チュートリアル: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護する
多要素認証 (MFA) は、サインイン・イベントの間に、ユーザが追加的な識別形態を要求されるプロ セスであります。 たとえば、携帯電話でのコード入力や指紋のスキャンが求められる場合があります。 2 つ目の認証形式を要求すると、この追加要素は、攻撃者が容易に取得したり複製したりできないため、セキュリティが向上します。
Microsoft Entra 多要素認証と条件付きアクセス ポリシーを使用すると、特定のサインイン イベント中にユーザーに MFA を要求する柔軟性が得られます。
重要
このチュートリアルでは、管理者が Microsoft Entra 多要素認証を有効にする方法について説明します。 ユーザーとして多要素認証を実行するには、「2 段階認証方法を使って職場または学校アカウントにサインインする」を参照してください。
IT チームが Microsoft Entra 多要素認証を使用する機能を有効にしていない場合、またはサインイン時に問題が発生した場合は、ヘルプ デスクに連絡して追加のサポートを依頼してください。
このチュートリアルで学習する内容は次のとおりです。
- ユーザーのグループに対してMicrosoft Entra 多要素認証を有効にする条件付きアクセス ポリシーを作成する。
- MFA を求めるポリシーの条件を構成する。
- ユーザーとして多要素認証の構成と使用をテストする。
前提条件
このチュートリアルを完了するには、以下のリソースと特権が必要です。
Microsoft Entra ID P1 か試用版のライセンスが有効になっている稼働中の Microsoft Entra テナント。
- 必要に応じて、無料で作成できます。
少なくとも条件付きアクセス管理者ロールのあるアカウント。 一部の MFA 設定は、認証ポリシー管理者が管理することもできます。
パスワードがわかっている管理者以外のアカウント。 このチュートリアルでは、このようなアカウントとして、testuser という名前のアカウントを作成しています。 このチュートリアルでは、Microsoft Entra 多要素認証を構成して使用するエンドユーザー エクスペリエンスをテストします。
- ユーザー アカウントの作成方法については、「Microsoft Entra ID を使用してユーザーを追加または削除する」を参照してください。
管理者以外のユーザーが所属するグループ。 このチュートリアルでは、このようなグループとして、MFA-Test-Group という名前のグループを作成しています。 このチュートリアルでは、このグループに対して Microsoft Entra 多要素認証を有効にします。
- グループの作成方法の詳細については、「Microsoft Entra ID を使用して基本グループを作成してメンバーを追加する」を参照してください。
条件付きアクセス ポリシーを作成する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra Multi-Factor Authentication を有効にして使用する推奨の方法は、Conditional Access ポリシーを使用することです。 条件付きアクセスを使用すると、サインイン イベントに反応し、アプリケーションまたはサービスへのアクセスをユーザーに許可する前に二次的なアクションを要求するポリシーを作成および定義することができます。
条件付きアクセス ポリシーは、特定のユーザー、グループ、アプリに適用できます。 目標は、組織を保護しながら、アクセスを必要とするユーザーに適切なレベルのアクセスを提供することです。
このチュートリアルでは、ユーザーがサインインしたときに MFA を求める基本的な条件付きアクセス ポリシーを作成します。 このシリーズの後続のチュートリアルでは、リスクベースの条件付きアクセス ポリシーを使用して Microsoft Entra 多要素認証を構成します。
まず、次のとおり条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てます。
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
[保護]、> の順に進み、[+ 新しいポリシー] を選択してから [新しいポリシーの作成] を選択します。
ポリシーの名前を入力します (例: MFA Pilot)。
[割り当て] で、[ユーザーまたはワークロードの ID] の下の現在の値を選択します。
[このポリシーの適用対象] で、[ユーザーとグループ] が選択されていることを確認します。
[含める] で、[ユーザーとグループを選択] をオンにし、[ユーザーとグループ] をオンにします。
まだ割り当てられていない場合は、ユーザーとグループの一覧 (次の手順を参照) が自動的に開きます。
使用する Microsoft Entra グループ (MFA-Test-Group など) を参照して選択し、[選択] を選択します。
ポリシーを適用するグループを選択しました。 次のセクションでは、ポリシーを適用する条件を構成します。
多要素認証の条件を構成する
条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てたので、ポリシーをトリガーするクラウド アプリまたはアクションを定義します。 これらのクラウド アプリまたはアクションは、追加の処理 (多要素認証の要求など) を要求することを決定するシナリオです。 たとえば、財務アプリケーションへのアクセスまたは管理ツールの使用には、追加の認証を要求する必要があると決定した場合などが考えられます。
多要素認証を要求するアプリを構成する
このチュートリアルでは、ユーザーがサインインするときに多要素認証を要求するように条件付きアクセス ポリシーを構成します。
[クラウド アプリまたはアクション] の下の現在の値を選択し、[このポリシーの適用対象を選択する] で、[クラウド アプリ] が選択されていることを確認します。
[対象] の下で、[リソースの選択] を選択します。
アプリがまだ選択されていないので、アプリの一覧 (次の手順を参照) が自動的に開きます。
ヒント
条件付きアクセス ポリシーを [すべてのリソース] (旧称 'すべてのクラウド アプリ') または [リソースを選択] に適用することを選択できます。 柔軟に、特定のアプリをポリシーから除外することもできます。
使用可能なサインイン イベントの一覧を参照します。 このチュートリアルでは、ポリシーがサインイン イベントに適用されるように [Windows Azure Service Management API] を選択します。 次に [選択] を選択します。
アクセスのための多要素認証を構成する
次に、アクセスの制御を構成します。 アクセスの制御を使用すると、ユーザーがアクセス権を付与されるための要件を定義できます。 承認されたクライアント アプリまたは Microsoft Entra ID にハイブリッド結合されたデバイスを使用することが必要な場合があります。
このチュートリアルでは、サインイン イベント時に多要素認証を要求するようにアクセスの制御を構成します。
[アクセスの制御] で、[許可] の下の現在の値を選択し、[アクセス権の付与] をオンにします。
[多要素認証を要求する] をオンにし、[選択] を選択します。
ポリシーをアクティブ化する
構成がユーザーに及ぼす影響を確認したい場合、条件付きアクセス ポリシーを [レポート専用] に設定することができます。また、ポリシーをすぐに使用しない場合は [オフ] に設定することもできます。 このチュートリアルではテストグループのユーザーを対象としているので、ポリシーを有効にして、Microsoft Entra Multi-Factor Authentication をテストしてみます。
[ポリシーの有効化] で、 [オン] を選択します。
条件付きアクセス ポリシーを適用するには、 [作成] を選択します。
Microsoft Entra の多要素認証をテストする
条件付きアクセス ポリシーと Microsoft Entra 多要素認証が機能していることを確認しましょう。
まず、MFA が要求されないリソースにサインインします。
InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、https://account.activedirectory.windowsazure.com に移動します。
ブラウザーのプライベート モードを使用すると、既存の資格情報がこのサインイン イベントに影響を与えるのを防ぐことができます。
管理者ではないテスト ユーザー (testuser など) でサインインします。 必ず、
@
とユーザー アカウントのドメイン名を含めてください。このアカウントを使用して初めてサインインする場合は、パスワードを変更するように求められます。 ただし、多要素認証の構成または使用を求めるプロンプトは表示されません。
ブラウザー ウィンドウを閉じます。
サインインの追加認証を要求するように条件付きアクセス ポリシーを構成しました。 この構成であるため、Microsoft Entra 多要素認証を使用するか、まだ構成していない場合は方法を構成するように要求されます。 Microsoft Entra 管理センターにサインインし、この新しい要件をテストします。
InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、Microsoft Entra 管理センターにサインインします。
管理者ではないテスト ユーザー (testuser など) でサインインします。 必ず、
@
とユーザー アカウントのドメイン名を含めてください。Microsoft Entra 多要素認証に登録して使用する必要があります。
[次へ] を選択してプロセスを開始します。
認証用電話、会社電話、またはモバイル アプリを認証用として構成することができます。 "認証用電話" では、テキスト メッセージと通話がサポートされます。"会社電話" では、内線のある番号への通話がサポートされます。"モバイル アプリ" では、認証の通知を受信したり、認証コードを生成したりするためのモバイル アプリの使用がサポートされます。
画面の指示に従って、選択した多要素認証の方法を構成します。
ブラウザーのウィンドウを閉じ、Microsoft Entra 管理センターにもう一度ログインして、構成した認証方法をテストします。 たとえば、認証用にモバイル アプリを構成した場合、次のようなプロンプトが表示されます。
ブラウザー ウィンドウを閉じます。
リソースをクリーンアップする
このチュートリアルの中で構成した条件付きアクセス ポリシーを使用する必要がなくなった場合は、次の手順に従ってポリシーを削除します。
条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
ポリシー>条件付きアクセスに移動し、作成したポリシー(例: MFA パイロット)を選択します。
[削除] を選択し、ポリシーを削除することを確認します。
次のステップ
このチュートリアルでは、選択したユーザー グループを対象に、条件付きアクセス ポリシーを使用して Microsoft Entra 多要素認証を有効にしました。 以下の方法を学習しました。
- Microsoft Entra のユーザーのグループに対して Microsoft Entra 多要素認証を有効にする条件付きアクセス ポリシーを作成する。
- 多要素認証を求めるポリシー条件を構成する。
- ユーザーとして多要素認証の構成と使用をテストする。