Microsoft Entra の推奨事項: 既知のデバイスからの MFA プロンプトを最小限に抑える
Microsoft Entra のレコメンデーションは、パーソナライズされた分析情報と、推奨されるベストプラクティスにおいてテナントを配置するための実用的ガイダンスを提供する機能です。
この記事では、既知のデバイスで多要素認証のプロンプトを最小限に抑えるためのレコメンデーションについて説明します。 この推奨事項は、Microsoft Graph の推奨事項 API では tenantMFA と呼ばれます。
説明
管理者は、自社のリソースのセキュリティを維持する必要がありますが、従業員が必要に応じてリソースに簡単にアクセスできるようにする必要もあります。
MFA を使用すると、テナントのセキュリティ対策を強化できます。 MFA を有効にするのはよい決まりですが、ユーザーに表示する MFA プロンプトの数は最小限にする必要があります。 この目標を達成するための選択肢の 1 つに、ユーザーが信頼するデバイスで多要素認証を記憶させることがあります。
信頼するデバイスでの多要素認証の記憶機能では、ブラウザーでユーザーがサインイン時に [今後 X 日間はこのメッセージを表示しない] オプションを選択したときに永続的な Cookie を設定します。 この場合、Cookie の有効期限が切れるまでは、同じブラウザーからユーザーが再度 MFA を求められることはありません。 そのユーザーが同じデバイスで異なるブラウザーを開くか、Cookie をクリアした場合は、再度、認証が求められます。
詳細については、「Microsoft Entra 多要素認証の設定を構成する」を参照してください。
この推奨事項は、多要素認証の記憶機能を 30 日未満に設定した場合に表示されます。
Value
このレコメンデーションは、MFA のプロンプトを減らすことでユーザーの生産性を向上させ、サインイン時間を最少にします。 最も機密性の高いリソースは最も厳しく制御し、最も機密性の低いリソースにはより自由にアクセスできるようにします。
行動計画
Microsoft Entra 多要素認証の設定を構成する方法に関する記事を確認してください。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]>[多要素認証] の順に移動します。
[構成] 見出しの下にある [クラウドベースの多要素認証の追加設定] リンクを選択します。
[サービス設定] タブを選択します。
![[サービス設定] タブが選択された MFA ページのスクリーンショット。](media/recommendation-mfa-from-known-devices/multifactor-authentication-service-settings.png)
[信頼済みデバイスで多要素認証を記憶する] 見出しの下にあるチェックボックスをオンにして、日数を 90 に設定します。
