間で SSO を使用するために、プライマリ更新トークン (PRT) を受け取ります。
この PRT を使用すると、ユーザーはデバイスに 1 回サインインでき、IT スタッフは、そのデバイスがセキュリティとコンプライアンスの基準を満たしていることを確認できます。 アプリまたはシナリオによっては、参加しているデバイスでより頻繁にサインインするようにユーザーに求める必要がある場合は、条件付きアクセスのサインインの頻度ポリシーを使用できます。
サインインしたままにするオプション
ユーザーがサインイン中に [サインインの状態を維持しますか?] プロンプト オプションで [はい] を選択した場合は、ブラウザーで永続的な Cookie が設定されます。 この永続的な Cookie は、第 1 要素と第 2 要素を記憶し、ブラウザーでの認証要求にのみ適用されます。
Microsoft Entra ID P1 または P2 ライセンスをお持ちの場合は、永続ブラウザー セッションに条件付きアクセス ポリシーを使うことをお勧めします。 このポリシーは、[サインインしたままにするオプションを表示する] 設定を上書きして、ユーザー エクスペリエンスを向上させます。 Microsoft Entra ID P1 または P2 ライセンスをお持ちでない場合は、ユーザーに対して [サインインしたままにするオプションを表示する] 設定を有効にすることをお勧めします。
ユーザーがサインインの状態を維持するためのオプションの構成の詳細については、「[サインインの状態を維持しますか?] プロンプトを管理する」を参照してください。
多要素認証を記憶するためのオプション
[多要素認証を記憶する] 設定を使用すると、1 日から 365 日までの値を構成できます。 ブラウザーでユーザーがサインイン時に [今後 X 日間はこのメッセージを表示しない] オプションを選択したときに、永続的な Cookie を設定します。
この設定によって Web アプリでの認証回数が減りますが、Office クライアントなどの最新の認証クライアントで認証回数が増えます。 これらのクライアントでは、通常、パスワードのリセットまたは 90 日の非アクティブな状態の経過後にのみメッセージが表示されます。 ただし、この値を 90 日間より短く設定すると Office クライアントの既定 MFA プロンプトが短縮され、再認証の頻度が増加します。 この設定を [サインインしたままにするオプションを表示する] または条件付きアクセス ポリシーと組み合わせて使用すると、認証要求の数が増える場合があります。
[多要素認証を記憶する] を使っていて、Microsoft Entra ID P1 または P2 ライセンスをお持ちの場合は、これらの設定を移行して、条件付きアクセスの [サインイン頻度] を使うことを検討してください。 それ以外の場合は、代わりに [サインインしたままにするオプションを表示する] の使用を検討してください。
詳細については、「多要素認証を記憶する」を参照してください。
条件付きアクセスを使用した認証セッション管理
管理者は、サインインの頻度ポリシーを使用して、クライアントとブラウザーの両方の第 1 要素と第 2 要素の両方に適用されるサインインの頻度を選択できます。 認証セッションを制限する必要があるシナリオでは、マネージド デバイスの使用と共にこれらの設定を使用することをお勧めします。 たとえば、重要なビジネス アプリケーションの認証セッションを制限する必要がある場合があります。
永続的なブラウザー セッションでは、ユーザーはブラウザー ウィンドウを閉じてから再度開いた後でもサインインした状態を維持できます。 [サインインしたままにするオプションを表示する] 設定と同様に、これによりブラウザーに永続的な Cookie が設定されます。 ただし、管理者はこれを構成するため、ユーザーに [サインインの状態を維持しますか?] オプションで [はい] を選択することは求められません。 そうすることで、ユーザー エクスペリエンスが向上します。 [サインインしたままにするオプションを表示する] オプションを使用する場合は、代わりに [永続的ブラウザー セッション] ポリシーを有効にすることをお勧めします。
詳細については、「アダプティブ セッションの有効期間ポリシーを構成する」をご覧ください。
構成可能なトークンの有効期間
構成可能なトークンの有効期間設定では、Microsoft Entra ID が発行するトークンの有効期間を構成できます。 「条件付きアクセスを使用した認証セッション管理」は、このポリシーを置き換えます。 現在、構成可能なトークンの有効期間を使用している場合は、条件付きアクセス ポリシーへの移行を開始することをお勧めします。
テナント構成を確認する
ここまでで、さまざまな設定のしくみと推奨される構成について理解したので、次はテナントを確認します。 最初に、サインイン ログを参照して、サインイン時にどのセッションの有効期間ポリシーが適用されたかを把握することができます。
各サインイン ログで、[認証の詳細] タブに移動して、[セッションの有効期間ポリシーが適用されました] を確認します。 詳細については、「サインイン ログ アクティビティの詳細について学習する」を参照してください。
[サインインしたままにするオプションを表示する] オプションを構成するか見直すには、次の操作を実行します。
- Microsoft Entra 管理センターにグローバル管理者としてサインインします。
- [ID]>[会社のブランド] に移動します。 ロケールごとに [サインインしたままにするオプションを表示する] を選択します。
- [はい]、[保存] の順に選択します。
信頼済みデバイスで多要素認証の設定を記憶するには、次の手順を実行します。
- 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
- [保護]>[多要素認証] の順に移動します。
- [構成] で、 [追加のクラウドベースの MFA 設定] を選択します。
- [多要素認証サービス設定] ペインで、[多要素認証を記憶する] 設定までスクロールし、チェックボックスをオンにします。
サインインの頻度と永続的なブラウザー セッションに条件付きアクセス ポリシーを構成するには、次の手順を実行します。
- 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
- [保護]>[条件付きアクセス] に移動します。
- この記事で推奨されているセッション管理のためのオプションを使用して、ポリシーを構成します。
トークンの有効期間を確認するには、Microsoft Graph PowerShell を使用して Microsoft Entra ポリシーに対してクエリを実行します。 使用しているすべてのポリシーを無効にします。
テナントで複数の設定が有効になっている場合は、使用可能なライセンスに基づいて設定を更新することをお勧めします。 たとえば、Microsoft Entra ID P1 あるいは P2 ライセンスをお持ちの場合は、サインインの頻度および永続的ブラウザー セッションの条件付きアクセス ポリシーのみを使用する必要があります。 Microsoft 365 Apps ライセンスまたは Microsoft Entra ID Free ライセンスをお持ちの場合は、[サインインしたままにするオプションを表示する] の構成を使用する必要があります。
構成可能なトークンの有効期間を有効にした場合、この機能はすぐに削除されることに注意してください。 条件付きアクセス ポリシーへの移行を計画します。
ライセンスに基づく推奨事項を次の表に示します。
カテゴリ | Microsoft 365 Apps または Microsoft Entra ID Free | Microsoft Entra ID P1 または P2 |
---|---|---|
SSO | Microsoft Entra 参加、Microsoft Entra ハイブリッド参加、またはアンマネージド デバイス向けのシームレス SSO | Microsoft Entra 参加と Microsoft Entra ハイブリッド参加 |
再認証の設定 | [サインインしたままにするオプションを表示する] | サインインの頻度と永続的なブラウザー セッションのための条件付きアクセス ポリシー |