動作のしくみ: Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

多要素認証は、携帯電話にコードを入力する、指紋スキャンを行うなど、サインイン プロセス中に追加で本人確認できるものをユーザーに求めるプロセスです。Multi-factor authentication is a process where a user is prompted during the sign-in process for an additional form of identification, such as to enter a code on their cellphone or to provide a fingerprint scan.

ユーザーの認証にパスワードのみを使用する場合、不安な攻撃ベクトルが残ります。If you only use a password to authenticate a user, it leaves an insecure vector for attack. パスワードの強度が低いか、どこかで流出していたとしたら、そのユーザー名とパスワードでサインインしようとしているユーザーは本人なのか、攻撃者なのかわかりません。If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password, or is it an attacker? 2 つ目の認証形式を義務付ければ、その二次的な要素は攻撃者が容易に取得したり複製したりできるようなものではないため、セキュリティが向上します。When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

さまざまな形式の多要素認証の概念図

Azure Multi-Factor Authentication は、次の認証方法のうち 2 つ以上を要求することで機能します。Azure Multi-Factor Authentication works by requiring two or more of the following authentication methods:

  • ユーザーが知っているもの (通常はパスワード)。Something you know, typically a password.
  • ユーザーが持っているもの (携帯電話やハードウェア キーのように、簡単には複製できない信頼できるデバイスなど)。Something you have, such as a trusted device that is not easily duplicated, like a phone or hardware key.
  • ユーザー自身 (指紋スキャンや顔面認識などの生体認証)。Something you are - biometrics like a fingerprint or face scan.

オンボーディング エクスペリエンスを簡略化するために、セルフサービス パスワード リセットと Azure Multi-Factor Authentication の両方にユーザー自身が 1 回のステップで登録できるようになっています。Users can register themselves for both self-service password reset and Azure Multi-Factor Authentication in one step to simplify the on-boarding experience. どのような形式のセカンダリ認証を使用できるかは、管理者が定義できます。Administrators can define what forms of secondary authentication can be used. Azure Multi-Factor Authentication は、ユーザーがセルフサービス パスワード リセットを実行してさらにそのプロセスのセキュリティを高める際に義務付けることもできます。Azure Multi-Factor Authentication can also be required when users perform a self-service password reset to further secure that process.

サインイン画面で使用されている認証方法

Azure Multi-Factor Authentication を利用すれば、データやアプリケーションへのアクセスを保護すると同時に、ユーザーの利便性を維持できます。Azure Multi-Factor Authentication helps safeguard access to data and applications while maintaining simplicity for users. 2 つ目の認証を要求することでセキュリティを追加し、使い勝手の良いさまざまな認証方法によって強力な認証を与えます。It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. ユーザーは、管理者が行う構成上の決定に基づいて、MFA で認証が行われる場合と行われない場合があります。Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Azure Multi-Factor Authentication を使用するために、アプリケーションまたはサービスを変更する必要はありません。Your applications or services don't need to make any changes to use Azure Multi-Factor Authentication. 検証プロンプトは Azure AD サインイン イベントの一部であり、必要に応じて MFA チャレンジを自動的に要求して処理します。The verification prompts are part of the Azure AD sign-in event, which automatically requests and processes the MFA challenge when required.

使用可能な検証方法Available verification methods

ユーザーがアプリケーションまたはサービスにサインインすると、MFA プロンプトが表示され、登録されているいずれかの追加の検証形式を選択できます。When a user signs in to an application or service and receive an MFA prompt, they can choose from one of their registered forms of additional verification. 管理者は、これらの Azure Multi-Factor Authentication の検証方法の登録を要求することができます。または、ユーザーが自分の [マイ プロファイル] にアクセスして検証方法を編集または追加できます。An administrator could require registration of these Azure Multi-Factor Authentication verification methods, or the user can access their own My Profile to edit or add verification methods.

Azure Multi-Factor Authentication では、次のような追加の検証形式を使用できます。The following additional forms of verification can be used with Azure Multi-Factor Authentication:

  • Microsoft Authenticator アプリMicrosoft Authenticator app
  • OATH ハードウェア トークンOATH Hardware token
  • smsSMS
  • 音声通話Voice call

Azure Multi-Factor Authentication を有効にして使用する方法How to enable and use Azure Multi-Factor Authentication

サインイン イベント時に追加の検証を要求するように、Azure Multi-Factor Authentication に対してユーザーとグループを有効にすることができます。Users and groups can be enabled for Azure Multi-Factor Authentication to prompt for additional verification during the sign-in event. すべてのユーザーが Microsoft Authenticator アプリをすぐに使用できるように、すべての Azure AD テナントでセキュリティの既定値群を使用できます。Security defaults are available for all Azure AD tenants to quickly enable the use of the Microsoft Authenticator app for all users.

より詳細な制御を行うために、条件付きアクセス ポリシーを使用して、MFA を必要とするイベントやアプリケーションを定義できます。For more granular controls, Conditional Access policies can be used to define events or applications that require MFA. これらのポリシーにより、ユーザーが企業ネットワークまたは登録済みデバイスを使用中の場合は通常のサインイン イベントを許可しますが、リモートまたは個人用デバイスを使用中の場合は追加の検証要素を求めることができます。These policies can allow regular sign-in events when the user is on the corporate network or a registered device, but prompt for additional verification factors when remote or on a personal device.

条件付きアクセスによってサインイン プロセスにセキュリティを確保するしくみを示す概要図

次のステップNext steps

ライセンの詳細については、「Azure Multi-Factor Authentication の機能とライセンス」を参照してください。To learn about licensing, see Features and licenses for Azure Multi-Factor Authentication.

MFA の動作を確認するには、次のチュートリアルで一連のテスト ユーザーに対して Azure Multi-Factor Authentication を有効にします。To see MFA in action, enable Azure Multi-Factor Authentication for a set of test users in the following tutorial: