IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MS365&Entra > 【Microsoft Entra ID】MFA&SSPR設定2
最終更新日

【Microsoft Entra ID】MFA&SSPR設定2

MS365&Entra インフラ

Microsoft Entra ID 多要素認証&セルフサービスパスワードリセット設定2

前の記事の続きになります。
Microsoft社が提供するクラウドベースの認証サービス「Microsoft Entra ID」の多要素認証(MFA)とセルフサービスパスワードリセット(SSPR)の設定方法を紹介します(今回はSSPRがメイン)。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft Entra ID P1(試用版)
  • MFA方法:Microsoft Authenticator(スマホアプリ)

 

 

Entra管理C MFA・SSPRポリシー管理移行(参考)

前の記事の工程3の[認証方法>ポリシー]画面において、MFAとSSPRのポリシー管理が移行されるというメッセージが表示されていました。
[移行の完了]を選択して詳細を確認します。

図表6-1 MFAとSSPRのポリシー管理移行に関するメッセージ

図表6-1 MFAとSSPRのポリシー管理移行に関するメッセージ

 

今回の環境では従来の画面でMFAやSSPRの設定を行っておらず、移行の必要性がありません。移行作業は行わず、移行完了とします。
[移行が完了済み]を選択し、[保存]を選択します。
[移行状態が正常に更新されました]とポップアップ表示されれば問題ありません。

図表6-2 移行を完了済にする

図表6-2 移行を完了済にする

 

なお、MFAの従来の画面というのは、Microsoft Entra管理センターの左メニュー[ID>ユーザー>すべてのユーザー]より、[ユーザーごとのMFA]を選択した先の設定画面のことです。

図表6-3 MFAの従来の画面へ

図表6-3 MFAの従来の画面へ

 

従来の画面でユーザー毎にMFAを設定できますが、ゆくゆくは廃止され、セキュリティの既定値か条件付きアクセスで設定することが推奨されています。
この画面で運用する場合、認証アプリの設定が済んだユーザーから無効⇒有効⇒強制に変更しますが、ユーザーが多いと手間がかかります。
なお、この画面上[無効]と表示されていますが、この環境では一度もこの画面での運用を行っていないため、MFAはきちんと機能しています。

図表6-4 MFAの従来の画面(ユーザー)

図表6-4 MFAの従来の画面(ユーザー)

 

従来の画面の[サービス設定]の方を確認すると、[ユーザーが利用可能な方法]が設定できないようになっています。これは[認証方法>ポリシー]の画面で、[移行が完了済み]に設定したためです。
他の項目は編集できるようですが、移行完了済みだと機能せず、細かい設定は条件付きアクセスポリシーで行う形になります。

図表6-5 MFAの従来の画面(サービス設定)

図表6-5 MFAの従来の画面(サービス設定)

 

Entra管理C SSPR有効化

Microsoft Entra管理センターの左メニュー[ID>保護>パスワードリセット]を選択し、サブメニューの[プロパティ]を選択します。
[パスワードリセットのセルフサービスが有効]について、[すべて]を選択し、[保存]を選択します。

図表7-1 SSPR有効化

図表7-1 SSPR有効化

 

同じサブメニューの[認証方法]を選択すると、[ユーザーが使用できる方法]が選択できない状態になっており、前の記事の工程3で設定した認証方法のポリシーのメソッドを引き継いでいることがわかります。この画面の設定はこのままで問題ありません。

図表7-2 SSPR有効化後の認証方法設定の状態

図表7-2 SSPR有効化後の認証方法設定の状態

 

ユーザー操作 SSPR実行

ユーザーPCにてSSPRを試してみます。
Entra IDサインイン時のパスワード入力画面で[パスワードを忘れた場合]を選択します。

図表8-1 ユーザー操作(パスワードを忘れた場合へ)

図表8-1 ユーザー操作(パスワードを忘れた場合へ)

 

ユーザーのメールアドレスと画像の文字を入力し、[次へ]を選択します。

図表8-2 ユーザー操作(アカウント回復へ)

図表8-2 ユーザー操作(アカウント回復へ)

 

SSPRの手段を選択し(この例では認証アプリの6桁コード)、コードを入力して[次へ]を選択します。
新しいパスワードを入力(二箇所)し、[完了]を選択します。
[パスワードがリセットされました]と表示されれば、新しいパスワードでサインインできるようになっています。

図表8-3 ユーザー操作(アカウント回復の実行)

図表8-3 ユーザー操作(アカウント回復の実行)

 

認証アプリ導入済スマホの機種変更時・紛失時対応(参考)

ユーザー対応

認証アプリ導入済スマホを機種変更する場合、以下の流れで対応します。

  • 新しいスマホに認証アプリをインストールする
  • 新しいスマホの認証アプリの認証方法の設定と動作確認を行う
  • 上記動作確認で問題なければ、古いスマホの認証方法の設定を削除する
  • 古いスマホを初期化・処分する

 

サインインアイコンから[アカウントを表示]を選択し、[セキュリティ情報]の[更新情報]を選択します。

図表9-1 ユーザー操作(マイアカウントのセキュリティ情報へ)

図表9-1 ユーザー操作(マイアカウントのセキュリティ情報へ)

 

[サインイン方法の追加]を選択します。
[認証アプリ]を選択し、[追加]を選択します。
その先は画面の指示に従い、新しいスマホとPCとで認証アプリの設定を進めます(具体的な流れは前の記事の工程5をご参照ください) 。

図表9-2 ユーザー操作(認証方法追加-新スマホの認証アプリ設定)

図表9-2 ユーザー操作(認証方法追加-新スマホの認証アプリ設定)

 

新しいスマホへの認証アプリの設定が完了すると、セキュリティ情報画面上に新旧スマホの認証アプリの情報が表示される状態になります。
新しいスマホでMFAが機能したら、古いスマホの設定は削除して問題ありません

図表9-3 ユーザー操作(認証方法削除-旧スマホの認証アプリ設定)

図表9-3 ユーザー操作(認証方法削除-旧スマホの認証アプリ設定)

 

システム管理者対応

認証アプリ導入済のスマホを紛失したり、ユーザーが誤って認証アプリをアンインストールしたりといった場合は、システム管理者側でMFAのリセットが必要となります。


Microsoft Entra管理センターの左メニュー[ID>ユーザー>すべてのユーザー]を選択し、対象ユーザーを選択します。

図表9-4 システム管理者操作(Entraの対象ユーザー選択)

図表9-4 システム管理者操作(Entraの対象ユーザー選択)

 

サブメニューの[認証方法]を選択し、[多要素認証セッションを取り消す]⇒[多要素認証の再登録を要求する]を選択します。これにより、対象ユーザーはMFAが未導入の状態になりますので、前の記事の工程5に従い、MFAを再設定する流れとなります。

図表9-5 システム管理者操作(多要素認証リセット)

図表9-5 システム管理者操作(多要素認証リセット)

 

おわりに

MFAとSSPRはポリシー管理画面が移行途中のため、従来の画面を知っていると煩雑に感じます。
セキュリティ関連の機能は改良のスピードが速く、運用する側がついていくのはなかなか大変ですが、今後もウォッチしていきたいと思います。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com