Azure Multi-Factor Authentication の設定を構成するConfigure Azure Multi-Factor Authentication settings

この記事は、Azure portal で Multi-Factor Authentication の設定を管理するうえで役立ちます。This article helps you to manage Multi-Factor Authentication settings in the Azure portal. ここでは、Azure Multi-factor Authentication を最大限に活用するために役立つさまざまなトピックについて説明します。It covers various topics that help you to get the most out of Azure Multi-Factor Authentication. すべてのバージョンの Azure Multi-factor Authentication ですべての機能を使用できるわけではありません。Not all of the features are available in every version of Azure Multi-Factor Authentication.

Azure portal で Multi-Factor Authentication に関連する設定にアクセスするには、[Azure Active Directory] > [MFA] の順に移動します。You can access settings related to Multi-Factor Authentication from the Azure portal by browsing to Azure Active Directory > MFA.

Azure portal - Azure AD Multi-Factor Authentication の設定

設定Settings

これらの設定の一部は、MFA サーバー、Azure MFA、またはその両方に適用されます。Some of these settings apply to MFA Server, Azure MFA, or both.

機能Feature 説明Description
アカウントのロックアウトAccount lockout 連続して拒否された認証試行が多すぎる場合に、Multi-Factor Authentication サービス内でアカウントを一時的にロックします。Temporarily lock accounts in the multi-factor authentication service if there are too many denied authentication attempts in a row. この機能は、認証のために PIN を入力するユーザーにのみ適用されます。This feature only applies to users who enter a PIN to authenticate. (MFA サーバー)(MFA Server)
ユーザーのブロック/ブロック解除Block/unblock users MFA サーバー (オンプレミス) の特定のユーザーが Multi-Factor Authentication 要求を受信できないようにするために使用されます。Used to block specific users on MFA Server (on-premises) from being able to receive Multi-Factor Authentication requests. ブロックされているユーザーを認証しようとすると、自動的に拒否されます。Any authentication attempts for blocked users are automatically denied. ユーザーはブロックされた時間から 90 日間ブロックされ続けます。Users remain blocked for 90 days from the time that they are blocked.
不正アクセスのアラートFraud alert ユーザーが不正な確認要求をレポートできるかどうかに関する設定を構成しますConfigure settings related to users ability to report fraudulent verification requests
通知Notifications MFA サーバーからのイベントの通知を有効にします。Enable notifications of events from MFA Server.
OATH トークンOATH tokens クラウドベースの Azure MFA 環境で、ユーザーの OATH トークンを管理するために使用されます。Used in cloud-based Azure MFA environments to manage OATH tokens for users.
電話の設定Phone call settings クラウド環境とオンプレミス環境の電話と案内メッセージに関連する設定を構成します。Configure settings related to phone calls and greetings for cloud and on-premises environments.
プロバイダーProviders アカウントに関連付けた可能性がある既存の認証プロバイダーを表示します。This will show any existing authentication providers that you may have associated with your account. 2018 年 9 月 1 日時点では、新しい認証プロバイダーは作成できませんNew authentication providers may not be created as of September 1, 2018

MFA サーバーの管理Manage MFA Server

このセクションの設定は、MFA サーバーのみが対象です。Settings in this section are for MFA Server only.

機能Feature 説明Description
サーバーの設定Server settings MFA サーバーをダウンロードして、環境を初期化するためのアクティブ化資格情報を生成しますDownload MFA Server and generate activation credentials to initialize your environment
ワンタイム バイパスOne-time bypass 期間限定で、2 段階認証を実行することなくユーザーを認証できるようにします。Allow a user to authenticate without performing two-step verification for a limited time.
キャッシュ規則Caching rules キャッシュは主に、VPN などのオンプレミス システムによって複数の認証要求が送信され、最初の要求がまだ処理中である場合に使用されます。Caching is primarily used when on-premises systems, such as VPN, send multiple verification requests while the first request is still in progress. この機能を使用すれば、処理中の最初の認証にユーザーが成功した後で、後続の要求が自動的に処理されるようになります。This feature allows the subsequent requests to succeed automatically, after the user succeeds the first verification in progress.
サーバーの状態Server status バージョン、状態、IP、最後の通信日時など、オンプレミスの MFA サーバーの状態を表示します。See the status of your on-premises MFA servers including version, status, IP, and last communication time and date.

アクティビティ レポートActivity report

ここで使用できるレポートは、MFA サーバー (オンプレミス) に固有のものです。The reporting available here is specific to MFA Server (on-premises). Azure MFA (クラウド) のレポートについては、Azure AD のサインイン レポートを参照してください。For Azure MFA (cloud) reports see the sign-ins report in Azure AD.

ユーザーのブロックおよびブロック解除Block and unblock users

ユーザーが認証要求を受信できないようにする場合は、ユーザーのブロック/ブロック解除 機能を使用します。Use the block and unblock users feature to prevent users from receiving authentication requests. ブロックされているユーザーを認証しようとすると、自動的に拒否されます。Any authentication attempts for blocked users are automatically denied. ユーザーはブロックされた時間から 90 日間ブロックされ続けます。Users remain blocked for 90 days from the time that they are blocked.

ユーザーのブロックBlock a user

  1. Azure Portal に管理者としてサインインします。Sign in to the Azure portal as an administrator.
  2. [Azure Active Directory] > [MFA] > [ユーザーのブロック/ブロック解除] に移動します。Browse to Azure Active Directory > MFA > Block/unblock users.
  3. [追加] を選択してユーザーをブロックします。Select Add to block a user.
  4. [レプリケーション グループ] を選択します。Select the Replication Group. ブロックされているユーザーのユーザー名を username@domain.com として入力します。Enter the username for the blocked user as username@domain.com. [理由] フィールドにコメントを入力します。Enter a comment in the Reason field.
  5. [追加] を選択してユーザーのブロックを終了します。Select Add to finish blocking the user.

ユーザーのブロック解除Unblock a user

  1. Azure Portal に管理者としてサインインします。Sign in to the Azure portal as an administrator.
  2. [Azure Active Directory] > [MFA] > [ユーザーのブロック/ブロック解除] に移動します。Browse to Azure Active Directory > MFA > Block/unblock users.
  3. ブロック解除するユーザーの横にある、[アクション] 列の [ブロック解除] を選択します。Select Unblock in the Action column next to the user to unblock.
  4. [Reason for unblocking](ブロック解除の理由) フィールドにコメントを入力します。Enter a comment in the Reason for unblocking field.
  5. [ブロック解除] を選択して、ユーザーのブロック解除を終了します。Select Unblock to finish unblocking the user.

不正アクセスのアラートFraud alert

ユーザーが各自のリソースに対する不正アクセスの試みを通報できるように、不正アクセスのアラート 機能を構成します。Configure the fraud alert feature so that your users can report fraudulent attempts to access their resources. ユーザーは、モバイル アプリまたは電話で不正アクセスの試みを通報できます。Users can report fraud attempts by using the mobile app or through their phone.

不正アクセスのアラートを有効にするTurn on fraud alerts

  1. Azure Portal に管理者としてサインインします。Sign in to the Azure portal as an administrator.
  2. [Azure Active Directory] > [MFA] > [不正アクセスのアラート] の順に移動します。Browse to Azure Active Directory > MFA > Fraud alert.
  3. [ユーザーが不正アクセスを通報できるようにする] 設定を [オン] に設定します。Set the Allow users to submit fraud alerts setting to On.
  4. [保存] を選択します。Select Save.

構成オプションConfiguration options

  • [Block user when fraud is reported](不正アクセスが報告されたときのユーザーのブロック): ユーザーが不正アクセスを報告した場合、そのユーザーのアカウントは 90 日間、または管理者がそのアカウントのブロックを解除するまでブロックされます。Block user when fraud is reported: If a user reports fraud, their account is blocked for 90 days or until an administrator unblocks their account. 管理者はサインイン レポートを使用してサインインを確認し、将来の不正アクセスを防止するための適切なアクションを実行できます。An administrator can review sign-ins by using the sign-in report, and take appropriate action to prevent future fraud. その後、管理者はそのユーザーのアカウントのブロックを解除できます。An administrator can then unblock the user's account.

  • [Code to report fraud during initial greeting](案内メッセージ中に入力する不正アクセス通報コード): ユーザーは、2 段階認証を実行する電話を受けた場合、通常、# を押してサインインを確認します。Code to report fraud during initial greeting: When users receive a phone call to perform two-step verification, they normally press # to confirm their sign-in. 不正アクセスを通報する場合は、# を押す前にコードを入力します。To report fraud, the user enters a code before pressing #. このコードは、既定では 0 ですが、カスタマイズすることができます。This code is 0 by default, but you can customize it.

    注意

    Microsoft の既定の音声案内では、不正アクセスのアラートを送信するには 0# を押すようにユーザーに指示します。The default voice greetings from Microsoft instruct users to press 0# to submit a fraud alert. 0 以外のコードを使用する場合は、ユーザーに適切な指示を行う独自のカスタム音声案内を記録し、アップロードする必要があります。If you want to use a code other than 0, record and upload your own custom voice greetings with appropriate instructions for your users.

不正アクセスの通報を表示するView fraud reports

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. [Azure Active Directory] > [サインイン] の順に選択します。これで、不正アクセスの通報が標準の Azure AD サインイン レポートの一部になります。Select Azure Active Directory > Sign-ins. The fraud report is now part of the standard Azure AD Sign-ins report.

電話の設定Phone call settings

発信者 IDCaller ID

MFA 発信者の ID 番号 - これは、ユーザーの電話に表示される番号です。MFA caller ID number - This is the number your users will see on their phone. 米国ベースの番号だけを使用できます。Only US-based numbers are allowed.

注意

公衆電話網経由で Multi-Factor Authentication の呼び出しが行われた場合、発信者 ID をサポートしていない通信事業者を通じて呼び出しがルーティングされることがあります。When Multi-Factor Authentication calls are placed through the public telephone network, sometimes they are routed through a carrier that doesn't support caller ID. このため、Multi-Factor Authentication システムが常に発信者 ID を送信していても、発信者 ID は保証されません。Because of this, caller ID is not guaranteed, even though the Multi-Factor Authentication system always sends it.

カスタム音声メッセージCustom voice messages

カスタム音声メッセージ 機能では、独自の録音やあいさつを 2 段階認証で使用できます。You can use your own recordings or greetings for two-step verification with the custom voice messages feature. これらのメッセージは、Microsoft による録音に加えて使用するか、その代わりに使用できます。These messages can be used in addition to or to replace the Microsoft recordings.

開始する前に、次の制限に注意してください。Before you begin, be aware of the following restrictions:

  • サポートされているファイルの形式は .wav と .mp3 です。The supported file formats are .wav and .mp3.
  • ファイル サイズの上限は 5 MB です。The file size limit is 5 MB.
  • 認証メッセージは、20 秒より短くする必要があります。Authentication messages should be shorter than 20 seconds. 20 秒より長いメッセージの場合は、確認に失敗する可能性があります。Messages that are longer than 20 seconds can cause the verification to fail. メッセージが終わる前にユーザーが応答せず、確認がタイムアウトになる可能性があります。The user might not respond before the message finishes and the verification times out.

カスタム メッセージ言語の動作Custom message language behavior

カスタム音声メッセージがユーザーに再生されるときのメッセージの言語は、次の要因によって決まります。When a custom voice message is played to the user, the language of the message depends on these factors:

  • 現在のユーザーの言語。The language of the current user.
    • ユーザーのブラウザーで検出された言語。The language detected by the user's browser.
    • 他の認証シナリオでは、異なる動作になる可能性があります。Other authentication scenarios may behave differently.
  • 使用できるカスタム メッセージの言語。The language of any available custom messages.
    • この言語は、カスタム メッセージが追加されるときに管理者が選択します。This language is chosen by the administrator, when a custom message is added.

たとえば、カスタム メッセージが 1 つのみで、言語がドイツ語の場合は次のようになります。For example, if there is only one custom message, with a language of German:

  • ドイツ語で認証されたユーザーには、カスタムのドイツ語のメッセージが聞こえます。A user who authenticates in the German language will hear the custom German message.
  • 英語で認証されたユーザーには、標準の英語メッセージが聞こえます。A user who authenticates in English will hear the standard English message.

カスタム メッセージを設定するSet up a custom message

  1. Azure Portal に管理者としてサインインします。Sign in to the Azure portal as an administrator.
  2. [Azure Active Directory] > [MFA] > [電話の設定] の順に移動します。Browse to Azure Active Directory > MFA > Phone call settings.
  3. [案内の追加] を選択します。Select Add greeting.
  4. 案内の種類を選択します。Choose the type of greeting.
  5. 言語を選択します。Choose the language.
  6. アップロードする .mp3 や .wav サウンド ファイルを選択します。Select an .mp3 or .wav sound file to upload.
  7. [追加] を選択します。Select Add.

ワンタイム バイパスOne-time bypass

ワンタイム バイパス 機能は、2 段階認証の実行なしでユーザーを 1 回だけ認証できるようにします。The one-time bypass feature allows a user to authenticate a single time without performing two-step verification. このバイパスは一時的なものであり、指定された秒数が経過すると無効になります。The bypass is temporary and expires after a specified number of seconds. モバイル アプリまたは電話で通知または通話に対応しない状況でも、ワンタイム バイパスを使用することで、ユーザーは目的のリソースにアクセスできるようになります。In situations where the mobile app or phone is not receiving a notification or phone call, you can allow a one-time bypass so the user can access the desired resource.

ワンタイム バイパスを作成するCreate a one-time bypass

  1. Azure Portal に管理者としてサインインします。Sign in to the Azure portal as an administrator.
  2. [Azure Active Directory] > [MFA] > [ワンタイム バイパス] の順に移動します。Browse to Azure Active Directory > MFA > One-time bypass.
  3. [追加] を選択します。Select Add.
  4. 必要に応じて、バイパスのレプリケーション グループを選択します。If necessary, select the replication group for the bypass.
  5. ユーザー名を username@domain.com として入力します。Enter the username as username@domain.com. バイパスが持続する秒数を入力します。Enter the number of seconds that the bypass should last. バイパスの理由を入力します。Enter the reason for the bypass.
  6. [追加] を選択します。Select Add. 制限時間はすぐに有効になります。The time limit goes into effect immediately. ユーザーはワンタイム バイパスの有効期限が切れる前にサインインする必要があります。The user needs to sign in before the one-time bypass expires.

ワンタイム バイパス レポートを表示するView the one-time bypass report

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. [Azure Active Directory] > [MFA] > [ワンタイム バイパス] の順に移動します。Browse to Azure Active Directory > MFA > One-time bypass.

キャッシュ規則Caching rules

キャッシュ 機能を使用して、ユーザー認証後の認証の試みを許可する期間を設定することができます。You can set a time period to allow authentication attempts after a user is authenticated by using the caching feature. 指定した期間内のユーザーの後続の認証の試みは自動的に成功します。Subsequent authentication attempts for the user within the specified time period succeed automatically. キャッシュは主に、VPN などのオンプレミス システムによって複数の認証要求が送信され、最初の要求がまだ処理中である場合に使用されます。Caching is primarily used when on-premises systems, such as VPN, send multiple verification requests while the first request is still in progress. この機能を使用すれば、処理中の最初の認証にユーザーが成功した後で、後続の要求が自動的に処理されるようになります。This feature allows the subsequent requests to succeed automatically, after the user succeeds the first verification in progress.

注意

キャッシュ機能は Azure Active Directory (Azure AD) へのサインインに使用するためのものではありません。The caching feature is not intended to be used for sign-ins to Azure Active Directory (Azure AD).

キャッシュを設定するSet up caching

  1. Azure Portal に管理者としてサインインします。Sign in to the Azure portal as an administrator.
  2. [Azure Active Directory] > [MFA] > [キャッシュ規則] の順に移動します。Browse to Azure Active Directory > MFA > Caching rules.
  3. [追加] を選択します。Select Add.
  4. ドロップダウン リストからキャッシュの種類を選択します。Select the cache type from the drop-down list. キャッシュする秒数の最大数を入力します。Enter the maximum number of cache seconds.
  5. 必要に応じて、認証の種類を選択し、アプリケーションを指定します。If necessary, select an authentication type and specify an application.
  6. [追加] を選択します。Select Add.

MFA サービスの設定MFA service settings

Azure Multi-Factor Authentication におけるアプリ パスワード、信頼できる IP、確認オプション、および多要素認証の記憶の設定は、サービス設定で確認できます。Settings for app passwords, trusted IPs, verification options, and remember multi-factor authentication for Azure Multi-Factor Authentication can be found in service settings. Azure portal からサービス設定にアクセスするには、[Azure Active Directory] > [MFA] > [作業の開始] > [構成] > [追加のクラウドベースの MFA 設定] の順に移動します。Service settings can be accessed from the Azure portal by browsing to Azure Active Directory > MFA > Getting started > Configure > Additional cloud-based MFA settings.

Azure Multi-Factor Authentication のサービス設定

アプリ パスワードApp passwords

Office 2010 以前や iOS 11 以前の Apple Mail のような一部のアプリでは、2 段階認証はサポートされません。Some applications, like Office 2010 or earlier and Apple Mail before iOS 11, don't support two-step verification. アプリは、2 つ目の認証を受け入れるように構成されていません。The apps aren't configured to accept a second verification. これらのアプリケーションを使用する場合は、アプリ パスワード 機能を利用します。To use these applications, take advantage of the app passwords feature. 従来のパスワードの代わりにアプリ パスワードを使用すれば、アプリが 2 段階認証をバイパスして動作を続行できるように指定できます。You can use an app password in place of your traditional password to allow an app to bypass two-step verification and continue working.

Microsoft Office 2013 クライアント以降向けの最新の認証がサポートされています。Modern authentication is supported for the Microsoft Office 2013 clients and later. Office 2013 クライアント (Outlook を含む) は、最新の認証プロトコルをサポートしており、2 段階認証を有効にすることができます。Office 2013 clients including Outlook, support modern authentication protocols and can be enabled to work with two-step verification. クライアントを有効にした場合、そのクライアントではアプリ パスワードは必要ありません。After the client is enabled, app passwords aren't required for the client.

注意

条件付きアクセス ベースの多要素認証ポリシーと最新の認証では、アプリ パスワードは機能しません。App passwords do not work with conditional access based multi-factor authentication policies and modern authentication.

アプリ パスワードに関する考慮事項Considerations about app passwords

アプリ パスワードを使用する場合は、次の重要な点を考慮してください。When using app passwords, consider the following important points:

  • アプリ パスワードは、アプリケーションごとに 1 回だけ入力します。App passwords are only entered once per application. ユーザーはパスワードを記録する必要はなく、また毎回入力する必要はありません。Users don't have to keep track of the passwords or enter them every time.
  • 実際のパスワードは自動的に生成され、ユーザーが指定することはありません。The actual password is automatically generated and is not supplied by the user. 自動的に生成されたパスワードのほうが攻撃者から推測されづらく、より安全です。The automatically generated password is harder for an attacker to guess and is more secure.
  • 1 ユーザーあたり 40 個というパスワード数の制限があります。There is a limit of 40 passwords per user.
  • パスワードをキャッシュし、オンプレミス シナリオで使用するアプリケーションは、アプリ パスワードが職場または学校アカウント外では不明であるため、起動できない場合があります。Applications that cache passwords and use them in on-premises scenarios can start to fail because the app password isn't known outside the work or school account. このシナリオの例として、オンプレミスだが、アーカイブ メールはクラウド内にある Exchange メールがあります。An example of this scenario is Exchange emails that are on-premises, but the archived mail is in the cloud. このシナリオでは、同じパスワードは機能しません。In this scenario, the same password doesn't work.
  • ユーザーのアカウントで Multi-Factor Authentication を有効にした後で、Outlook や Microsoft Skype for Business などのほとんどのブラウザー以外のクライアントでアプリ パスワードを使用できます。After Multi-Factor Authentication is enabled on a user's account, app passwords can be used with most non-browser clients like Outlook and Microsoft Skype for Business. Windows PowerShell などのブラウザー以外のアプリケーションからアプリ パスワードを使用して、管理操作を実行することはできません。Administrative actions can't be performed by using app passwords through non-browser applications, such as Windows PowerShell. ユーザーが管理者アカウントを持っている場合でも、操作を実行することはできません。The actions can't be performed even when the user has an administrative account. PowerShell スクリプトを実行するには、サービス アカウントを強固なパスワードで作成します。そのアカウントで 2 段階認証を有効にしないでください。To run PowerShell scripts, create a service account with a strong password and don't enable the account for two-step verification.

警告

クライアントがオンプレミスの自動検出エンドポイントとクラウドの自動検出エンドポイントの両方と通信するハイブリッド環境では、アプリ パスワードは機能しません。App passwords don't work in hybrid environments where clients communicate with both on-premises and cloud auto-discover endpoints. オンプレミスでの認証にはドメイン パスワードが必要です。Domain passwords are required to authenticate on-premises. クラウドでの認証にはアプリ パスワードが必要です。App passwords are required to authenticate with the cloud.

アプリ パスワードの名前に関するガイダンスGuidance for app password names

アプリ パスワードの名前は、それが使用されるデバイスを反映させるようにします。App password names should reflect the device on which they're used. Outlook、Word、Excel などのブラウザー以外のアプリケーションがあるラップトップでは、これらのアプリに対して Laptop という名前のアプリ パスワードを 1 つ作成します。If you have a laptop that has non-browser applications like Outlook, Word, and Excel, create one app password named Laptop for these apps. デスクトップ コンピューター上で実行される同じアプリケーションに対しては、Desktop という名前の別のアプリ パスワードを作成します。Create another app password named Desktop for the same applications that run on your desktop computer.

注意

アプリケーションごとに 1 つのアプリ パスワードではなく、デバイスごとに 1 つのアプリ パスワードを作成することをお勧めします。We recommend that you create one app password per device, rather than one app password per application.

フェデレーション (シングル サインオン) アプリ パスワードFederated or single sign-on app passwords

Azure AD は、オンプレミスの Windows Server Active Directory ドメイン サービス (AD DS) とのフェデレーション (シングル サインオン (SSO)) をサポートします。Azure AD supports federation, or single sign-on (SSO), with on-premises Windows Server Active Directory Domain Services (AD DS). 組織が Azure AD とフェデレーションされているときに Azure Multi-factor Authentication を使用する場合は、アプリ パスワードについて、次の点を考慮してください。If your organization is federated with Azure AD and you're using Azure Multi-Factor Authentication, consider the following points about app passwords.

注意

次の点はフェデレーション (SSO) 顧客にのみ適用されます。The following points apply only to federated (SSO) customers.

  • アプリ パスワードは Azure AD によって検証されます。したがって、フェデレーションをバイパスします。App passwords are verified by Azure AD, and therefore, bypass federation. フェデレーションは、アプリ パスワードを設定するときにのみアクティブに使用されます。Federation is actively used only when setting up app passwords.

  • フェデレーション (SSO) ユーザーの場合、パッシブ フローとは異なり、ID プロバイダー (IdP) には接続されません。The Identity Provider (IdP) is not contacted for federated (SSO) users, unlike the passive flow. アプリ パスワードは職場または学校アカウントに格納されます。The app passwords are stored in the work or school account. ユーザーが退職した場合、そのユーザーの情報は、DirSync を使用して、リアルタイムで職場または学校アカウントに送信されます。If a user leaves the company, the user's information flows to the work or school account by using DirSync in real time. アカウントの無効化/削除を同期させるには最大 3 時間かかる場合があり、Azure AD 内のアプリ パスワードの無効化/削除が遅れることがあります。The disable/deletion of the account can take up to three hours to synchronize, which can delay the disable/deletion of the app password in Azure AD.

  • オンプレミスのクライアント アクセス制御設定は、アプリ パスワード機能には適用されません。On-premises client Access Control settings aren't honored by the app passwords feature.

  • アプリ パスワード機能で使用できるオンプレミスの認証ログ/監査機能はありません。No on-premises authentication logging/auditing capability is available for use with the app passwords feature.

  • 一部の高度なアーキテクチャでは、2 段階認証をクライアントで使用するときに資格情報の組み合わせが必要になります。Some advanced architectures require a combination of credentials for two-step verification with clients. これらの資格情報には、職場または学校アカウントのユーザー名とパスワード、およびアプリ パスワードを含めることができます。These credentials can include a work or school account username and passwords, and app passwords. 要件は認証の実行方法によって異なります。The requirements depend on how the authentication is performed. オンプレミスのインフラストラクチャに対して認証するクライアントの場合は、職場または学校アカウントのユーザー名が必要です。For clients that authenticate against an on-premises infrastructure, a work or school account username and password a required. Azure AD に対して認証するクライアントの場合は、アプリ パスワードが必要です。For clients that authenticate against Azure AD, an app password is required.

    たとえば、次のアーキテクチャがあるとします。For example, suppose you have the following architecture:

    • Active Directory のオンプレミスのインスタンスが Azure AD とフェデレーションしている。Your on-premises instance of Active Directory is federated with Azure AD.
    • Exchange をオンラインで使用している。You're using Exchange online.
    • Skype for Business をオンラインで使用している。You're using Skype for Business on-premises.
    • Azure Multi-Factor Authentication を使用している。You're using Azure Multi-Factor Authentication.

    このシナリオでは、次の資格情報を使用します。In this scenario, you use the following credentials:

    • Skype for Business にサインインする場合は、職場または学校アカウントのユーザー名とパスワードを使用します。To sign in to Skype for Business, use your work or school account username and password.
    • Exchange にオンラインで接続している Outlook クライアントからアドレス帳にアクセスする場合は、アプリ パスワードを使用します。To access the address book from an Outlook client that connects to Exchange online, use an app password.

ユーザーがアプリ パスワードを作成できるようにするAllow users to create app passwords

既定では、ユーザーはアプリ パスワードを作成できません。By default, users can't create app passwords. アプリ パスワード機能を有効にする必要があります。The app passwords feature must be enabled. ユーザーがアプリ パスワードを作成できるようにするには、次の手順を使用します。To give users the ability to create app passwords, use the following procedure:

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. 左側で、[Azure Active Directory] > [ユーザーとグループ] > [すべてのユーザー] を選択します。On the left, select Azure Active Directory > Users and groups > All users.
  3. [Multi-Factor Authentication] を選択します。Select Multi-Factor Authentication.
  4. [Multi-Factor Authentication] の下で [サービス設定] を選択します。Under Multi-Factor Authentication, select service settings.
  5. [サービス設定] ページで、[ブラウザーではないアプリケーションへのサインイン用にアプリケーション パスワードの作成を許可する] オプションを選択します。On the Service Settings page, select the Allow users to create app passwords to sign in to non-browser apps option.

アプリ パスワードを作成するCreate app passwords

ユーザーは、初回の登録時にアプリ パスワードを作成できます。Users can create app passwords during their initial registration. 登録プロセスの最後に、アプリ パスワードを作成するためのオプションが表示されます。The user has the option to create app passwords at the end of the registration process.

ユーザーによるアプリ パスワードの作成は、登録後も可能です。Users can also create app passwords after registration. アプリ パスワードの詳細と、ユーザーが実行する手順については、「Azure Multi-Factor Authentication のアプリ パスワードとは」を参照してください。For more information and detailed steps for your users, see What are app passwords in Azure Multi-Factor Authentication?

信頼できる IPTrusted IPs

Azure Multi-Factor Authentication の 信頼できる IP 機能は、管理者常駐型テナントまたはフェデレーション テナントの管理者が使用します。The Trusted IPs feature of Azure Multi-Factor Authentication is used by administrators of a managed or federated tenant. この機能では、会社のイントラネットからサインインするユーザーの 2 段階認証をバイパスします。The feature bypasses two-step verification for users who sign in from the company intranet. この機能は、Azure Multi-Factor Authentication の完全なバージョンで使用できます。管理者を対象とする無料バージョンでは使用できません。The feature is available with the full version of Azure Multi-Factor Authentication, and not the free version for administrators. Azure Multi-Factor Authentication の完全なバージョンを入手する方法の詳細については、Azure Multi-Factor Authentication に関するページを参照してください。For details on how to get the full version of Azure Multi-Factor Authentication, see Azure Multi-Factor Authentication.

注意

MFA の信頼できる IP と条件付きアクセスの名前付きの場所は、IPV4 アドレスでのみ機能します。MFA trusted IPs and conditional access named locations only work with IPV4 addresses.

組織がオンプレミスのアプリケーションに MFA を提供するために NPS 拡張機能をデプロイしている場合は、認証が試行されるとき、常にソース IP アドレスが NPS サーバーとして表示されます。If your organization deploys the NPS extension to provide MFA to on-premises applications note the source IP address will always appear to be the NPS server the authentication attempt flows through.

Azure AD テナントの種類Azure AD tenant type 信頼できる IP 機能のオプションTrusted IPs feature options
管理者常駐型Managed [Specific range of IP addresses](特定範囲の IP アドレス): 管理者は、会社のイントラネットからサインインするユーザーの 2 段階認証をバイパスできる IP アドレスの範囲を指定します。Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet.
フェデレーションFederated すべてのフェデレーション ユーザー: 組織の内部からサインインするすべてのフェデレーション ユーザーは、2 段階認証をバイパスできます。All Federated Users: All federated users who sign in from inside of the organization can bypass two-step verification. ユーザーは、Active Directory フェデレーション サービス (AD FS) によって発行される要求を使用して認証をバイパスします。The users bypass verification by using a claim that is issued by Active Directory Federation Services (AD FS).
[Specific range of IP addresses](特定範囲の IP アドレス): 管理者は、会社のイントラネットからサインインするユーザーの 2 段階認証をバイパスできる IP アドレスの範囲を指定します。Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet.

信頼できる IP バイパスは会社のイントラネット内からのみ機能します。The Trusted IPs bypass works only from inside of the company intranet. [すべてのフェデレーション ユーザー] オプションを選択したときに、ユーザーが会社のイントラネットの外部からサインインした場合は、2 段階認証を使用してそのユーザーを認証する必要があります。If you select the All Federated Users option and a user signs in from outside the company intranet, the user has to authenticate by using two-step verification. ユーザーが AD FS 要求を提示している場合でもプロセスは同じです。The process is the same even if the user presents an AD FS claim.

企業ネットワーク内のエンドユーザー エクスペリエンスEnd-user experience inside of corpnet

信頼できる IP 機能が無効な場合、ブラウザー フローでは 2 段階認証が必要です。When the Trusted IPs feature is disabled, two-step verification is required for browser flows. 以前のリッチ クライアント アプリケーションではアプリ パスワードが必要です。App passwords are required for older rich client applications.

信頼できる IP 機能が有効な場合、ブラウザー フローで 2 段階認証は不要です。When the Trusted IPs feature is enabled, two-step verification is not required for browser flows. 以前のリッチ クライアント アプリケーションではアプリ パスワードは不要です (ユーザーがアプリ パスワードを作成していないことを条件とします)。App passwords are not required for older rich client applications, provided that the user hasn't created an app password. アプリ パスワードを使用している場合は、引き続きパスワードが必要です。After an app password is in use, the password remains required.

企業ネットワークの外部のエンドユーザー エクスペリエンスEnd-user experience outside corpnet

信頼できる IP 機能が有効であるかどうかに関係なく、ブラウザー フローでは 2 段階認証が必要です。Regardless of whether the Trusted IPs feature is enabled, two-step verification is required for browser flows. 以前のリッチ クライアント アプリケーションではアプリ パスワードが必要です。App passwords are required for older rich client applications.

条件付きアクセスを使用した名前付きの場所の有効化Enable named locations by using conditional access

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. 左側で、[Azure Active Directory] > [条件付きアクセス] > [名前付きの場所] を選択します。On the left, select Azure Active Directory > Conditional access > Named locations.
  3. [新しい場所] を選択します。Select New location.
  4. 場所の名前を入力します。Enter a name for the location.
  5. [信頼できる場所としてマークする] を選択します。Select Mark as trusted location.
  6. IP 範囲を CIDR 表記 (192.168.1.1/24 など) で入力します。Enter the IP Range in CIDR notation like 192.168.1.1/24.
  7. 作成を選択します。Select Create.

条件付きアクセスを使用した信頼できる IP 機能の有効化Enable the Trusted IPs feature by using conditional access

  1. Azure Portal にサインインします。Sign in to the Azure portal.

  2. 左側で、[Azure Active Directory] > [条件付きアクセス] > [名前付きの場所] を選択します。On the left, select Azure Active Directory > Conditional access > Named locations.

  3. [MFA の信頼できる IP の構成] を選択します。Select Configure MFA trusted IPs.

  4. [サービス設定] ページの [信頼できる IP] で、次の 2 つのオプションのいずれかを選択します。On the Service Settings page, under Trusted IPs, choose from any of the following two options:

    • [For requests from federated users originating from my intranet](イントラネット内のフェデレーション ユーザーから送信された要求): このオプションを選択するには、チェック ボックスをオンにします。For requests from federated users originating from my intranet: To choose this option, select the check box. 企業ネットワークからサインインするすべてのフェデレーション ユーザーは、AD FS によって発行される要求を使用して、2 段階認証をバイパスします。All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. イントラネットの要求を適切なトラフィックに追加する規則が AD FS にあることを確認します。Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. 規則が存在しない場合は、AD FS で次の規則を作成します。If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • [For requests from a specific range of public IPs](特定範囲の IP から送信された要求): このオプションを選択するには、CIDR 表記を使用して、テキスト ボックスに IP アドレスを入力します。For requests from a specific range of public IPs: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • xxx.xxx.xxx.1 から xxx.xxx.xxx.254 の範囲の IP アドレスの場合は、xxx.xxx.xxx.0/24 などの表記を使用します。For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • 単一の IP アドレスの場合は、xxx.xxx.xxx.xxx/32 などの表記を使用します。For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • 最大で 50 の IP アドレス範囲を入力します。Enter up to 50 IP address ranges. これらの IP アドレスからサインインしているユーザーは、2 段階認証をバイパスします。Users who sign in from these IP addresses bypass two-step verification.
  5. [保存] を選択します。Select Save.

サービス設定を使用した信頼できる IP 機能の有効化Enable the Trusted IPs feature by using service settings

  1. Azure Portal にサインインします。Sign in to the Azure portal.

  2. 左側の [Azure Active Directory] > [ユーザー] を選択します。On the left, select Azure Active Directory > Users.

  3. [Multi-Factor Authentication] を選択します。Select Multi-Factor Authentication.

  4. [Multi-Factor Authentication] の下で [サービス設定] を選択します。Under Multi-Factor Authentication, select service settings.

  5. [サービス設定] ページの [信頼できる IP] で、次の 2 つのオプションのいずれか (または両方) を選択します。On the Service Settings page, under Trusted IPs, choose one (or both) of the following two options:

    • [For requests from federated users on my intranet](イントラネット内のフェデレーション ユーザーから送信された要求):このオプションを選択するには、チェック ボックスをオンにします。For requests from federated users on my intranet: To choose this option, select the check box. 企業ネットワークからサインインするすべてのフェデレーション ユーザーは、AD FS によって発行される要求を使用して、2 段階認証をバイパスします。All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. イントラネットの要求を適切なトラフィックに追加する規則が AD FS にあることを確認します。Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. 規則が存在しない場合は、AD FS で次の規則を作成します。If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • [For requests from a specified range of IP address subnets](特定範囲の IP アドレスのサブネットから送信された要求): このオプションを選択するには、CIDR 表記を使用して、テキスト ボックスに IP アドレスを入力します。For requests from a specified range of IP address subnets: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • xxx.xxx.xxx.1 から xxx.xxx.xxx.254 の範囲の IP アドレスの場合は、xxx.xxx.xxx.0/24 などの表記を使用します。For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • 単一の IP アドレスの場合は、xxx.xxx.xxx.xxx/32 などの表記を使用します。For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • 最大で 50 の IP アドレス範囲を入力します。Enter up to 50 IP address ranges. これらの IP アドレスからサインインしているユーザーは、2 段階認証をバイパスします。Users who sign in from these IP addresses bypass two-step verification.
  6. [保存] を選択します。Select Save.

検証方法Verification methods

管理者は、ユーザーが使用できる検証方法を選択できます。You can choose the verification methods that are available for your users. 次の表で方法の概要を説明します。The following table provides a brief overview of the methods.

ユーザーは、自分のアカウントを Azure Multi-Factor Authentication 用に登録するときに、有効になっているオプションから使用する検証方法を選択します。When your users enroll their accounts for Azure Multi-Factor Authentication, they choose their preferred verification method from the options that you have enabled. 登録プロセスのガイダンスについては、「アカウントへの 2 段階認証の設定」を参照してください。Guidance for the user enrollment process is provided in Set up my account for two-step verification.

方法Method 説明Description
電話の呼び出しCall to phone 自動音声通話を行います。Places an automated voice call. ユーザーは、呼び出しに応答し、電話のキーパッドの # を押して認証を行います。The user answers the call and presses # in the phone keypad to authenticate. 電話番号は、オンプレミスの Active Directory には同期されません。The phone number is not synchronized to on-premises Active Directory.
電話へのテキスト メッセージText message to phone 確認コードを含むテキスト メッセージを送信します。Sends a text message that contains a verification code. ユーザーは、この確認コードをサインイン インターフェイスに入力するように求められます。The user is prompted to enter the verification code into the sign-in interface. このプロセスを一方向の SMS といいます。This process is called one-way SMS. 双方向の SMS は、ユーザーが特定のコードを返信する必要があることを意味します。Two-way SMS means that the user must text back a particular code. 双方向の SMS は非推奨となり、2018 年 11 月 14 日以降はサポートされなくなります。Two-way SMS is deprecated and not supported after November 14, 2018. 双方向 SMS 用に構成されているユーザーは、その時点で 電話の呼び出し 認証に自動的に切り替わります。Users who are configured for two-way SMS are automatically switched to call to phone verification at that time.
モバイル アプリでの通知Notification through mobile app 電話または登録されたデバイスにプッシュ通知を送信します。Sends a push notification to your phone or registered device. ユーザーは通知を表示し、[確認] を選択して認証を完了します。The user views the notification and selects Verify to complete verification. Microsoft Authenticator アプリは、Windows PhoneAndroidIOS で利用できます。The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.
モバイル アプリからの確認コードまたはハードウェア トークンVerification code from mobile app or hardware token Microsoft Authenticator アプリは、30 秒ごとに新しい OATH 確認コードを生成します。The Microsoft Authenticator app generates a new OATH verification code every 30 seconds. ユーザーは確認コードをサインイン インターフェイスに入力します。The user enters the verification code into the sign-in interface. Microsoft Authenticator アプリは、Windows PhoneAndroidIOS で利用できます。The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.

検証方法を有効または無効にするEnable and disable verification methods

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. 左側で、[Azure Active Directory] > [ユーザーとグループ] > [すべてのユーザー] を選択します。On the left, select Azure Active Directory > Users and groups > All users.
  3. [Multi-Factor Authentication] を選択します。Select Multi-Factor Authentication.
  4. [Multi-Factor Authentication] の下で [サービス設定] を選択します。Under Multi-Factor Authentication, select service settings.
  5. [サービスの設定] ページの [検証オプション] で、ユーザーに提供する方法を選択/選択解除します。On the Service Settings page, under verification options, select/unselect the methods to provide to your users.
  6. [Save] をクリックします。Click Save.

認証方法の使用の詳細については、「認証方法とは」を参照してください。Additional details about the use of authentication methods can be found in the article What are authentication methods.

Multi-Factor Authentication の記憶Remember Multi-Factor Authentication

ユーザーが信頼済みデバイスとブラウザーに対する Multi-Factor Authentication の記憶 機能は、すべての Multi-Factor Authentication ユーザー向けの無料の機能です。The remember Multi-Factor Authentication feature for devices and browsers that are trusted by the user is a free feature for all Multi-Factor Authentication users. ユーザーは、Multi-Factor Authentication を使用して正常にデバイスにサインインした後、一定の日数の間、後続の確認をバイパスすることができます。Users can bypass subsequent verifications for a specified number of days, after they've successfully signed-in to a device by using Multi-Factor Authentication. この機能により、ユーザーが同じデバイスで 2 段階認証を実行する必要がある回数を最小限に抑えることができるので、使いやすさを強化できます。The feature enhances usability by minimizing the number of times a user has to perform two-step verification on the same device.

重要

アカウントまたはデバイスが侵害された場合、信頼済みデバイスに対する Multi-Factor Authentication の記憶はセキュリティに影響する可能性があります。If an account or device is compromised, remembering Multi-Factor Authentication for trusted devices can affect security. 企業アカウントが侵害された場合や、信頼済みデバイスを紛失したり盗難に遭ったりした場合は、Multi-Factor Authentication をすべてのデバイスで復元する必要があります。If a corporate account becomes compromised or a trusted device is lost or stolen, you should restore Multi-Factor Authentication on all devices.

復元操作により、信頼された状態がすべてのデバイスから失われ、ユーザーは 2 段階認証を再度実行する必要があります。The restore action revokes the trusted status from all devices, and the user is required to perform two-step verification again. 2 段階認証設定の管理」の手順で各自のデバイスの Multi-Factor Authentication を復元するようユーザーに指示することもできます。You can also instruct your users to restore Multi-Factor Authentication on their own devices with the instructions in Manage your settings for two-step verification.

機能のしくみHow the feature works

Multi-Factor Authentication の記憶機能では、ブラウザーでユーザーがサインイン時に [今後 X 日間はこのメッセージを表示しない] オプションを選択したときに永続的な Cookie を設定します。The remember Multi-Factor Authentication feature sets a persistent cookie on the browser when a user selects the Don't ask again for X days option at sign-in. Cookie の有効期限が切れるまでは、同じブラウザーからユーザーが再度 Multi-Factor Authentication を求められることはありません。The user isn't prompted again for Multi-Factor Authentication from that same browser until the cookie expires. そのユーザーが同じデバイスで異なるブラウザーを開くか、Cookie をクリアした場合は、再度、認証が求められます。If the user opens a different browser on the same device or clears their cookies, they're prompted again to verify.

ブラウザーではないアプリケーションでは、アプリで先進認証がサポートされているかどうかに関係なく、[今後 X 日間はこのメッセージを表示しない] オプションは表示されません。The Don't ask again for X days option isn't shown on non-browser applications, regardless of whether the app supports modern authentication. これらのアプリでは、新しいアクセス トークンが 1 時間おきに支給される 更新トークン が使用されます。These apps use refresh tokens that provide new access tokens every hour. 更新トークンの検証時に、前回の 2 段階認証が設定されている日数内に実行されたことが Azure AD によって確認されます。When a refresh token is validated, Azure AD checks that the last two-step verification occurred within the specified number of days.

この機能を使用すると、Web アプリでの認証回数 (通常は毎回プロンプトが表示される) が減ります。The feature reduces the number of authentications on web apps, which normally prompt every time. この機能では、先進認証クライアントの認証の回数 (通常は 90 日ごとにプロンプトが表示される) が増えます。The feature increases the number of authentications for modern authentication clients that normally prompt every 90 days. 条件付きアクセス ポリシーと組み合わされた場合の認証数を増やすこともできます。May also increase the number of authentications when combined with conditional access policies.

重要

ユーザーが Azure Multi-Factor Authentication Server またはサードパーティの多要素認証ソリューションを介して AD FS の 2 段階認証を行う場合、[Multi-Factor Authentication を記憶する] 機能は、AD FS の [サインインしたままにする] 機能とは互換性がありません。The remember Multi-Factor Authentication feature is not compatible with the keep me signed in feature of AD FS, when users perform two-step verification for AD FS through Azure Multi-Factor Authentication Server or a third-party multi-factor authentication solution.

ユーザーが AD FS の [サインインしたままにする] を選択し、さらに Multi-Factor Authentication に対してデバイスを信頼済みとしてマークした場合、Multi-Factor Authentication を記憶する 日数が過ぎるとユーザーは自動的に確認されません。If your users select keep me signed in on AD FS and also mark their device as trusted for Multi-Factor Authentication, the user isn't automatically verified after the remember multi-factor authentication number of days expires. Azure AD は新たに 2 段階認証を行うよう要求しますが、AD FS は、2 段階認証を再実行するのではなく、元の Multi-Factor Authentication 要求と日付を含むトークンを返します。Azure AD requests a fresh two-step verification, but AD FS returns a token with the original Multi-Factor Authentication claim and date, rather than performing two-step verification again. その結果、Azure AD と AD FS との間で本人確認がループ状態に陥ります。This reaction sets off a verification loop between Azure AD and AD FS.

Multi-Factor Authentication の記憶を有効にするEnable remember Multi-Factor Authentication

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. 左側で、[Azure Active Directory] > [ユーザーとグループ] > [すべてのユーザー] を選択します。On the left, select Azure Active Directory > Users and groups > All users.
  3. [Multi-Factor Authentication] を選択します。Select Multi-Factor Authentication.
  4. [Multi-Factor Authentication] の下で [サービス設定] を選択します。Under Multi-Factor Authentication, select service settings.
  5. [サービス設定] ページの [manage remember multi-factor authentication](Multi-Factor Authentication の記憶の管理) で、[信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] オプションを選択します。On the Service Settings page, manage remember multi-factor authentication, select the Allow users to remember multi-factor authentication on devices they trust option.
  6. 信頼済みデバイスで 2 段階認証のバイパスを許可する日数を設定します。Set the number of days to allow trusted devices to bypass two-step verification. 既定値は 14 日です。The default is 14 days.
  7. [保存] を選択します。Select Save.

デバイスを信頼済みとマークするMark a device as trusted

Multi-Factor Authentication を記憶する機能を有効にすると、ユーザーは、サインイン時に [今後このメッセージを表示しない] を選択することで、デバイスを信頼済みとしてマークできます。After you enable the remember Multi-Factor Authentication feature, users can mark a device as trusted when they sign in by selecting Don't ask again.

次の手順Next steps

Azure AD サインイン ページのブランドを変更するModify Azure AD sign-in page branding