Microsoft Entra ID で外部認証方法を管理する (プレビュー)
外部認証方法 (EAM) は、ユーザーが Microsoft Entra ID に署名する場合、多要素認証 (MFA) の要件を満たす外部プロバイダーを選択できるようにします。 EAMは、条件付きアクセスポリシー、Microsoft Entra ID 保護のリスクベースの条件付きアクセスポリシー、Privileged Identity Management(PIM)のアクティベーション、およびアプリケーション自体がMFAを必要とする場合のMFA要件を満たすことができます。
EAM がフェデレーションと異なるのは、ユーザー ID が Microsoft Entra ID で生成され管理される点です。 フェデレーションでは、ID は外部の ID プロバイダーで管理されます。 EAM には、少なくとも Microsoft Entra ID P1 ライセンスが必要です。
EAM を構成するために必要なメタデータ
EAM を作成するには、外部認証プロバイダーから次の情報が必要です。
アプリケーション ID は、一般的にはプロバイダーのマルチテナント アプリケーションで、統合の一部として使用されます。 テナントのこのアプリケーションには、管理者の同意が必要です。
クライアント ID は、認証を要求する Microsoft Entra ID を識別するために、認証統合の一部として使用されるプロバイダーの識別子です。
探索 URL は、外部認証プロバイダーの OpenID Connect (OIDC) 検出エンドポイントです。
Note
アプリの登録を設定するには、「Microsoft Entra ID を使って新しい外部認証プロバイダーを構成する」を参照してください。
Microsoft Entra 管理センターで EAM を管理する
EAM は、組み込みのメソッドと同様に、Microsoft Entra ID 認証メソッド ポリシーで管理されます。
管理センターで EAM を作成する
管理センターで EAM を作成する前に、EAM を構成するためのメタデータがあることを確認してください。
Microsoft Entra 管理センターに特権ロール管理者以上としてサインインします。
[保護]>[認証方法]>[外部メソッドの追加] (プレビュー) の順に移動します。
プロバイダーからの構成情報に基づいてメソッドのプロパティを追加します。 次に例を示します。
- 名前: Adatum
- クライアント ID: 00001111-aaaa-2222-bbbb-3333cccc4444
- 探索エンドポイント:
https://adatum.com/.well-known/openid-configuration
- アプリ ID: 11112222-bbbb-3333-cccc-4444dddd5555
重要
表示名は、メソッド ピッカーでユーザーに表示される名前です。 メソッドの作成後は名前を変更できません。 表示名は一意である必要があります。
プロバイダーのアプリケーションに対する管理者の同意を付与するには、少なくとも特権ロール管理者ロールが必要です。 同意の付与に必要なロールがない場合でも、認証方法を保存することはできますが、同意が付与されるまで有効にすることはできません。
プロバイダーからの値を入力した後、ボタンを押して、正しく認証するために必要な情報をユーザーから読み取ることができるように、アプリケーションに管理者の同意を付与するよう要求します。 管理者アクセス許可を持つアカウントでサインインし、プロバイダーのアプリケーションに必要なアクセス許可を付与するよう要求されます。
サインイン後、[同意] をクリックして管理者の同意を付与します。
同意を付与する前に、プロバイダーのアプリケーションで要求されているアクセス許可を確認できます。 管理者の同意を付与し、変更が複製されると、管理者の同意が付与されたことを示すためにページが更新されます。
アプリケーションにアクセス許可がある場合は、保存する前にメソッドを有効にすることもできます。 そうでない場合は、メソッドを無効の状態で保存し、アプリケーションの同意が付与された後に有効にする必要があります。
メソッドが有効になると、範囲内のすべてのユーザーが MFA プロンプトに対してこのメソッドを選択できるようになります。 プロバイダーからのアプリケーションの同意が承認されていない場合、そのメソッドでのサインインは失敗します。
アプリケーションが削除されたり、アクセス許可がなくなったりすると、ユーザーにエラーが表示され、サインインに失敗します。 メソッドは使用できません。
管理センターで EAM を構成する
Microsoft Entra 管理センターで EAM を管理するには、認証方法ポリシーを開きます。 メソッド名を選択すると、構成オプションが開きます。 どのユーザーをこのメソッドに含めるか、除外するかを選択することができます。
管理センターで EAM を削除する
ユーザーが EAM を使用できないようにする場合は、次のような方法があります。
- [有効にする] を [オフ] に設定して、メソッド構成を保存します
- [削除] をクリックして、メソッドを削除します
Microsoft Graph を使用して EAM を管理する
Microsoft Graph を使用して認証方法ポリシーを管理するには、Policy.ReadWrite.AuthenticationMethod
アクセス許可が必要です。 詳細については、「authenticationMethodsPolicy を更新する」を参照してください。
ユーザー エクスペリエンス
EAM が有効になっているユーザーは、サインイン時に EAM を使用でき、多要素認証が必要です。
Note
Microsoft は、EAM を使用したシステムが優先する MFA をサポートするために積極的に取り組んでいます。
ユーザーが他の方法でサインインし、システムが優先する MFA が有効になっている場合、既定の順序で他の方法が表示されます。 ユーザーは別の方法を使用することを選択し、EAM を選択することができます。 たとえば、ユーザーが別の方法として Authenticator を有効にしている場合、数値の一致が要求されます。
ユーザーが他の方法を有効にしていない場合は、EAM を選択するだけです。 外部認証プロバイダーにリダイレクトされ、認証が完了します。
認証方法 EAM の登録
プレビューでは、EAM のインクルード グループ内のすべてのユーザーは MFA 対応と見なされ、MFA を満たす外部認証方法が使用できます。 EAM のインクルード ターゲットであるために MFA 対応のユーザーは、認証方法の登録に関するレポートには含まれません。
Note
EAM の登録機能の追加に積極的に取り組んでいます。 登録が追加されると、EAM を以前に使用していたユーザーは、MFA を満たすために EAM を使用するように求めるメッセージが表示される前に、EAM を Entra ID に登録しておくことが必要です。
EAMと 条件付きアクセス カスタム コントロールを並行して使用する
EAM とカスタム コントロールは並行して操作できます。 Microsoft では、管理者に次の 2 つの条件付きアクセス ポリシーを構成することを推奨しています。
- カスタム コントロールを適用するための 1 つのポリシー
- MFA の付与が必要なもう 1 つのポリシー
各ポリシーにユーザーのテスト グループを含めますが、両方ではありません。 ユーザーが両方のポリシーに含まれる場合、または両方の条件を持つポリシーに含まれる場合、ユーザーはサインイン時に MFA を満たす必要があります。 また、カスタム コントロールを満たす必要があるため、外部プロバイダーに 2 回リダイレクトされます。
次のステップ
認証方法を管理する方法の詳細については、「Microsoft Entra ID の認証方法を管理する」を参照してください。
EAM プロバイダーのリファレンスについては、「Microsoft Entra 多要素認証の外部メソッド プロバイダーの参照 (プレビュー)」を参照してください。