多要素認証を有効にする

  • 10 分

演習 - 多要素認証 (MFA) を有効にする

多要素認証 (MFA) により、2 つ目の確認方法を要求することでコンシューマーの ID を保護します。 Microsoft Entra 条件付きアクセスは、決定を行い、セキュリティ ポリシーを適用するためにシグナルをまとめます。 食料品の Web サイトには、MFA を要求する条件付きアクセス ポリシーを適用します。 条件付きアクセス ポリシーは、条件なしですべてのユーザーを対象とします。

Note

多要素認証を有効にするには、少なくとも 認証ポリシー管理者 ディレクトリ ロールが必要です。

フィードバックがありますか? ご自身の概念実証プロジェクトがどのように進んでいるかをお知らせください。 ご意見をお聞かせください!

  1. まず、アプリケーションをセキュリティで保護する条件付きアクセス ポリシーを作成します。 Microsoft Entra 管理センターにサインインし、[保護]>[条件付きアクセス] に移動します。 次に、[新しいポリシー] を選択します。

    左側のナビゲーションの [ポリシー] が強調表示され、ツール バーの [新しいポリシー] というボタンが強調表示された [条件付きアクセス] ブレードのスクリーンショット。

  2. ポリシーに [名前] を付けます (たとえば「サインイン リスク」)。

    [名前] テキスト入力フィールドが強調表示された [新しい条件付きアクセス ポリシー] ブレードのスクリーンショット。

  3. [割り当て][ユーザー] の下にあるリンクを選択します。 次に、[含める] タブで [すべてのユーザー] を選択します。 [含まない] タブでは、組織の緊急アクセス アカウントまたは緊急用アカウントのユーザーとグループを選択できます。

    [ユーザー] が強調表示された [新しい条件付きアクセス ポリシー] ブレードとラジオ ボタン オプション [すべてのユーザー] が強調表示された [含む] タブのスクリーンショット。

  4. [割り当て] で、[ターゲット リソース] を選択します。 次に、[含める] タブで [アプリの選択] オプションを選択し、[選択] ボタンをクリックします。 アプリを見つけて選択し、[選択] を選択します。

    [ターゲット リソース] が強調表示された [新しい条件付きアクセス ポリシー] ブレードと、右側に開いた [クラウド アプリの選択] ペインで Woodgrove Groceries アプリを選択している [含める] タブのスクリーンショット。

  5. [条件] セクションをスキップして、次のステップに進みます。

    [条件] が強調表示された [新しい条件付きアクセス ポリシー] ブレードのスクリーンショット。

  6. [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。 次に、[多要素認証が必要] を選択します。 この付与の種類では、ユーザーはメール、電話、テキスト メッセージなどの追加のセキュリティ要件を満たす必要があります。

    [アクセス制御] の下の [許可] が強調表示された [新しい条件付きアクセス ポリシー] ブレードと、[多要素認証を要求する] が強調表示された [付与] というペインが右側に開いているスクリーンショット。

  7. 設定を確認し、 [Enable policy](ポリシーの有効化)[オン] に設定します。 [作成] を選択して、そのポリシーを作成します。

    下部の [ポリシーを有効にする] の [オン] に強調表示されている [新しい条件付きアクセス ポリシー] ブレードのスクリーンショット。

    お疲れさまでした。ユーザーに MFA を満たすことを要求する [条件付きアクセス ポリシー] を作成しました。 ユーザー エクスペリエンスを確認するために、アプリケーションにサインインします。

条件付きアクセス ポリシーを作成する

次の例では、条件付きアクセス ポリシーを作成します。 このポリシーは、すべてのユーザー (テナントの全体管理者を除く) のすべてのサインインを対象としています。以下の要求の {web-or-mobile-app-ID} を、ご自分の Web またはモバイル アプリケーション (オブジェクト ID ではなくアプリ ID) に置き換えます。さらにアプリケーションを追加できることに注意してください。

POST https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies
{
    "templateId": null,
    "displayName": "Woodgrove demo - sign in risk",
    "state": "enabled",
    "sessionControls": null,
    "conditions": {
        "userRiskLevels": [],
        "signInRiskLevels": [
            "high",
            "medium"
        ],
        "clientAppTypes": [
            "all"
        ],
        "platforms": null,
        "locations": null,
        "times": null,
        "deviceStates": null,
        "devices": null,
        "clientApplications": null,
        "applications": {
            "includeApplications": [
                "{web-or-mobile-app-ID}"
            ],
            "excludeApplications": [],
            "includeUserActions": [],
            "includeAuthenticationContextClassReferences": [],
            "applicationFilter": null
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [],
            "includeGroups": [],
            "excludeGroups": [],
            "includeRoles": [],
            "excludeRoles": [],
            "includeGuestsOrExternalUsers": null,
            "excludeGuestsOrExternalUsers": null
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [],
        "termsOfUse": [],
        "authenticationStrength": null
    }
}

フィードバックを送信する