Microsoft Entra ID を使用して SMS ベース認証用にユーザーを構成して有効にする
アプリケーションやサービスへのサインインを簡素化してセキュリティで保護するために、Microsoft Entra ID には複数の認証オプションが用意されています。 SMS ベースの認証を使用すると、サインイン時にユーザーは自分のユーザー名とパスワードを指定する必要がなく、覚えておく必要すらありません。 ユーザーは、ID 管理者によってアカウントが作成された後、サインイン プロンプトで電話番号を入力できます。 ユーザーは、サインインを完了するために指定できる SMS 認証コードを受け取ります。 この認証方法を使用すると、特に第一線で働くユーザーにとっては、アプリケーションやサービスへのアクセスが簡単になります。
この記事では、Microsoft Entra ID で選択されたユーザーまたはグループに対して SMS ベースの認証を有効にする方法について説明します。 SMS ベースのサインインを使用できるアプリの一覧については、「アプリの SMS ベース認証のサポート」を参照してください。
開始する前に
この記事を完了するには、以下のリソースと特権が必要です。
- 有効な Azure サブスクリプション
- Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
- サブスクリプションに関連付けられている Microsoft Entra テナント。
- 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
- SMS ベース認証を有効にするには、Microsoft Entra テナントでのグローバル管理者特権が必要です。
- SMS 認証方法ポリシーで有効になっている各ユーザーは、その方法を使用しない場合でも、ライセンスを取得している必要があります。 有効な各ユーザーは、次の Microsoft Entra ID、EMS、または Microsoft 365 ライセンスのいずれかを保持している必要があります。
既知の問題
既知の問題の一部をここに挙げます。
- 現在、SMS ベース認証には Microsoft Entra 多要素認証との互換性はありません。
- Teams を除き、SMS ベース認証には、ネイティブな Office アプリケーションとの互換性はありません。
- B2B アカウントの場合、SMS ベース認証はサポートされていません。
- フェデレーション ユーザーは、ホーム テナントでは認証されません。 クラウドでのみ認証されます。
- 既定のサインイン方法を電話番号に対するテキスト メッセージまたは音声通話にしている場合は、多要素認証時に、SMS コードか音声呼び出しを自動的に発信します。 2021 年 6 月現在、一部のアプリでは、テキスト メッセージと音声通話のどちらかを選ぶよう、最初にユーザーに求めます。 このオプションにより、さまざまなアプリに対して必要以上に多くのセキュリティ コードを送信しなくて済みます。 既定のサインイン方法を Microsoft Authenticator アプリにしている場合は (この方法を強くお勧めします)、アプリから自動的に通知を送信します。
SMS ベースの認証方法を有効にする
組織で SMS ベース認証を有効にして使用するには、次の 3 つの主要な手順があります。
- 認証方法ポリシーを有効にする。
- SMS ベースの認証方法を使用できるユーザーまたはグループを選択する。
- 各ユーザー アカウントに電話番号を割り当てる。
- この電話番号は、(この記事で示されている) Microsoft Entra 管理センターと "マイ スタッフ" または "マイ アカウント" で割り当てることができます。
まず、Microsoft Entra テナントの SMS ベース認証を有効にしましょう。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]、[認証方法]、[ポリシー] の順に進みます。
利用可能な認証方法の一覧から、[SMS] を選択します。
[Enable](有効にする) をクリックし、[Target users](ターゲット ユーザー) を選択します。 "すべてのユーザー" または "選択されたユーザー" およびグループに対して SMS ベース認証を有効にするように選ぶことができます。
Note
1 番目の要素として SMS ベースの認証を構成するには (つまり、ユーザーがこの方法でサインインできるようにするには)、[サインインに使用] チェックボックスをオンにします。 これをオフのままにすると、SMS ベースの認証は多要素認証とセルフサービス パスワード リセットのみに使用できるようになります。
認証方法をユーザーとグループに割り当てる
Microsoft Entra テナントで SMS ベース認証が有効になっている状態で、この認証方法の使用が許可されるようにいくつかのユーザーまたはグループを選択します。
- SMS 認証ポリシー ウィンドウで、[Target](ターゲット) を [Select users](選択されたユーザー) に設定します。
- [ユーザーまたはグループの追加] を選択して、"Contoso ユーザー" や "Contoso SMS ユーザー" などのテスト ユーザーまたはグループを選択します。
- ユーザーまたはグループを選択したら、更新された認証方法ポリシーの [選択] 、 [保存] を順に選びます。
SMS 認証方法ポリシーで有効になっている各ユーザーは、その方法を使用しない場合でも、ライセンスを取得している必要があります。 特に、大規模なユーザー グループに対して機能を有効にする場合は、認証方法ポリシーで有効にするユーザーに適切なライセンスがあることを確認してください。
ユーザー アカウントに電話番号を設定する
これで、SMS ベース認証に対してユーザーが有効になりましたが、サインインするには、事前にユーザーの電話番号が Microsoft Entra ID 上でユーザー プロファイルに関連付けられている必要があります。 ユーザーは "マイ アカウント" でこの電話番号を自分で設定することができます。または、Microsoft Entra 管理センターを使用してあなたが電話番号を割り当てることもできます。 電話番号は、"全体管理者"、"authentication admins (認証管理者) "、または "privileged authentication admins (特権認証管理者) " によって設定できます。
電話番号が SMS ベースのサインイン用に設定されている場合は、Microsoft Entra 多要素認証およびセルフサービス パスワード リセットにその電話番号を使用することもできます。
Microsoft Entra ID を検索して選択します。
Microsoft Entra ウィンドウの左側にあるナビゲーション メニューから、[ユーザー] を選択します。
前のセクションで SMS ベース認証を有効にしたユーザーを選択して ("Contoso ユーザー" など)、 [認証方法] を選択します。
[認証方法の追加] を選択し、 [方法の選択] ドロップダウン メニューで [電話番号] を選択します。
+1 xxxxxxxxx など、国番号を含むユーザーの電話番号を入力します。 Microsoft Entra 管理センターは、電話番号が正しい形式であることを検証します。
次に、 [電話の種類] ドロップダウン メニューから、必要に応じて [携帯電話] 、 [連絡用携帯電話] 、または [その他] を選択します。
電話番号はテナント内で一意にする必要があります。 複数のユーザーに同じ電話番号を使用しようとすると、エラー メッセージが表示されます。
電話番号をユーザーのアカウントに適用するには、 [追加] を選択します。
正常にプロビジョニングされると、"SMS サインインが有効になっている" のチェック マークが表示されます。
SMS ベースのサインインをテストする
SMS ベースのサインインが有効になったユーザー アカウントをテストするには、次の手順を実行します。
https://www.office.com に新しい InPrivate または Incognito Web ブラウザー ウィンドウを開きます
右上隅にある [サインイン] を選択します。
サインイン プロンプトで、前のセクションでユーザーに関連付けられている電話番号を入力し、 [次へ] を選択します。
指定された電話番号に、SMS メッセージが送信されます。 サインイン プロセスを完了するには、SMS メッセージに記載されている 6 桁のコードをサインイン プロンプトに入力します。
これでユーザーは、ユーザー名やパスワードを入力しなくてもサインインできるようになりました。
SMS ベースのサインインをトラブルシューティングする
次のシナリオとトラブルシューティングの手順は、SMS ベースのサインインの有効化と使用に関する問題が発生した場合に、利用できます。 SMS ベースのサインインを使用できるアプリの一覧については、「アプリの SMS ベース認証のサポート」を参照してください。
ユーザー アカウントに既に電話番号が設定されている
ユーザーが Microsoft Entra 多要素認証またはセルフサービス パスワード リセット (SSPR) に既に登録されている場合は、そのアカウントに関連付けられている電話番号が既に設定されています。 SMS ベースのサインインに使用できるように、この電話番号が自動的に利用可能になるわけではありません。
アカウントに電話番号が既に設定されているユーザーには、 [マイ プロファイル] ページ上に " [Enable for SMS sign-in](SMS サインインを有効化する) " ボタンが表示されます。 このボタンを選択すると、アカウントが SMS ベースのサインインでの使用と、以前の Microsoft Entra 多要素認証または SSPR 登録に対して有効化されます。
エンドユーザー エクスペリエンスの詳細については、電話番号での SMS サインイン ユーザー エクスペリエンスに関する記事を参照してください。
ユーザーのアカウントに電話番号を設定しようとするとエラーが発生する
Microsoft Entra 管理センターでユーザー アカウントに電話番号を設定しようとするとエラーが発生する場合は、次に示すトラブルシューティング手順を確認してください。
- SMS ベースのサインインに対してご自身が有効になっていることを確認します。
- SMS 認証方法ポリシーで該当のユーザー アカウントが有効になっていることを確認します。
- Microsoft Entra 管理センターで検証される電話番号を適切な形式で設定していることを確認します (+1 4251234567 など)。
- 電話番号がテナント内の他の場所に使用されていないことを確認します。
- アカウントに音声番号が設定されていないことを確認します。 音声番号が設定されている場合は、削除してからもう一度電話番号の設定を試してください。
次のステップ
- SMS ベースのサインインを使用できるアプリの一覧については、「アプリの SMS ベース認証のサポート」を参照してください。
- Microsoft Authenticator アプリや FIDO2 セキュリティ キーなど、パスワードを使用せずに Microsoft Entra ID にサインインするその他の方法については、「Microsoft Entra ID のパスワードレス認証オプション」を参照してください。
- また、Microsoft Graph REST API を使用して、SMS ベースのサインインを、有効または無効にすることもできます。