MFA サーバーの移行
このトピックでは、Microsoft Entra ユーザーの MFA 設定をオンプレミスの Microsoft Entra 多要素認証サーバーから Microsoft Entra 多要素認証に移行する方法について説明します。
ソリューションの概要
MFA Server Migration Utility は、オンプレミスの Microsoft Entra 多要素認証サーバーに格納されている多要素認証データを Microsoft Entra 多要素認証に直接同期するのに役立ちます。 認証データが Microsoft Entra ID に移行されると、ユーザーは再登録や認証方法の確認を行うことなく、クラウドベースの MFA をシームレスに実行できます。 管理者は、MFA Server Migration Utility を使用して、テナント全体の変更を加えることなく、単一のユーザーまたはユーザー グループをテストおよび制御されたロールアウトの対象にすることができます。
ビデオ: MFA サーバー移行ユーティリティを使用する方法
MFA Server 移行ユーティリティの概要とそのしくみについては、ビデオをご覧ください。
制限事項と要件
MFA サーバー移行ユーティリティでは、プライマリ MFA サーバーに MFA Server ソリューションの新しいビルドをインストールする必要があります。 このビルドでは、MFA Server データ ファイルが更新され、新しい MFA Server 移行ユーティリティが含まれます。 WebSDK またはユーザー ポータルを更新する必要はありません。 この更新をインストールしても、移行は自動的には開始 "されません"。
手記
MFA サーバー移行ユーティリティは、セカンダリ MFA サーバーで実行できます。 詳細については、「セカンダリ MFA サーバーを実行する (省略可能)」を参照してください。
MFA サーバー移行ユーティリティは、データベース ファイルから Microsoft Entra ID のユーザー オブジェクトにデータをコピーします。 移行中は、段階的ロールアウトを使用して、テスト目的で Microsoft Entra 多要素認証を対象にすることができます。 段階的な移行を使用すると、ドメイン フェデレーション設定を変更せずにテストできます。 移行が完了したら、ドメイン フェデレーション設定を変更して移行を完了する必要があります。
Windows Server 2016 以降を実行している AD FS は、Microsoft Entra ID や Office 365 を含まない AD FS 証明書利用者に MFA 認証を提供するために必要です。
AD FS アクセス制御ポリシーを確認し、認証プロセスの一環としてオンプレミスで MFA を実行する必要がないことを確認します。
段階的なロールアウトでは、最大 500,000 人のユーザー (10 グループにそれぞれ最大 50,000 ユーザーを含む) を対象にすることができます。
移行ガイド
MFA サーバーの移行には、通常、次のプロセスの手順が含まれます。
いくつかの重要な点:
フェーズ 1 は、テスト ユーザーを追加するときに繰り返す必要があります。
- 移行ツールは、MFA Server と Microsoft Entra 多要素認証の間で認証データを同期する必要があるユーザーを決定するために Microsoft Entra グループを使用します。 ユーザー データが同期されると、そのユーザーは Microsoft Entra 多要素認証を使用できるようになります。
- 段階的ロールアウトを使用すると、Microsoft Entra グループを使用して、ユーザーを Microsoft Entra 多要素認証に再ルーティングできます。 両方のツールで同じグループを使用することは可能ですが、その方法はお勧めしません。ユーザーがデータが同期される前に Microsoft Entra 多要素認証にリダイレクトされる可能性があるためです。 MFA Server Migration Utility によって認証データを同期するための Microsoft Entra グループと、対象ユーザーをオンプレミスではなく Microsoft Entra 多要素認証に誘導するための段階的ロールアウト用の別のグループセットを設定することをお勧めします。
フェーズ 2 は、ユーザー ベースを移行するときに繰り返す必要があります。 フェーズ 2 の終わりまでに、ユーザー ベース全体で、Microsoft Entra ID に対してフェデレーションされたすべてのワークロードに対して Microsoft Entra 多要素認証を使用する必要があります。
前のフェーズでは、段階的ロールアウト フォルダーからユーザーを削除して、Microsoft Entra 多要素認証のスコープから除外し、Microsoft Entra ID から送信されるすべての MFA 要求に対してオンプレミスの Microsoft Entra 多要素認証サーバーにルーティングすることができます。
フェーズ 3
以降のセクションでは、移行手順について詳しく説明します。
Microsoft Entra 多要素認証サーバーの依存関係を特定する
Microsoft は、クラウドベースの Microsoft Entra 多要素認証ソリューションに移行することで、セキュリティ体制を維持および改善できるように努力してきました。 依存関係のグループ化には、次の 3 つの大きなカテゴリを使用する必要があります。
移行を支援するために、広く使用されている MFA Server の機能と、カテゴリごとに Microsoft Entra 多要素認証に相当する機能を照合しました。
MFA メソッド
MFA Server を開き、[会社の設定]
| MFA サーバー | Microsoft Entra 多要素認証 |
|---|---|
| [全般] タブ | |
| [ユーザーの既定値] セクション | |
| 電話 (標準) | アクションは必要ありません |
| テキスト メッセージ (OTP)* | アクションは必要ありません |
| モバイル アプリ (Standard) | アクションは必要ありません |
| 電話通話 (PIN)* | 音声 OTP を有効にする |
| テキスト メッセージ (OTP + PIN)** | アクションは必要ありません |
| モバイル アプリ (PIN)* | [数値の一致] を有効にします |
| 電話/テキスト メッセージ/モバイル アプリ/OATH トークン言語 | 言語設定は、ブラウザーのロケール設定に基づいてユーザーに自動的に適用されます |
| 既定のPIN規則セクション | 適用されません。前のスクリーンショットの更新されたメソッドを参照してください |
| [ユーザー名解決] タブ | 適用されません。Microsoft Entra 多要素認証では、ユーザー名の解決は必要ありません |
| [テキスト メッセージ] タブの | 適用されません。Microsoft Entra 多要素認証では、テキスト メッセージに既定のメッセージが使用されます |
| [OATH トークン] タブ | 適用されません。Microsoft Entra 多要素認証では、OATH トークンに既定のメッセージが使用されます |
| レポート | Microsoft Entra 認証方法アクティビティ レポート |
*PIN を使用してプレゼンス証明機能を提供する場合は、上記で同等の機能が提供されます。 暗号化によってデバイスに関連付けられていない PIN では、デバイスが侵害されたシナリオから十分に保護されません。
**Microsoft Entra 多要素認証の既定のテキスト MFA エクスペリエンスは、認証の一部としてログイン ウィンドウに入力する必要があるコードをユーザーに送信します。 コードをラウンドトリップする要求により、存在証明機能が提供されます。
ユーザー ポータル
MFA サーバーを開き、ユーザー ポータル
| MFA サーバー | Microsoft Entra 多要素認証 |
|---|---|
| [設定] タブ | |
| ユーザー ポータルの URL | aka.ms/mfasetup |
| ユーザー登録を許可する | 統合されたセキュリティ情報の登録 を参照してください |
| - バックアップ電話の入力を求めるメッセージ | MFA サービス設定 を参照してください |
| - サード パーティの OATH トークンの入力を求める | MFA サービス設定 を参照してください |
| ユーザーが One-Time バイパスを開始できるようにする | Microsoft Entra ID TAP 機能 を参照してください |
| ユーザーによる方法の選択を許可する | MFA サービス設定 を参照してください |
| -電話 | 電話の記録に関するドキュメントを参照 |
| -テキストメッセージ | MFA サービス設定 を参照してください |
| - モバイル アプリ | MFA サービス設定 を参照してください |
| - OATH トークン | OATH トークンのドキュメント を参照してください |
| ユーザーが言語を選択できるようにする | 言語設定は、ブラウザーのロケール設定に基づいてユーザーに自動的に適用されます |
| ユーザーによるモバイル アプリのアクティブ化を許可する | MFA サービス設定 を参照してください |
| - デバイスの制限 | Microsoft Entra ID では、ユーザー 1 人あたり 5 つの累積デバイス (モバイル アプリ インスタンス + ハードウェア OATH トークン + ソフトウェア OATH トークン) にユーザーを制限します |
| フォールバックにセキュリティの質問を使用する | Microsoft Entra ID を使用すると、選択した認証方法が失敗した場合に、ユーザーは認証時にフォールバック方法を選択できます |
| - 回答する質問 | Microsoft Entra ID のセキュリティの質問は、SSPR にのみ使用できます。 Microsoft Entra のカスタムセキュリティ質問の詳細を参照してください |
| ユーザーがサード パーティの OATH トークンを関連付けることができるようにする | OATH トークンのドキュメント を参照してください |
| フォールバックに OATH トークンを使用する | OATH トークンのドキュメント を参照してください |
| セッション タイムアウト | |
| [セキュリティの質問] タブの | MFA Server のセキュリティに関する質問は、ユーザー ポータルにアクセスするために使用されました。 Microsoft Entra 多要素認証では、セルフサービス パスワード リセットに関するセキュリティの質問のみがサポートされます。 セキュリティの質問に関するドキュメントを参照してください。 |
| 「渡されたセッション」タブ | すべての認証方法の登録フローは Microsoft Entra ID によって管理され、構成は必要ありません |
| 信頼できる IP | Microsoft Entra ID の信頼済み IP アドレス および |
MFA Server で使用できる MFA メソッドは、MFA サービス設定を使用して、Microsoft Entra 多要素認証で有効にする必要があります。 ユーザーは、有効になっていない限り、新しく移行された MFA メソッドを試すことはできません。
認証サービス
Microsoft Entra 多要素認証サーバーは、認証プロキシとして機能することで、RADIUS または LDAP を使用するサードパーティ ソリューションに MFA 機能を提供できます。 RADIUS または LDAP の依存関係を検出するには、MFA Server で RADIUS 認証
アップグレードできない RADIUS 展開の場合は、NPS サーバーを展開し、Microsoft Entra 多要素認証 NPS 拡張機能をインストールする必要があります。
RADIUS にアップグレードまたは移動できない LDAP 展開の場合は、Microsoft Entra Domain Services を使用できるかどうかを判断します。 ほとんどの場合、LDAP はエンド ユーザーのインライン パスワード変更をサポートするためにデプロイされました。 移行後、エンド ユーザーは Microsoft Entra IDでセルフサービス パスワード リセット
Office 365 証明書利用者信頼を除く、証明書利用者信頼に対して AD FS 2.0 の MFA Server 認証プロバイダーを有効にした場合は、AD FS 3.0 にアップグレードするか、それらの証明書利用者を Microsoft Entra ID に直接フェデレーションする必要があります (利用者が先進認証方法をサポートしている場合)。 各依存関係に最適なアクション計画を決定します。
Microsoft Entra 多要素認証サーバー データファイルのバックアップ
プライマリ MFA サーバーの \Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (既定の場所) %programfiles%にある MFA Server データ ファイルのバックアップを作成します。 ロールバックする必要がある場合は、現在インストールされているバージョンのインストーラーのコピーがあることを確認してください。 コピーがなくなった場合は、カスタマー サポート サービスにお問い合わせください。
ユーザー アクティビティによっては、データ ファイルがすぐに古くなる可能性があります。 MFA Server に加えられた変更、またはバックアップ後にポータルを通じて行われたエンドユーザーの変更はキャプチャされません。 ロールバックした場合、この時点以降に行われた変更は復元されません。
MFA サーバーの更新プログラムをインストールする
プライマリ MFA サーバーで新しいインストーラーを実行します。 サーバーをアップグレードする前に、負荷分散または他の MFA サーバーとのトラフィック共有からサーバーを削除します。 インストーラーを実行する前に、現在の MFA サーバーをアンインストールする必要はありません。 インストーラーは、現在のインストール パス (C:\Program Files\Multi-Factor Authentication Server など) を使用してインプレース アップグレードを実行します。 Microsoft Visual C++ 2015 再頒布可能更新プログラム パッケージのインストールを求められた場合は、プロンプトを受け入れます。 パッケージの x86 バージョンと x64 バージョンの両方がインストールされます。 ユーザー ポータル、Web SDK、または AD FS アダプターの更新プログラムをインストールする必要はありません。
手記
プライマリ サーバーでインストーラーを実行すると、セカンダリ サーバーが未処理の SB エントリ
MFA サーバー移行ユーティリティを構成する
MFA Server の更新プログラムをインストールしたら、管理者特権の PowerShell コマンド プロンプトを開きます。PowerShell アイコンにカーソルを合わせ、右選択して、[管理者として実行]
このスクリプトでは、Microsoft Entra テナントのアプリケーション管理者の資格情報を指定する必要があります。 Microsoft Entra ID 内に新しい MFA Server Migration Utility アプリケーションが作成されます。これは、各 Microsoft Entra ユーザー オブジェクトにユーザー認証方法を記述するために使用されます。
移行を実行する政府機関向けクラウドのお客様の場合は、スクリプト内の ".com" エントリを ".us" に置き換えます。 このスクリプトは、HKLM:\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\ StsUrl および GraphUrl レジストリ エントリを書き込み、適切な GRAPH エンドポイントを使用するように移行ユーティリティに指示します。
次の URL にもアクセスする必要があります。
https://graph.microsoft.com/*(または政府機関向けクラウドのお客様向けのhttps://graph.microsoft.us/*)https://login.microsoftonline.com/*(または政府機関向けクラウドのお客様向けのhttps://login.microsoftonline.us/*)
このスクリプトは、新しく作成されたアプリケーションに管理者の同意を付与するように指示します。 指定された URL に移動するか、Microsoft Entra 管理センター内で、[アプリケーションの登録]
完了したら、Multi-Factor Authentication Server フォルダーに移動し、MultiFactorAuthMigrationUtilityUI アプリケーションを開きます。 次の画面が表示されます。
移行ユーティリティが正常にインストールされました。
手記
移行中に動作が変更されないようにするには、MFA サーバーがテナント参照のない MFA プロバイダーに関連付けられている場合は、移行するテナントの既定の MFA 設定 (カスタム あいさつなど) を MFA プロバイダーの設定と一致するように更新する必要があります。 ユーザーを移行する前に、これを行うことをお勧めします。
セカンダリ MFA サーバーを実行する (省略可能)
MFA Server の実装に多数のユーザーまたはビジー状態のプライマリ MFA サーバーがある場合は、MFA Server 移行ユーティリティと移行同期サービスを実行するための専用のセカンダリ MFA サーバーをデプロイすることを検討してください。 プライマリ MFA サーバーをアップグレードした後、既存のセカンダリ サーバーをアップグレードするか、新しいセカンダリ サーバーをデプロイします。 選択したセカンダリ サーバーが他の MFA トラフィックを処理しないようにする必要があります。
Configure-MultiFactorAuthMigrationUtility.ps1 スクリプトは、セカンダリ サーバーで実行して、MFA Server Migration Utility アプリの登録に証明書を登録する必要があります。 証明書は、Microsoft Graph に対する認証に使用されます。 セカンダリ MFA サーバーで移行ユーティリティと同期サービスを実行すると、手動と自動の両方のユーザー移行のパフォーマンスが向上します。
ユーザー データを移行する
ユーザー データを移行しても、Multi-Factor Authentication Server データベース内のデータは削除または変更されません。 同様に、このプロセスでは、ユーザーが MFA を実行する場所は変更されません。 このプロセスは、オンプレミス サーバーから Microsoft Entra ID の対応するユーザー オブジェクトへのデータの一方向コピーです。
MFA Server Migration ユーティリティは、すべての移行アクティビティに対して 1 つの Microsoft Entra グループを対象としています。 このグループにユーザーを直接追加することも、他のグループを追加することもできます。 移行中に段階的に追加することもできます。
移行プロセスを開始するには、移行する Microsoft Entra グループの名前または GUID を入力します。 完了したら、Tab キーを押すか、ウィンドウの外側を選択して適切なグループの検索を開始します。 グループ内のすべてのユーザーが設定されます。 大規模なグループの完了には数分かかる場合があります。
ユーザーの属性データを表示するには、ユーザーを強調表示し、表示
このウィンドウには、Microsoft Entra ID とオンプレミス MFA サーバーの両方で、選択したユーザーの属性が表示されます。 このウィンドウを使用すると、移行後にユーザーにデータがどのように書き込まれたかを表示できます。
設定 オプションを使用すると、移行プロセスの設定を変更できます。
移行 – ユーザーの既定の認証方法を移行するには、次の 3 つのオプションがあります。
- 常に移行すべきです
- Microsoft Entra ID でまだ設定されていない場合にのみ移行する
- Microsoft Entra ID でまだ設定されていない場合は、使用可能な最も安全な方法に設定します
これらのオプションは、既定の方法を移行するときに柔軟性を提供します。 さらに、移行中に認証方法ポリシーがチェックされます。 移行される既定のメソッドがポリシーで許可されていない場合は、代わりに使用可能な最も安全な方法に設定されます。
ユーザー マッチ – 既定の userPrincipalName との一致の代わりに、Microsoft Entra UPN を照合するための別のオンプレミス Active Directory 属性を指定できます。
- 移行ユーティリティは、オンプレミスの Active Directory 属性を使用する前に、UPN への直接照合を試みます。
- 一致するものが見つからない場合は、Windows API を呼び出して Microsoft Entra UPN を検索し、SID を取得します。SID は MFA Server ユーザー リストの検索に使用されます。
- Windows API でユーザーが見つからない場合、または SID が MFA サーバーで見つからない場合は、構成された Active Directory 属性を使用してオンプレミスの Active Directory でユーザーを検索し、SID を使用して MFA サーバーのユーザー一覧を検索します。
自動同期 – オンプレミスの MFA サーバー内のユーザーに対する認証方法の変更を継続的に監視し、定義された期間に Microsoft Entra ID に書き込むバックグラウンド サービスを開始します。
同期サーバー – MFA Server 移行同期サービスをプライマリでのみ実行するのではなく、セカンダリ MFA サーバーで実行できるようにします。 セカンダリ サーバーで実行するように移行同期サービスを構成するには、MFA Server Migration Utility アプリの登録に証明書を登録するために、
Configure-MultiFactorAuthMigrationUtility.ps1スクリプトをサーバー上で実行する必要があります。 証明書は、Microsoft Graph に対する認証に使用されます。
移行プロセスは、自動でも手動でもかまいません。
手動プロセスの手順は次のとおりです。
ユーザーの移行プロセスまたは複数のユーザーの選択を開始するには、Ctrl キーを押しながら、移行する各ユーザーを選択します。
目的のユーザーを選択した後、[ユーザーの移行]>[選択したユーザー]>[OK]を選択します。
グループ内のすべてのユーザーを移行するには、[ユーザーの移行]>[Microsoft Entra グループのすべてのユーザー]>[OK]を選択します。
変更されていない場合でも、ユーザーを移行できます。 既定では、ユーティリティは を変更したユーザーのみを移行するように設定されます。 [すべてのユーザーの移行] を選択して、変更されていない以前に移行したユーザーを再移行します。 変更されていないユーザーの移行は、管理者がユーザーの Microsoft Entra 多要素認証設定をリセットする必要があり、再移行する必要がある場合に、テスト中に役立ちます。
![[ユーザーの移行] ダイアログのスクリーンショット。](media/how-to-mfa-server-migration-utility/migrate-users.png)
自動プロセスでは、[
次の表に、さまざまなメソッドの同期ロジックを示します。
| 方式 | 論理 |
|---|---|
| 電話 | 内線番号がない場合は、MFA 電話を更新します。 内線番号がある場合は、オフィスの電話を更新してください。 例外: 既定の方法がテキスト メッセージの場合は、拡張機能を削除し、MFA 電話を更新します。 |
| バックアップ用の電話 | 内線番号がない場合は、代替電話を更新します。 内線番号がある場合は、事務所の電話を更新してください。 例外: 電話とバックアップ電話の両方に内線番号がある場合は、バックアップ電話をスキップします。 |
| モバイル アプリ | 最大 5 つのデバイスが移行されます。ユーザーがハードウェア OATH トークンを持っている場合は 4 つだけです。 同じ名前のデバイスが複数ある場合は、最新のデバイスのみを移行します。 デバイスは最新から最も古い順に並べ替えられます。 Microsoft Entra ID に既にデバイスが存在する場合は、OATH トークン秘密鍵と照合して、それに基づいて更新を行います。 - OATH トークン シークレット キーに一致するものがない場合は、デバイス トークンで一致します -- 見つかった場合は、OATH Token メソッドを機能させるために MFA サーバー デバイスのソフトウェア OATH トークンを作成します。 通知は、既存の Microsoft Entra 多要素認証デバイスを使用して引き続き機能します。 -- 見つからない場合は、新しいデバイスを作成します。 新しいデバイスの追加が 5 つのデバイスの制限を超えた場合、デバイスはスキップされます。 |
| OATH トークン | デバイスが Microsoft Entra ID に既に存在する場合は、OATH トークン秘密鍵を照合し、その後更新します。 - 見つからない場合は、新しいハードウェア OATH トークン デバイスを追加します。 新しいデバイスの追加が 5 つのデバイスの制限を超えた場合、OATH トークンはスキップされます。 |
MFA メソッドは、移行された内容に基づいて更新され、既定の方法が設定されます。 MFA Server は、最後の移行タイムスタンプを追跡し、ユーザーの MFA 設定が変更された場合、または管理者が [の設定] ダイアログで移行する内容を変更した場合にのみ、ユーザーを再度移行します。
テスト中は、最初に手動移行を行い、特定の数のユーザーが期待どおりに動作するようにテストすることをお勧めします。 テストが成功したら、移行する Microsoft Entra グループの自動同期を有効にします。 このグループにユーザーを追加すると、ユーザーの情報は自動的に Microsoft Entra ID に同期されます。 MFA Server Migration Utility は 1 つの Microsoft Entra グループを対象としますが、そのグループには、ユーザーと入れ子になったユーザーのグループの両方を含めることができます。
完了すると、完了したタスクが確認されます。
確認メッセージで説明したように、移行されたデータが Microsoft Entra ID 内のユーザー オブジェクトに表示されるまでに数分かかる場合があります。 ユーザーは、aka.ms/mfasetupに移動して、移行されたメソッドを表示できます。
ヒント
Microsoft Entra MFA メソッドを表示する必要がない場合は、グループの表示に必要な時間を短縮できます。 >Azure AD MFA メソッド を選択して、AAD 既定、AAD 電話、AAD 代替、AAD オフィス、AAD デバイス、および AAD OATH トークンの列表示を切り替えます。 列が非表示の場合、一部の Microsoft Graph API 呼び出しはスキップされるため、ユーザーの読み込み時間が大幅に短縮されます。
移行の詳細を表示する
監査ログまたは Log Analytics を使用して、MFA Server から Microsoft Entra への多要素認証ユーザー移行の詳細を表示できます。
監査ログを使用する
Microsoft Entra 管理センターの監査ログにアクセスして、MFA Server から Microsoft Entra 多要素認証へのユーザー移行の詳細を表示するには、次の手順に従います。
少なくとも 認証管理者として、Microsoft Entra 管理センター にサインインします。
[ID]>[監視と正常性]>[監査ログ] の順に移動します。 ログをフィルター処理するには、フィルターを追加を選択します。
[開始者 (アクター)] を選択し、[適用] を選択します。
![[アクターによって開始] オプションのスクリーンショット。](media/how-to-mfa-server-migration-utility/actor.png)
「Microsoft Entra 多要素認証管理」と入力し、[適用] を選択します。
このフィルターには、MFA Server Migration Utility ログのみが表示されます。 ユーザー移行の詳細を表示するには、行を選択し、[変更されたプロパティ] タブ
選択します。このタブには、登録済みの MFA メソッドと電話番号の変更が表示されます。 
次の表に、各コードの認証方法を示します。
コード 方式 0 Voice モバイル 2 音声オフィス 3 音声代替モバイル 5 SMS 6 Microsoft Authenticator プッシュ通知 7 ハードウェアまたはソフトウェア トークン OTP ユーザー デバイスが移行された場合は、別のログ エントリがあります。
Log Analytics を使用する
MFA Server から Microsoft Entra への多要素認証ユーザー移行の詳細は、Log Analytics を使用して照会することもできます。
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc
このスクリーンショットは、ユーザー移行の変更を示しています。
このスクリーンショットは、デバイス移行の変更を示しています。
Log Analytics を使用して、ユーザーの移行アクティビティを集計することもできます。
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)
検証とテスト
ユーザー データが正常に移行されたら、グローバル テナントを変更する前に、段階的ロールアウトを使用してエンドユーザー エクスペリエンスを検証できます。 次のプロセスでは、MFA の段階的ロールアウトの特定の Microsoft Entra グループを対象とすることができます。 段階的ロールアウトでは、対象グループのユーザーに対して、MFA を実行するためにオンプレミスで送信するのではなく、Microsoft Entra 多要素認証を使用して MFA を実行するように Microsoft Entra ID に指示します。 検証とテストは可能です。Microsoft Entra 管理センターを使用することをお勧めしますが、必要に応じて Microsoft Graph を使用することもできます。
段階的ロールアウトを有効にする
次の URL に移動します。 段階的なロールアウト機能を有効にする - Microsoft Azure。
[Azure 多要素認証] を [オン] に変更し、[グループの管理] を選択します。
[グループ の追加] を選択し、Microsoft Entra 多要素認証を有効にするユーザーを含むグループを追加します。 選択したグループが表示リストに表示されます。
手記
次の Microsoft Graph メソッドを使用して対象とするグループも、この一覧に表示されます。
![[グループの管理] メニューのスクリーンショット。](media/how-to-mfa-server-migration-utility/managed-groups.png)
Microsoft Graph を使用して段階的ロールアウトを有効にする
featureRolloutPolicy を作成します
aka.ms/ge に移動し、段階的ロールアウト用に設定するテナントのハイブリッド ID 管理者アカウントを使用して Graph Explorer にログインします。
次のエンドポイントをターゲットとする POST が選択されていることを確認します:
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies要求の本文には、以下が含まれている必要があります (「MFA ロールアウト ポリシー」は組織の名前と説明に変更してください)。
{ "displayName": "MFA rollout policy", "description": "MFA rollout policy", "feature": "multiFactorAuthentication", "isEnabled": true, "isAppliedToOrganization": false }
同じエンドポイントで GET を実行し、ID 値を書き留めます (次の図を参照)。
テストするユーザーを含む Microsoft Entra グループをターゲットにする
次のエンドポイントを使用して POST 要求を作成します ({ID of policy} を、手順 1d からコピーした ID 値に置き換えます)。
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$ref要求の本文には、次のものが含まれている必要があります ({ID of group} を、段階的ロールアウトの対象にするグループのオブジェクト ID に置き換えます)。
{ "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}" }段階的ロールアウトでターゲットにする他のグループに対して、ステップ a と b を繰り返します。
現在のポリシーを表示するには、次の URL に対して GET を実行します。
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesTo上記のプロセスでは、featureRolloutPolicy リソースを使用します。 パブリック ドキュメントは、新しい multifactorAuthentication 機能でまだ更新されていませんが、API の操作方法に関する詳細な情報が含まれています。
エンド ユーザーの MFA エクスペリエンスを確認します。 確認すべき点をいくつか次に示します。
- ユーザーは自分のメソッドを aka.ms/mfasetupで確認できますか?
- ユーザーは電話/テキスト メッセージを受信しますか?
- 上記の方法を使用して正常に認証できますか?
- ユーザーは Authenticator 通知を正常に受信しますか? これらの通知を承認することはできますか? 認証は成功しましたか?
- ユーザーはハードウェア OATH トークンを使用して正常に認証できますか?
ユーザーを教育する
新しい認証フローを含め、Microsoft Entra 多要素認証に移行したときに想定される内容をユーザーが把握していることを確認します。 移行が完了したら、ユーザー ポータルではなく、Microsoft Entra ID 結合登録ポータル (aka.ms/mfasetup) を使用して認証方法を管理するようにユーザーに指示することもできます。 Microsoft Entra ID の認証方法に加えられた変更は、オンプレミス環境に反映されません。 MFA Server にロールバックする必要がある状況では、ユーザーが Microsoft Entra ID で行った変更は、MFA サーバー ユーザー ポータルでは使用できません。
認証に Microsoft Entra 多要素認証サーバーに依存するサード パーティ製ソリューションを使用する場合 (認証サービスの
ユーザーの移行を完了する
すべてのユーザー データが移行されるまで、「ユーザー データの移行」および「検証とテスト」セクションに記載されている移行手順を繰り返します。
MFA サーバーの依存関係を移行する
認証サービスで収集したデータ ポイントを使用して、必要なさまざまな移行の実行を開始します。 これが完了したら、MFA サーバーのユーザー ポータルではなく、統合された登録ポータルでユーザーに認証方法を管理してもらうことを検討してください。
ドメイン フェデレーション設定を更新する
ユーザーの移行を完了し、すべての 認証サービスを MFA Server から 移動したら、ドメインのフェデレーション設定を更新します。 更新後、Microsoft Entra はオンプレミスのフェデレーション サーバーに MFA 要求を送信しなくなりました。
オンプレミスのフェデレーション サーバーへの MFA 要求を無視するように Microsoft Entra ID を構成するには、次の例に示すように、
依頼
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
応答
手記
ここで示す応答オブジェクトは、読みやすくするために短縮される場合があります。
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
ユーザーが段階的ロールアウト ツールの対象であるかどうかに関係なく、MFA のためにオンプレミスのフェデレーション サーバーにリダイレクトされなくなります。 有効になるまでに最大 24 時間かかる場合があることに注意してください。
手記
ドメイン フェデレーション設定の更新が有効になるまでに最大 24 時間かかることがあります。
省略可能: MFA サーバー ユーザー ポータルを無効にする
すべてのユーザー データの移行が完了したら、エンド ユーザーは Microsoft Entra ID の統合登録ページの使用を開始して MFA メソッドを管理できます。 ユーザーが MFA Server でユーザー ポータルを使用できないようにするには、次の 2 つの方法があります。
- MFA Server ユーザー ポータルの URL を aka.ms/mfasetup にリダイレクトする
- MFA Server の [ユーザー ポータル] セクションの [設定] タブの [ ログインをユーザーに許可する] チェック ボックスをオフにして、ユーザーがポータルに完全にログインできないようにします。
MFA サーバーの使用停止
Microsoft Entra 多要素認証サーバーが不要になったら、通常のサーバーの非推奨のプラクティスに従ってください。 MFA サーバーの提供終了を示すために、Microsoft Entra ID に特別なアクションは必要ありません。
ロールバック計画
アップグレードに問題がある場合は、次の手順に従ってロールバックします。
MFA Server 8.1 をアンインストールします。
PhoneFactor.pfdata をアップグレードする前に作成されたバックアップに置き換えます。
手記
バックアップが行われた後の変更はすべて失われますが、アップグレードの直前にバックアップが行われ、アップグレードが失敗した場合は最小限にする必要があります。
以前のバージョン (8.0.x.x など) のインストーラーを実行します。
オンプレミスのフェデレーション サーバーへの MFA 要求を受け入れるように Microsoft Entra ID を構成します。 次の例に示すように、Graph PowerShell 使用して federatedIdpMfaBehavior を
enforceMfaByFederatedIdpに設定します。要求
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc Content-Type: application/json { "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }読みやすくするために、次の応答オブジェクトが短縮されています。
応答
HTTP/1.1 200 OK Content-Type: application/json { "@odata.type": "#microsoft.graph.internalDomainFederation", "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc", "issuerUri": "http://contoso.com/adfs/services/trust", "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex", "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "passiveSignInUri": "https://sts.contoso.com/adfs/ls", "preferredAuthenticationProtocol": "wsFed", "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed", "signOutUri": "https://sts.contoso.com/adfs/ls", "promptLoginBehavior": "nativeSupport", "isSignedAuthenticationRequestRequired": true, "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "signingCertificateUpdateStatus": { "certificateUpdateResult": "Success", "lastRunDateTime": "2021-08-25T07:44:46.2616778Z" }, "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }
Microsoft Entra 多要素認証 の
次の手順
- MFA Server から Microsoft Entra 多要素認証に移行する方法の概要
- 段階的ロールアウト を使用してクラウド認証に移行する