編集

次の方法で共有


Microsoft Entra 多要素認証のユーザー認証方法を管理する

Microsoft Entra ID のユーザーには、次の 2 つの異なる連絡先情報のセットがあります。

  • パブリック プロファイルの連絡先情報。これはユーザー プロファイルで管理され、自分の組織のメンバーに表示されます。 オンプレミスの Active Directory から同期したユーザーの場合、この情報はオンプレミスの Windows Server Active Directory Domain Services で管理されます。
  • 認証方法。これは常に非公開で、多要素認証を含む認証にのみ使用されます。 管理者はユーザーの認証方法ブレードでこれらの方法を管理でき、ユーザーは MyAccount の [セキュリティ情報] ページで自分の方法を管理できます。

ユーザーの Microsoft Entra 多要素認証方法を管理するとき、認証管理者は次のことができます。

  • MFA に使用される電話番号など、特定のユーザーの認証方法を追加します。
  • ユーザーのパスワードをリセットします。
  • ユーザーに MFA の再登録を要求します。
  • 既存の MFA セッションを取り消します。
  • ユーザーの既存のアプリ パスワードを削除する。

Note

このトピックのスクリーンショットには、Microsoft Entra 管理センターの更新されたエクスペリエンスを使用してユーザー認証方法を管理する方法を示します。 従来のエクスペリエンスもあり、管理者は管理センターのバナーを使用して 2 つを切り替えることができます。 最新のエクスペリエンスは従来のエクスペリエンスと完全な同等性を有し、一時アクセス パス、パスキー、その他の設定などの最新のメソッドを管理します。 Microsoft Entra 管理センターでの従来のエクスペリエンスは、2024 年 10 月 31 日以降は廃止されます。 廃止の前に組織がとるべきアクションはありません。

前提条件

Microsoft Entra 多要素認証。既定では有効になっています。

ユーザーの認証方法を追加または変更する

Microsoft Entra 管理センターまたは Microsoft Graph PowerShell を使用して、ユーザーの認証方法を追加または変更できます。 Microsoft Entra 管理センターでのユーザー認証方法を管理するための従来のメソッドは、2024 年 10 月 31 日以降廃止されます。

Note

セキュリティ上の理由から、パブリック ユーザーの連絡先情報フィールドを使用して MFA を実行しないでください。 代わりに、ユーザーは、MFA に使用する自分の認証方法番号を入力する必要があります。

Microsoft Entra 管理センターからの認証方法の追加方法のスクリーンショット。

Microsoft Entra 管理センターでユーザーの認証方法を追加または変更するには:

  1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 認証方法を追加または変更するユーザーを選択し、[認証方法] を選択 します
  4. ウィンドウの上部にある [+ 認証方法の追加] を選択します。
    • 方法 (電話番号または電子メール) を選択します。 電子メールは、自己パスワードのリセットに使用できますが、認証には使用できません。 電話番号を追加する場合は、電話の種類を選択し、有効な形式で電話番号を入力します (+1 4255551234 など)。
    • [追加] を選択します。

ユーザーはマイ サインインで独自の 認証方法を追加または編集できます |セキュリティ情報。 たとえば、電話番号を変更するには、[電話番号] を選択して [変更] をタップします

PowerShell を使用して方法を管理する

次のコマンドを使用して、Microsoft.Graph.Identity.Signins PowerShell モジュールをインストールします。

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

ユーザー認証オプションを管理する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

認証管理者は、パスワードのリセット、MFA の再登録、またはユーザー オブジェクトからの既存の MFA セッションの取り消しを他のユーザーに要求できます。 ユーザーは自分のユーザー オブジェクトを更新できません。 独自のセキュリティ方法を変更またはリセットするには、セキュリティ情報に移動するか、セルフサービス パスワード リセットに移動してパスワードをリセットします。 他のユーザー設定を管理するには、次の手順を実行します。

  1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

  3. 操作の実行対象のユーザーを選択し、 [認証方法] を選択します。 ウィンドウの上部で、ユーザーに対して次のいずれかのオプションを選択します。

    • [パスワードのリセット]: ユーザーのパスワードがリセットされ、次のサインイン時に変更する必要がある一時パスワードが割り当てられます。
    • [MFA の再登録が必要]: ユーザーのハードウェア OATH トークンが非アクティブ化され、このユーザーから次の認証方法 (電話番号、Microsoft Authenticator アプリ、ソフトウェア OATH トークン) が削除されます。 必要に応じて、ユーザーは次回サインインする際に新しい MFA 認証方法を設定することが求められます。
    • [MFA セッションの取り消し]: ユーザーの記憶済み MFA セッションがクリアされ、デバイス上のポリシーによって次回要求されたときに MFA を実行するように要求されます。

    Microsoft Entra 管理センターからの認証方法の管理のスクリーンショット。

ユーザーの既存のアプリ パスワードを削除する

アプリ パスワードを定義したユーザーの場合、管理者はこれらのパスワードを削除して、これらのアプリケーションのレガシ認証が失敗するようにすることも選択できます。 これらのアクションは、ユーザーを支援する必要がある場合や認証方法をリセットする必要がある場合に必要になることがあります。 これらのアプリ パスワードに関連付けられているブラウザー以外のアプリは、新しいアプリ パスワードが作成されるまで機能しなくなります。

ユーザーのアプリ パスワードを削除するには、次の手順を実行します。

  1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

  3. [多要素認証] を選択します。 このメニュー オプションを表示するには、必要に応じて右にスクロールします。 以下のスクリーンショット例を選択して、ウィンドウ全体とメニューの場所を確認してください。Microsoft Entra ID の [ユーザー] ウィンドウから多要素認証を選択しているスクリーンショット。

  4. ユーザーまたは管理するユーザーの横にあるチェック ボックスをオンにします。 クイック ステップのオプションの一覧が右側に表示されます。

  5. 次の例に示すように、[ユーザー設定の管理] を選択し、[選択したユーザーが生成したすべての既存のアプリケーション パスワードを削除する] チェックボックスをオンにします。[すべての既存のアプリ パスワードを削除する] のスクリーンショット。

  6. [保存][閉じる] の順に選択します。