認証方法とはWhat are authentication methods?

管理者が Azure Multi-Factor Authentication とセルフサービスのパスワード リセット (SSPR) の認証方法を選択する場合は、ユーザーに複数の認証方法を登録するよう要求することをお勧めします。As an administrator, choosing authentication methods for Azure Multi-Factor Authentication and self-service password reset (SSPR) it is recommended that you require users to register multiple authentication methods. ユーザーがある認証方法を使用できない場合、そのユーザーは別の方法で認証することを選択できます。When an authentication method is not available for a user, they can choose to authenticate with another method.

管理者は、ユーザーが使用できる SSPR および MFA の認証方法をポリシー内で定義できます。Administrators can define in policy which authentication methods are available to users of SSPR and MFA. 認証方法によっては、すべての機能で使用できないものもあります。Some authentication methods may not be available to all features. ポリシーの構成の詳細については、「セルフサービスによるパスワードのリセットを適切にロールアウトする方法」およびクラウド ベースの Azure Multi-Factor Authentication の計画に関する記事を参照してください。For more information about configuring your policies see the articles How to successfully roll out self-service password reset and Planning a cloud-based Azure Multi-Factor Authentication

Microsoft では、認証方法を利用できない場合に備えて、ユーザーが選択できる認証方法の数を、最低限必要な数より多く設定することを強くお勧めしています。Microsoft highly recommends Administrators enable users to select more than the minimum required number of authentication methods in case they do not have access to one.

認証方法Authentication Method 使用法Usage
パスワードPassword MFA と SSPRMFA and SSPR
セキュリティの質問Security questions SSPR のみSSPR Only
電子メール アドレスEmail address SSPR のみSSPR Only
Microsoft Authenticator アプリMicrosoft Authenticator app MFA、および SSPR のパブリック プレビューMFA and public preview for SSPR
OATH ハードウェア トークンOATH Hardware token MFA および SSPR のパブリック プレビューPublic preview for MFA and SSPR
smsSMS MFA と SSPRMFA and SSPR
音声通話Voice call MFA と SSPRMFA and SSPR
アプリ パスワードApp passwords MFA のみ(特定の場合)MFA only in certain cases

サインイン画面で使用されている認証方法

MFA と SSPR 用の OATH ハードウェア トークンと、Azure AD のセルフ サービスによるパスワードのリセットの方法であるモバイル アプリ通知またはモバイル アプリ コードは、Azure Active Directory のパブリック プレビューの機能です。OATH Hardware tokens for MFA and SSPR and Mobile app notification or Mobile app code as methods for Azure AD self-service password reset are public preview features of Azure Active Directory. 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

パスワードPassword

Azure AD のパスワードは、認証方法と見なされます。Your Azure AD password is considered an authentication method. これは、無効にできない 1 つの方法です。It is the one method that cannot be disabled.

セキュリティの質問Security questions

セキュリティの質問は、管理者以外のアカウントに対する Azure AD のセルフ サービスによるパスワードのリセットでのみ使用できます。Security questions are available only in Azure AD self-service password reset to non-administrator accounts.

セキュリティの質問を使用する場合、別の方法と併用することをお勧めします。If you use security questions, we recommend using them in conjunction with another method. セキュリティの質問は、一部の人が別のユーザーの質問に対する回答を知っている可能性があるため、他の方法に比べて安全性が低い可能性があります。Security questions can be less secure than other methods because some people might know the answers to another user's questions.

注意

セキュリティの質問は、ディレクトリ内のユーザー オブジェクトに非公開かつ安全に保存され、登録時にユーザーだけが回答できます。Security questions are stored privately and securely on a user object in the directory and can only be answered by users during registration. 管理者がユーザーの質問や回答を読み取ったり変更したりすることはありません。There is no way for an administrator to read or modify a user's questions or answers.

定義済みの質問Predefined questions

  • 最初の配偶者/パートナーと出会ったのは何市ですか?In what city did you meet your first spouse/partner?
  • 両親が出会ったのは何市ですか?In what city did your parents meet?
  • 年が一番近い兄弟が住んでいるのは何市ですか?In what city does your nearest sibling live?
  • 父親が生まれたのは何市ですか?In what city was your father born?
  • 最初の職場は何市にありましたか?In what city was your first job?
  • 母親が生まれたのは何市ですか?In what city was your mother born?
  • 2000 年の元日は何市にいましたか?What city were you in on New Year's 2000?
  • 高校生のときに好きだった先生の名字は何ですか?What is the last name of your favorite teacher in high school?
  • 出願したのに通わなかった大学の名前は何ですか?What is the name of a college you applied to but didn't attend?
  • 初めての結婚披露宴の会場の名前は何ですか?What is the name of the place in which you held your first wedding reception?
  • 父親のミドル ネームは何ですか?What is your father's middle name?
  • 好きな食べ物は何ですか?What is your favorite food?
  • 母方の祖母の氏名は何ですか?What is your maternal grandmother's first and last name?
  • 母親のミドル ネームは何ですか?What is your mother's middle name?
  • 一番上の兄または姉の生まれた年と月はいつですか?What is your oldest sibling's birthday month and year? (例: 1985 年 11 月)(e.g. November 1985)
  • 一番上の兄弟のミドル ネームは何ですか?What is your oldest sibling's middle name?
  • 父方の祖父の氏名は何ですか?What is your paternal grandfather's first and last name?
  • 一番下の兄弟のミドル ネームは何ですか?What is your youngest sibling's middle name?
  • 6 年生のときに通っていた学校はどこですか?What school did you attend for sixth grade?
  • 子供の頃の親友の氏名は何ですか?What was the first and last name of your childhood best friend?
  • 最初の恋人の氏名は何ですか?What was the first and last name of your first significant other?
  • 小学生のときに好きだった先生の名字は何ですか?What was the last name of your favorite grade school teacher?
  • 初めて購入した自動車またはバイクのメーカーとモデルは何ですか?What was the make and model of your first car or motorcycle?
  • 通っていた小学校の名前は何ですか?What was the name of the first school you attended?
  • あなたが生まれた病院の名前は何ですか?What was the name of the hospital in which you were born?
  • 子供の頃の最初の家の番地は何でしたか?What was the name of the street of your first childhood home?
  • 子供の頃のヒーローの名前は何ですか?What was the name of your childhood hero?
  • お気に入りのぬいぐるみの名前は何でしたか?What was the name of your favorite stuffed animal?
  • 初めて飼ったペットの名前は何でしたか?What was the name of your first pet?
  • 子供の頃のニックネームは何でしたか?What was your childhood nickname?
  • 高校生のときに好きだったスポーツは何ですか?What was your favorite sport in high school?
  • 初めて就いた職業は何ですか?What was your first job?
  • 子供の頃の電話番号の下 4 桁は何でしたか?What were the last four digits of your childhood telephone number?
  • 小さい頃は大きくなったら何になりたかったですか?When you were young, what did you want to be when you grew up?
  • 今まで会った中で一番有名な人はだれですか?Who is the most famous person you have ever met?

定義済みのセキュリティの質問はすべて、ユーザーのブラウザーのロケールに基づいて Office 365 の完全な言語セットに翻訳およびローカライズされます。All of the predefined security questions are translated and localized into the full set of Office 365 languages based on the user's browser locale.

カスタムのセキュリティに関する質問Custom security questions

カスタムのセキュリティの質問は、ローカライズされていません。Custom security questions are not localized. カスタムの質問はすべて、管理用のユーザー インターフェイスに入力したときの言語で表示されます。ユーザーのブラウザーのロケールが異なる場合でもそのように表示されます。All custom questions are displayed in the same language as they are entered in the administrative user interface, even if the user's browser locale is different. ローカライズされた質問が必要な場合は、定義済みの質問を使う必要があります。If you need localized questions, you should use the predefined questions.

カスタムのセキュリティの質問の最大長は、200 文字です。The maximum length of a custom security question is 200 characters.

セキュリティの質問の要件Security question requirements

  • 回答の最小文字数は 3 文字です。The minimum answer character limit is three characters.
  • 回答の最大文字数は 40 文字です。The maximum answer character limit is 40 characters.
  • ユーザーは、同じ質問に何度も回答することはできません。Users can't answer the same question more than one time.
  • ユーザーは、複数の質問に対して同じ回答をすることはできません。Users can't provide the same answer to more than one question.
  • Unicode 文字を含む任意の文字セットを使用して、質問と回答を定義できます。Any character set can be used to define the questions and the answers, including Unicode characters.
  • 定義する質問の数は、登録するために必要な質問の数以上にする必要があります。The number of questions defined must be greater than or equal to the number of questions that were required to register.

電子メール アドレスEmail address

電子メール アドレスは、Azure AD のセルフサービスによるパスワードのリセットでのみ使用できます。Email address is available only in Azure AD self-service password reset.

Microsoft では、ユーザーの Azure AD パスワードがなくてもアクセスできる電子メール アカウントを使用することをお勧めしています。Microsoft recommends the use of an email account that would not require the user's Azure AD password to access.

Microsoft Authenticator アプリMicrosoft Authenticator app

Microsoft Authenticator アプリは、Azure AD の職場または学校アカウント、あるいは Microsoft アカウントに追加のセキュリティ レベルを提供します。The Microsoft Authenticator app provides an additional level of security to your Azure AD work or school account or your Microsoft account.

Microsoft Authenticator アプリは、AndroidiOSWindows Phone で利用できます。The Microsoft Authenticator app is available for Android, iOS, and Windows Phone.

注意

セルフ サービスによるパスワードのリセットの登録時、ユーザーは、モバイル アプリを登録するオプションを選択できません。Users will not have the option to register their mobile app when registering for self-service password reset. 代わりに、ユーザーは、https://aka.ms/mfasetup またはセキュリティ情報登録プレビュー (https://aka.ms/setupsecurityinfo) でモバイル アプリを登録できます。Instead, users can register their mobile app at https://aka.ms/mfasetup or in the security info registration preview at https://aka.ms/setupsecurityinfo.

モバイル アプリでの通知Notification through mobile app

Microsoft Authenticator アプリは、スマートフォンまたはタブレットに通知をプッシュして、アカウントへの不正アクセスを防止したり、不正なトランザクションを停止させたりするのに役立ちます。The Microsoft Authenticator app can help prevent unauthorized access to accounts and stop fraudulent transactions by pushing a notification to your smartphone or tablet. ユーザーは通知を確認し、適切であった場合は、[確認] を選択します。Users view the notification, and if it's legitimate, select Verify. 適切でない場合は、[拒否] を選択します。Otherwise, they can select Deny.

警告

セルフサービスによるパスワードのリセットの場合、リセットに必要な方法が 1 つのみのときは、最高レベルのセキュリティを確保するため、ユーザーが使用できるオプションは確認コードのみです。For self-service password reset when only one method is required for reset, verification code is the only option available to users to ensure the highest level of security.

2 つの方法が必要な場合、ユーザーは、通知または確認コードのいずれかと、他の有効な方法を使用して、リセットを行うことができます。When two methods are required users will be able to reset using EITHER notification OR verification code in addition to any other enabled methods.

モバイル アプリからの通知とモバイル アプリからの確認コードの両方の使用を有効にした場合、通知を使用して Microsoft Authenticator アプリを登録するユーザーは、通知とコードの両方を使用してその身元を証明できます。If you enable the use of both notification through mobile app and verification code from mobile app, users who register the Microsoft Authenticator app using a notification are able to use both notification and code to verify their identity.

注意

組織に中国勤務のスタッフや中国に出張中のスタッフがいる場合、Android デバイスでのモバイル アプリによる通知メソッドはその国では機能しません。If your organization has staff working in or traveling to China, the Notification through mobile app method on Android devices does not work in that country. それらのユーザーには別の方法を使用できるようにする必要があります。Alternate methods should be made available for those users.

モバイル アプリからの確認コードVerification code from mobile app

Microsoft Authenticator アプリまたは他のサードパーティ アプリをソフトウェア トークンとして使用して、OATH 確認コードを生成できます。The Microsoft Authenticator app or other third-party apps can be used as a software token to generate an OATH verification code. ユーザー名とパスワードを入力したら、アプリから提供されたコードをサインイン画面に入力します。After entering your username and password, you enter the code provided by the app into the sign-in screen. 検証コードにより、2 番目の形式の認証が行われます。The verification code provides a second form of authentication.

警告

セルフサービスによるパスワードのリセットの場合、リセットに必要な方法が 1 つのみのときは、最高レベルのセキュリティを確保するため、ユーザーが使用できるオプションは確認コードのみです。For self-service password reset when only one method is required for reset verification code is the only option available to users to ensure the highest level of security.

ユーザーは、最大 5 つの OATH ハードウェア トークンまたはいつでも使用されるように構成された Microsoft Authenticator アプリなどの認証アプリケーションを組み合わせている場合があります。Users may have a combination of up to five OATH hardware tokens or authenticator applications such as the Microsoft Authenticator app configured for use at any time.

OATH ハードウェア トークン (パブリック プレビュー)OATH hardware tokens (public preview)

OATH は、1 回限りのパスワード (OTP) のコードの生成方法を指定するオープン標準です。OATH is an open standard that specifies how one-time password (OTP) codes are generated. Azure AD では、30 秒または 60 秒の OATH-TOTP SHA-1 トークンの使用がサポートされます。Azure AD will support the use of OATH-TOTP SHA-1 tokens of the 30-second or 60-second variety. 顧客は、選択したベンダーからこれらのトークンを調達できます。Customers can procure these tokens from the vendor of their choice. 秘密鍵は 128 文字に制限されていて、すべてのトークンと互換性があるとは限りません。Secret keys are limited to 128 characters, which may not be compatible with all tokens.

OATH トークンの MFA サーバー OATH トークン ブレードへのアップロード

OATH ハードウェア トークンはパブリック プレビュー段階でサポートされています。OATH hardware tokens are being supported as part of a public preview. 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

いったんトークンを取得したら、次に示す例のように、UPN、シリアル番号、秘密鍵、間隔、製造元、モデルを含む、コンマ区切り値 (CSV) ファイル形式でアップロードする必要があります。Once tokens are acquired they must be uploaded in a comma-separated values (CSV) file format including the UPN, serial number, secret key, time interval, manufacturer, and model as the example below shows.

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567890abcdef1234567890abcdef,60,Contoso,HardwareKey

注意

CSV ファイルには上記のようにヘッダー行を含めてください。Make sure you include the header row in your CSV file as shown above.

CSV ファイルとして適切な形式が整ったら、管理者は Azure portal にサインインして、[Azure Active Directory][MFA Server](FMA サーバー)[OATH トークン] の順にナビゲートして、作成した CSV ファイルをアップロードできます。Once properly formatted as a CSV file, an administrator can then sign in to the Azure portal and navigate to Azure Active Directory, MFA Server, OATH tokens, and upload the resulting CSV file.

CSV ファイルのサイズによって異なりますが、この処理には数分間かかることがあります。Depending on the size of the CSV file, it may take a few minutes to process. [最新の情報に更新] ボタンをクリックして、現在の状態を取得します。Click the Refresh button to get the current status. ファイルにエラーがある場合、修正するために、エラーが含まれる CSV ファイルをダウンロードできます。If there are any errors in the file, you will have the option to download a CSV file listing any errors for you to resolve.

すべてのエラーが修正されたら、管理者は各キーをアクティブにすることができます。アクティブにするトークンの [アクティブ化] をクリックし、トークンに表示されている OTP を入力します。Once any errors have been addressed, the administrator then can activate each key by clicking Activate for the token to be activated and entering the OTP displayed on the token.

ユーザーは、最大 5 つの OATH ハードウェア トークンまたはいつでも使用されるように構成された Microsoft Authenticator アプリなどの認証アプリケーションを組み合わせている場合があります。Users may have a combination of up to five OATH hardware tokens or authenticator applications such as the Microsoft Authenticator app configured for use at any time.

携帯電話Mobile phone

携帯電話では、ユーザーは 2 つのオプションを選択できます。Two options are available to users with mobile phones.

ユーザーが、携帯電話番号をディレクトリに表示したくなく、それでもパスワードのリセットにその番号を使いたい場合は、管理者がそれをディレクトリに設定しないようにする必要があります。If users don't want their mobile phone number to be visible in the directory, but they still want to use it for password reset, administrators should not populate it in the directory. ユーザーは、パスワード リセット登録ポータル[認証用電話] 属性を設定する必要があります。Users should populate their Authentication Phone attribute via the password reset registration portal. 管理者はこの情報をユーザーのプロファイルで確認できますが、他の場所には公開されません。Administrators can see this information in the user's profile, but it's not published elsewhere.

正常に動作させるには、電話番号の形式が "+<国コード> <電話番号>" (例: +1 4255551234) になっている必要があります。To work properly, phone numbers must be in the format +CountryCode PhoneNumber, for example, +1 4255551234.

注意

国番号と電話番号の間にスペースを入れる必要があります。There needs to be a space between the country code and the phone number.

パスワードのリセットは内線番号をサポートしていません。Password reset does not support phone extensions. +1 4255551234X12345 の形式であっても、電話がかけられる前に内線番号は削除されます。Even in the +1 4255551234X12345 format, extensions are removed before the call is placed.

テキスト メッセージText message

確認コードを含む SMS が携帯電話番号に送信されます。An SMS is sent to the mobile phone number containing a verification code. 受け取った確認コードをサインイン インターフェイスに入力して、続行します。Enter the verification code provided in the sign-in interface to continue.

音声通話Phone call

ユーザーが設定した電話番号に自動音声通話を行います。An automated voice call is made to the phone number you provide. 呼び出しに応答し、電話のキーパッドの # を押して認証を行います。Answer the call and press # in the phone keypad to authenticate

重要

2019 年 3 月以降、無料/試用版の Azure AD テナントの MFA および SSPR ユーザーは、音声通話オプションを利用できなくなります。Starting in March of 2019 the phone call options will not be available to MFA and SSPR users in free/trial Azure AD tenants. この変更は、SMS メッセージには影響しません。SMS messages are not impacted by this change. 有料の Azure AD テナントのユーザーは、引き続き音声通話を利用できます。Phone call will continue to be available to users in paid Azure AD tenants. この変更は、無料/試用版の Azure AD テナントのみに影響します。This change only impacts free/trial Azure AD tenants.

会社電話Office phone

ユーザーが設定した電話番号に自動音声通話を行います。An automated voice call is made to the phone number you provide. 呼び出しに応答し、電話のキーパッドの # を押して認証を行います。Answer the call and presses # in the phone keypad to authenticate.

正常に動作させるには、電話番号の形式が "+<国コード> <電話番号>" (例: +1 4255551234) になっている必要があります。To work properly, phone numbers must be in the format +CountryCode PhoneNumber, for example, +1 4255551234.

会社電話の属性は、管理者によって管理されます。The office phone attribute is managed by your administrator.

重要

2019 年 3 月以降、無料/試用版の Azure AD テナントの MFA および SSPR ユーザーは、音声通話オプションを利用できなくなります。Starting in March of 2019 the phone call options will not be available to MFA and SSPR users in free/trial Azure AD tenants. この変更は、SMS メッセージには影響しません。SMS messages are not impacted by this change. 有料の Azure AD テナントのユーザーは、引き続き音声通話を利用できます。Phone call will continue to be available to users in paid Azure AD tenants. この変更は、無料/試用版の Azure AD テナントのみに影響します。This change only impacts free/trial Azure AD tenants.

注意

国番号と電話番号の間にスペースを入れる必要があります。There needs to be a space between the country code and the phone number.

パスワードのリセットは内線番号をサポートしていません。Password reset does not support phone extensions. +1 4255551234X12345 の形式であっても、電話がかけられる前に内線番号は削除されます。Even in the +1 4255551234X12345 format, extensions are removed before the call is placed.

アプリ パスワードApp Passwords

ブラウザー以外のアプリの中には、多要素認証をサポートしていないものがあります。多要素認証に対応しているユーザーが、ブラウザー以外のアプリの使用を試みた場合、認証を行うことができません。Certain non-browser apps do not support multi-factor authentication, if a user has been enabled for multi-factor authentication and attempt to use non-browser apps, they are unable to authenticate. 認証を続行するには、アプリのパスワードを入力する必要があります。An app password allows users to continue to authenticate

ユーザーごとの MFA ではなく条件付きアクセス ポリシーを使用して Multi-Factor Authentication を適用する場合は、アプリ パスワードを作成できません。If you enforce Multi-Factor Authentication through Conditional Access policies and not through per-user MFA, you cannot create app passwords. 条件付きアクセス ポリシーを使用してアクセスを制御するアプリケーションにはアプリ パスワードは不要です。Applications that use Conditional Access policies to control access do not need app passwords.

組織が SSO で Azure AD とフェデレーションされているときに Azure MFA を使用する場合は、次の詳細に注意してください。If your organization is federated for SSO with Azure AD and you are going to be using Azure MFA, then be aware of the following details:

  • アプリ パスワードは Azure AD によって検証されます。したがってフェデレーションをバイパスします。The app password is verified by Azure AD and therefore bypasses federation. フェデレーションは、アプリ パスワードを設定するときにのみ使用されます。Federation is only used when setting up app passwords. フェデレーション (SSO) ユーザーの場合、パスワードは組織 ID の中に保存されます。For federated (SSO) users, passwords are stored in the organizational ID. ユーザーが退職した場合、その情報は、DirSync を使用して組織 ID に送信される必要があります。If the user leaves the company, that info has to flow to organizational ID using DirSync. アカウントの無効化/削除を同期させるには最大 3 時間かかる可能性があり、Azure AD 内のアプリ パスワードの無効化/削除が遅れることがあります。Account disable/deletion may take up to three hours to sync, which delays disable/deletion of app passwords in Azure AD.
  • オンプレミスのクライアント アクセス制御の設定は、アプリ パスワードでは受け入れられません。On-premises Client Access Control settings are not honored by App Password.
  • アプリ パスワードに対するオンプレミスの認証ログ/監査機能はありません。No on-premises authentication logging/auditing capability is available for app passwords.
  • ある種の高度なアーキテクチャ設計では、2 段階認証をクライアントで使用するときに、認証場所によっては、組織のユーザー名とパスワードをアプリ パスワードと組み合わせて使用する必要があります。Certain advanced architectural designs may require using a combination of organizational username and passwords and app passwords when using two-step verification with clients, depending on where they authenticate. オンプレミスのインフラストラクチャに対して認証するクライアントの場合は、組織のユーザー名とパスワードを使用します。For clients that authenticate against an on-premises infrastructure, you would use an organizational username and password. Azure AD に対して認証するクライアントはアプリケーション パスワードを使用します。For clients that authenticate against Azure AD, you would use the app password.
  • 既定では、ユーザーはアプリ パスワードを作成できません。By default, users cannot create app passwords. ユーザーにアプリ パスワードの作成を許可する必要がある場合は、サービス設定の下で [ブラウザーではないアプリケーションへのサインイン用にアプリケーション パスワードの作成を許可する] オプションを選択します。If you need to allow users to create app passwords, select the Allow users to create app passwords to sign into non-browser applications option under service settings.

次の手順Next steps

セルフサービスによるパスワードのリセットを組織で使用できるようにするEnable self service password reset for your organization

Azure Multi-Factor Authentication を組織で使用できるようにするEnable Azure Multi-Factor Authentication for your organization

テナントで統合された登録を有効にするEnable combined registration in your tenant

エンドユーザーの認証方法の構成に関するドキュメントEnd-user authentication method configuration documentation