次の方法で共有


Microsoft Entra ID で外部認証方法を管理する (プレビュー)

外部認証方法 (EAM) は、ユーザーが Microsoft Entra ID に署名する場合、多要素認証 (MFA) の要件を満たす外部プロバイダーを選択できるようにします。 EAMは、条件付きアクセスポリシー、Microsoft Entra ID 保護のリスクベースの条件付きアクセスポリシー、Privileged Identity Management(PIM)のアクティベーション、およびアプリケーション自体がMFAを必要とする場合のMFA要件を満たすことができます。

EAM がフェデレーションと異なるのは、ユーザー ID が Microsoft Entra ID で生成され管理される点です。 フェデレーションでは、ID は外部の ID プロバイダーで管理されます。 EAM には、少なくとも Microsoft Entra ID P1 ライセンスが必要です。

外部認証方法のしくみを示す図。

EAM を構成するために必要なメタデータ

EAM を作成するには、外部認証プロバイダーから次の情報が必要です。

  • アプリケーション ID は、一般的にはプロバイダーのマルチテナント アプリケーションで、統合の一部として使用されます。 テナントのこのアプリケーションには、管理者の同意が必要です。

  • クライアント ID は、認証を要求する Microsoft Entra ID を識別するために、認証統合の一部として使用されるプロバイダーの識別子です。

  • 探索 URL は、外部認証プロバイダーの OpenID Connect (OIDC) 検出エンドポイントです。

    注意

    アプリの登録を設定するには、「Microsoft Entra ID を使って新しい外部認証プロバイダーを構成する」を参照してください。

Microsoft Entra 管理センターで EAM を管理する

EAM は、組み込みのメソッドと同様に、Microsoft Entra ID 認証メソッド ポリシーで管理されます。

管理センターで EAM を作成する

管理センターで EAM を作成する前に、EAM を構成するためのメタデータがあることを確認してください。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。

  2. [保護]>[認証方法]>[外部メソッドの追加] (プレビュー) の順に移動します。

    Microsoft Entra 管理センターで EAM を追加する方法を示すスクリーンショット。

    プロバイダーからの構成情報に基づいてメソッドのプロパティを追加します。 次に例を示します。

    • 名前: Adatum
    • クライアント ID: 00001111-aaaa-2222-bbbb-3333cccc4444
    • 探索エンドポイント: https://adatum.com/.well-known/openid-configuration
    • アプリ ID: 11112222-bbbb-3333-cccc-4444dddd5555

    重要

    表示名は、メソッド ピッカーでユーザーに表示される名前です。 メソッドの作成後は名前を変更できません。 表示名は一意である必要があります。

    EAM プロパティを追加する方法のスクリーンショット。

    プロバイダーのアプリケーションに対する管理者の同意を付与するには、少なくとも特権ロール管理者ロールが必要です。 同意の付与に必要なロールがない場合でも、認証方法を保存することはできますが、同意が付与されるまで有効にすることはできません。

    プロバイダーからの値を入力した後、ボタンを押して、正しく認証するために必要な情報をユーザーから読み取ることができるように、アプリケーションに管理者の同意を付与するよう要求します。 管理者アクセス許可を持つアカウントでサインインし、プロバイダーのアプリケーションに必要なアクセス許可を付与するよう要求されます。

    サインイン後、[同意] をクリックして管理者の同意を付与します。

    管理者の同意を付与する方法を示すスクリーンショット。

    同意を付与する前に、プロバイダーのアプリケーションで要求されているアクセス許可を確認できます。 管理者の同意を付与し、変更が複製されると、管理者の同意が付与されたことを示すためにページが更新されます。

    同意が付与された後の認証方法ポリシーのスクリーンショット。

アプリケーションにアクセス許可がある場合は、保存する前にメソッドを有効にすることもできます。 そうでない場合は、メソッドを無効の状態で保存し、アプリケーションの同意が付与された後に有効にする必要があります。

メソッドが有効になると、範囲内のすべてのユーザーが MFA プロンプトに対してこのメソッドを選択できるようになります。 プロバイダーからのアプリケーションの同意が承認されていない場合、そのメソッドでのサインインは失敗します。

アプリケーションが削除されたり、アクセス許可がなくなったりすると、ユーザーにエラーが表示され、サインインに失敗します。 メソッドは使用できません。

管理センターで EAM を構成する

Microsoft Entra 管理センターで EAM を管理するには、認証方法ポリシーを開きます。 メソッド名を選択すると、構成オプションが開きます。 どのユーザーをこのメソッドに含めるか、除外するかを選択することができます。

特定のユーザーに対する EAM の使用状況の範囲を設定する方法を示すスクリーンショット。

管理センターで EAM を削除する

ユーザーが EAM を使用できないようにする場合は、次のような方法があります。

  • [有効にする][オフ] に設定して、メソッド構成を保存します
  • [削除] をクリックして、メソッドを削除します

EAM を削除する方法のスクリーンショット。

Microsoft Graph を使用して EAM を管理する

Microsoft Graph を使用して認証方法ポリシーを管理するには、Policy.ReadWrite.AuthenticationMethod アクセス許可が必要です。 詳細については、「authenticationMethodsPolicy を更新する」を参照してください。

ユーザー エクスペリエンス

EAM が有効になっているユーザーは、サインイン時に EAM を使用でき、多要素認証が必要です。

注意

Microsoft は、EAM を使用したシステムが優先する MFA をサポートするために積極的に取り組んでいます。

ユーザーが他の方法でサインインし、システムが優先する MFA が有効になっている場合、既定の順序で他の方法が表示されます。 ユーザーは別の方法を使用することを選択し、EAM を選択することができます。 たとえば、ユーザーが別の方法として Authenticator を有効にしている場合、数値の一致が要求されます。

システムが優先する MFA が有効な場合の EAM の選択方法を示すスクリーンショット。

ユーザーが他の方法を有効にしていない場合は、EAM を選択するだけです。 外部認証プロバイダーにリダイレクトされ、認証が完了します。

EAM を使用してサインインする方法を示すスクリーンショット。

認証方法 EAM の登録

プレビューでは、EAM のインクルード グループ内のすべてのユーザーは MFA 対応と見なされ、MFA を満たす外部認証方法が使用できます。 EAM のインクルード ターゲットであるために MFA 対応のユーザーは、認証方法の登録に関するレポートには含まれません。

注意

EAM の登録機能の追加に積極的に取り組んでいます。 登録が追加されると、EAM を以前に使用していたユーザーは、MFA を満たすために EAM を使用するように求めるメッセージが表示される前に、EAM を Entra ID に登録しておくことが必要です。

EAMと 条件付きアクセス カスタム コントロールを並行して使用する

EAM とカスタム コントロールは並行して操作できます。 Microsoft では、管理者に次の 2 つの条件付きアクセス ポリシーを構成することを推奨しています。

  • カスタム コントロールを適用するための 1 つのポリシー
  • MFA の付与が必要なもう 1 つのポリシー

各ポリシーにユーザーのテスト グループを含めますが、両方ではありません。 ユーザーが両方のポリシーに含まれる場合、または両方の条件を持つポリシーに含まれる場合、ユーザーはサインイン時に MFA を満たす必要があります。 また、カスタム コントロールを満たす必要があるため、外部プロバイダーに 2 回リダイレクトされます。

次のステップ

認証方法を管理する方法の詳細については、「Microsoft Entra ID の認証方法を管理する」を参照してください。

EAM プロバイダーのリファレンスについては、「Microsoft Entra 多要素認証の外部メソッド プロバイダーの参照 (プレビュー)」を参照してください。