動作のしくみ: Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

2 段階認証のセキュリティは、レイヤー アプローチによってもたらされます。The security of two-step verification lies in its layered approach. 攻撃者にとって、多要素認証を侵害することはかなり困難です。Compromising multiple authentication factors presents a significant challenge for attackers. 攻撃者がユーザーのパスワードを手に入れても、付加的な認証方法がなければ役に立ちません。Even if an attacker manages to learn the user's password, it is useless without also having possession of the additional authentication method. 多要素認証は次の認証方法のうち 2 つ以上を要求することで機能します。It works by requiring two or more of the following authentication methods:

  • ユーザーが知っているもの (通常はパスワード)Something you know (typically a password)
  • ユーザーが持っているもの (携帯電話など、簡単には複製できない信頼できるデバイス)Something you have (a trusted device that is not easily duplicated, like a phone)
  • ユーザー自身 (生体認証)Something you are (biometrics)

認証方法の概念画像

Conceptual authentication methods image

Azure Multi-Factor Authentication (MFA) を利用すれば、データやアプリケーションへのアクセスを保護し、ユーザーには簡単なサインイン プロセスを提供できます。Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for users. 2 つ目の認証を要求することでセキュリティを追加し、使い勝手の良いさまざまな認証方法によって強力な認証を与えます。It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. ユーザーは、管理者が行う構成上の決定に基づいて、MFA で認証が行われる場合と行われない場合があります。Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Multi-Factor Authentication の入手方法How to get Multi-Factor Authentication?

Multi-Factor Authentication は以下のサービスに付属します。Multi-Factor Authentication comes as part of the following offerings:

  • Azure Active Directory Premium または Microsoft 365 Business - Azure Multi-Factor Authentication のすべての機能と条件付きアクセス ポリシーを使用して、多要素認証を要求します。Azure Active Directory Premium or Microsoft 365 Business - Full featured use of Azure Multi-Factor Authentication using Conditional Access policies to require multi-factor authentication.

  • Azure AD Free、またはスタンドアロンの Office 365 ライセンス - 作成済みの条件付きアクセス ベースライン保護ポリシーを使用して、ユーザーと管理者に多要素認証を要求します。Azure AD Free or standalone Office 365 licenses - Use pre-created Conditional Access baseline protection policies to require multi-factor authentication for your users and administrators.

  • Azure Active Directory 全体管理者 - Azure Multi-Factor Authentication の一部の機能を集めたものであり、全体管理者アカウントを保護するための手段として利用されます。Azure Active Directory Global Administrators - A subset of Azure Multi-Factor Authentication capabilities are available as a means to protect global administrator accounts.

注意

2018 年 9 月 1 日以降、新しいお客様は、スタンドアロン オファーとして Azure Multi-Factor Authentication を購入できなくなります。New customers may no longer purchase Azure Multi-Factor Authentication as a standalone offering effective September 1st, 2018. 多要素認証認証は、今後も Azure AD Premium ライセンスで利用できます。Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

サポートSupportability

ユーザーの多くはパスワードのみを使用した認証に慣れているため、組織はこのプロセスに関してすべてのユーザーに通達することが重要です。Since most users are accustomed to using only passwords to authenticate, it is important that your organization communicates to all users regarding this process. 通達により、ユーザーが MFA 関連の重要でない問題についてヘルプ デスクに問い合わせる可能性が低くなります。Awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. ただし、一部のシナリオでは MFA を一時的に無効にすることが必要になる場合があります。However, there are some scenarios where temporarily disabling MFA is necessary. 次のガイドラインに従って、これらのシナリオへの対処方法を理解してください。Use the following guidelines to understand how to handle those scenarios:

  • 認証方法にアクセスできないか、認証方法が正しく動作せず、ユーザーがサインインできない状況に対応できるよう、サポート スタッフをトレーニングしてください。Train your support staff to handle scenarios where the user can't sign in because they do not have access to their authentication methods or they are not working correctly.
    • サポート スタッフは Azure MFA Service の条件付きアクセス ポリシーを利用することで、MFA を要求するポリシーから除外されるグループにユーザーを追加できます。Using Conditional Access policies for Azure MFA Service, your support staff can add a user to a group that is excluded from a policy requiring MFA.
  • 2 段階認証の要求を最小限に抑える方法として、条件付きアクセスのネームド ロケーションを使用することを検討します。Consider using Conditional Access named locations as a way to minimize two-step verification prompts. この機能を使用して、管理者は、新しいユーザーのオンボードで使用されるセキュリティで保護された信頼できるネットワークの場所 (ネットワーク セグメントなど) からサインインしているユーザーの 2 段階認証をバイパスすることができます。With this functionality, administrators can bypass two-step verification for users that are signing in from a secure trusted network location such as a network segment used for new user onboarding.
  • Azure AD Identity Protection をデプロイし、リスク検出に基づいて 2 段階検証をトリガーします。Deploy Azure AD Identity Protection and trigger two-step verification based on risk detections.

次の手順Next steps