IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MS365&Entra > 【Microsoft Entra ID】MFA&SSPR設定1
最終更新日

【Microsoft Entra ID】MFA&SSPR設定1

MS365&Entra インフラ

Microsoft Entra ID 多要素認証&セルフサービスパスワードリセット設定1

Microsoft社が提供するクラウドベースの認証サービス「Microsoft Entra ID」の多要素認証(MFA)とセルフサービスパスワードリセット(SSPR)の設定方法を紹介します(今回はMFA)。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft Entra ID P1(試用版)
  • MFA方法:Microsoft Authenticator(スマホアプリ)

 

 

Entra管理C セキュリティ既定値の無効化

WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[ID>概要]を選択し、[プロパティ]を選択します。
画面の一番下にある、[セキュリティの既定値の管理]を選択します。

図表1-1 Entra管理センターのセキュリティの規定値の管理へ

図表1-1 Entra管理センターのセキュリティの規定値の管理へ

 

セキュリティの既定値群はデフォルトで[有効]になっており、MFAが無条件で有効になっています。
MFAを使用したくない場合や、条件付きアクセスポリシー(MFAの対象ユーザーを絞る等)を使用する場合は、ここを[無効]に変更する必要があります。
今回はこれを[無効]にして、次の工程で条件付きアクセスポリシーの設定をしてみます。

図表1-2 セキュリティ規定値の無効化(条件付きアクセスポリシーで設定するため)

図表1-2 セキュリティ規定値の無効化(条件付きアクセスポリシーで設定するため)

 

Entra管理C MFAの条件付きアクセスポリシー設定

Microsoft Entra管理センターの左メニューの[ID>保護>条件付きアクセス]を選択し、[テンプレートから新しいポリシーを作成]を選択します。

図表2-1 Entra管理センターの条件付きアクセスポリシー作成へ

図表2-1 Entra管理センターの条件付きアクセスポリシー作成へ

 

[すべてのユーザーに多要素認証を要求する]を選択し、[確認および作成]を選択します。

図表2-2 条件付きアクセスポリシー作成(テンプレート選択)

図表2-2 条件付きアクセスポリシー作成(テンプレート選択)

 

ポリシー名を適宜編集し、[作成]を選択します。

*この画面上では割り当ての設定ができないため、一旦ポリシーを作成した後、別途編集します

図表2-3 条件付きアクセスポリシー作成(ポリシー名,保存)

図表2-3 条件付きアクセスポリシー作成(ポリシー名,保存)

 

一旦作成したポリシーを選択し、割り当ての設定に進みます。

図表2-4 条件付きアクセスポリシー作成(再選択して割り当てへ)

図表2-4 条件付きアクセスポリシー作成(再選択して割り当てへ)

 

対象ユーザーを以下の通りとします。

  • 対象:すべてのユーザー
  • 対象外:システム管理者、external_membersグループ
*システム管理者と外部ユーザーを除いたすべてのユーザーを対象とします

図表2-5 条件付きアクセスポリシー作成(ユーザー)

図表2-5 条件付きアクセスポリシー作成(ユーザー)

 

対象デバイスを以下の通りとします。

  • 条件>デバイスプラットフォーム>対象:Windows、macOS
    *PC系デバイスからのアクセスを対象とします

図表2-6 条件付きアクセスポリシー作成(デバイスプラットフォーム)

図表2-6 条件付きアクセスポリシー作成(デバイスプラットフォーム)

 

許可の設定を以下の通りとします。

  • アクセス権を許可
  • 認証強度が必要:多要素認証
*特定の認証強度を使用した多要素認証によりアクセスを許可します

図表2-7 条件付きアクセスポリシー作成(アクセス許可)

図表2-7 条件付きアクセスポリシー作成(アクセス許可)

 

セッションの設定を以下の通りとします。

  • サインインの頻度>定期的な再認証:30日間
    *30日経ったら再認証を行います

設定が終わったら、ポリシーの有効化を[オン]にし、[保存]を選択します。

図表2-8 条件付きアクセスポリシー作成(セッション,有効化)

図表2-8 条件付きアクセスポリシー作成(セッション,有効化)

 

Entra管理C 認証方法ポリシー設定

Microsoft Entra管理センターの左メニューの[ID>保護>認証方法]を選択し、サブメニューの[ポリシー]を選択し、[Microsoft Authenticator]を選択します。

図表3-1 Entra管理センターの認証方法ポリシー設定へ

図表3-1 Entra管理センターの認証方法ポリシー設定へ

 

[有効化およびターゲット]タブでは、[有効にする]をオンにします。その下の[含める]タブについては、対象は[すべてのユーザー]のままとし、認証モードは[プッシュ]を選択します。
[除外]タブの方は、図表2-5で除外設定したグループを選択します。

図表3-2 Entra管理センターの認証方法ポリシー設定(認証アプリ-有効化とターゲット)

図表3-2 Entra管理センターの認証方法ポリシー設定(認証アプリ-有効化とターゲット)

 

[構成]タブはこのままでも特に問題ありませんが、この例では[Microsoft Authenticator OTPの使用を許可する]を[はい]にしました。
設定が終わったら、[保存]を選択します。

図表3-3 Entra管理センターの認証方法ポリシー設定(認証アプリ-構成)

図表3-3 Entra管理センターの認証方法ポリシー設定(認証アプリ-構成)

 

[Microsoft Authenticator]と同じように、他に許可したいメソッドがあれば選択して有効にしておきます。
よく使うものとして、[SMS]を有効にするのが良いと思います。

図表3-4 Entra管理センターの認証方法ポリシー設定(他の方法も必要に応じて設定)

図表3-4 Entra管理センターの認証方法ポリシー設定(他の方法も必要に応じて設定)

 

 

 

Entra管理C 登録キャンペーン設定変更(任意)

同じサブメニューの[登録キャンペーン]を選択し、[編集]を選択します。
デフォルトではEntra IDサインイン時に毎日[Microsoft Authenticator]によるMFAを促されます。MFAを使用したくない場合や除外ユーザーを設定したい場合、促しの頻度を下げたい場合等は変更しておきます。

図表4-1 Entra管理センターの登録キャンペーン設定変更へ

図表4-1 Entra管理センターの登録キャンペーン設定変更へ

 

この例では、促しの頻度を1日から3日に減らし、除外ユーザーのグループとして図表2-5や図表3-2と同様、external_membersを設定しています。編集が終わったら、[保存]を選択します。
以下、他の項目の説明です。

  • 促しを行いたくない:[状態]を[無効]にする
  • 促しのスキップをずっと許可:[再通知の回数が制限されています] を[無効]にする(有効にすると三回までスキップ可)

図表4-2 登録キャンペーン設定変更

図表4-2 登録キャンペーン設定変更

 

ユーザー操作 MFA導入

ユーザーPCにてMFAを導入してみます。


Entra IDサインイン時にMFA導入を促される場合は、画面の指示に従い進めます([次へ]を選択)。
ユーザーの保有するスマホへの[Microsoft Authenticator](以降、認証アプリと表現します)のインストールを促されますので、これをインストールし、[次へ]を選択します。

図表5-1 ユーザー操作(認証アプリ導入の促し,開始)

図表5-1 ユーザー操作(認証アプリ導入の促し,開始)

 

参考まで、Androidスマホへの認証アプリのインストールイメージを紹介します。セキュリティの関係でスマホの認証アプリ内のスクリーンショットがほとんど取得できませんでしたが、ここからはユーザーPCとスマホの両方を操作しながら設定を進めます。

図表5-2 ユーザー操作(認証アプリ導入)

図表5-2 ユーザー操作(認証アプリ導入)

 

スマホの認証アプリの[+]印をタップし、[学校または職場のアカウント]を選択し、[QRコードをスキャン]をタップします。
PC画面の[次へ]を選択します。

図表5-3 ユーザー操作(QRコードスキャンへ)

図表5-3 ユーザー操作(QRコードスキャンへ)

 

PC画面に表示されたQRコードをスマホの認証アプリで読み取り、PC画面の[次へ]を選択します。

図表5-4 ユーザー操作(QRコードスキャン)

図表5-4 ユーザー操作(QRコードスキャン)

 

スマホの認証アプリに表示されたコード6桁をPC画面に入力し、[次へ]を選択します。

図表5-5 ユーザー操作(検証)

図表5-5 ユーザー操作(検証)

 

[完了]を選択します。これでスマホの認証アプリでコード6桁による本人確認が有効になりました。

図表5-6 ユーザー操作(設定完了)

図表5-6 ユーザー操作(設定完了)

 

コード6桁による本人確認だと入力が少々面倒なため、別の方法も設定しておきます。

 

Edge等でEntra IDにサインインした時のサインインアイコンを選択し、[アカウントを表示]を選択します。
[セキュリティ情報]の[更新情報]を選択します。

図表5-7 ユーザー操作(マイアカウントのセキュリティ情報へ)

図表5-7 ユーザー操作(マイアカウントのセキュリティ情報へ)

 

[サインイン方法の追加]を選択します。
[認証アプリ 時間ベースのワンタイムパスワード]というのが使用できるようになったコード6桁を入力する方法です。

図表5-8 ユーザー操作(サインイン方法追加へ)

図表5-8 ユーザー操作(サインイン方法追加へ)

 

コード6桁の時と同じ要領で、PCとスマホを交互に操作して設定を進めます。以降のスクリーンショットはすべてPCの画面です。


スマホへの認証アプリ導入は済んでいるので、インストールは行わず[次へ]を選択します。
スマホの認証アプリの[+]印をタップし、[学校または職場のアカウント]を選択し、[QRコードをスキャン]をタップします。
PC画面の[次へ]を選択します。

図表5-9 ユーザー操作(セットアップを進める)

図表5-9 ユーザー操作(セットアップを進める)

 

PC画面に表示されたQRコードをスマホの認証アプリで読み取り、PC画面の[次へ]を選択します。
PC画面に表示されたコード2桁を、スマホの認証アプリの入力欄に入力し[はい]をタップします。

図表5-10 ユーザー操作(QRコードスキャン,検証)

図表5-10 ユーザー操作(QRコードスキャン,検証)

 

[承認されました]と表示されれば問題ありません。[次へ]を選択します。

図表5-11 ユーザー操作(設定完了)

図表5-11 ユーザー操作(設定完了)

 

[セキュリティ情報]画面に、[Microsoft Authenticator 多要素認証(MFA)をプッシュする]が追加されました。

図表5-12 ユーザー操作(サインイン方法の確認)

図表5-12 ユーザー操作(サインイン方法の確認)

 

サインイン画面から促されてMFAの設定を進めるとコード6桁の方法になり、[セキュリティ情報]画面からサインイン方法を追加するとコード2桁の方法になるようです。設定を促される前に[セキュリティ情報]画面から設定した方が良さそうですね。

 

最後に、[既定のサインイン方法を設定します]を選択し、認証アプリを設定します。これで認証アプリが優先的に使用されるようになります。

図表5-13 ユーザー操作(既定のサインイン方法の指定)

図表5-13 ユーザー操作(既定のサインイン方法の指定)

 

次の記事に続きます。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com