ユーザーごとの Azure Multi-Factor Authentication を有効にしてサインイン イベントのセキュリティを確保するEnable per-user Azure Multi-Factor Authentication to secure sign-in events

Azure AD でユーザーのサインイン イベントをセキュリティで保護するには、多要素認証 (MFA) を要求することができます。To secure user sign-in events in Azure AD, you can require multi-factor authentication (MFA). ユーザーを保護するには、条件付きアクセス ポリシーを使って Azure Multi-Factor Authentication を有効にするのが推奨されるアプローチです。Enabling Azure Multi-Factor Authentication using Conditional Access policies is the recommended approach to protect users. 条件付きアクセスは Azure AD Premium P1 または P2 の機能であり、特定のシナリオで必要に応じて MFA を要求するルールを適用できます。Conditional Access is an Azure AD Premium P1 or P2 feature that lets you apply rules to require MFA as needed in certain scenarios. 条件付きアクセスの使用を開始するには、「チュートリアル:Azure Multi-Factor Authentication を使用してユーザーのサインイン イベントのセキュリティを確保する」を参照してください。To get started using Conditional Access, see Tutorial: Secure user sign-in events with Azure Multi-Factor Authentication.

条件付きアクセスを使用しない Azure AD 無料テナントについては、セキュリティの既定値を使用してユーザーを保護できます。For Azure AD free tenants without Conditional Access, you can use security defaults to protect users. ユーザーは必要に応じて MFA の入力を求められますが、独自のルールを定義して動作を制御することはできません。Users are prompted for MFA as needed, but you can't define your own rules to control the behavior.

代わりに、ユーザーごとの Azure Multi-Factor Authentication を必要に応じて各アカウントで有効にすることができます。If needed, you can instead enable each account for per-user Azure Multi-Factor Authentication. ユーザーを個別に有効にした場合は、サインインするたびに多要素認証が実行されます (信頼できる IP アドレスからサインインするときや、_信頼されたデバイスで MFA を記憶する_機能が有効なときなど、一部例外があります)。When users are enabled individually, they perform multi-factor authentication each time they sign in (with some exceptions, such as when they sign in from trusted IP addresses or when the remember MFA on trusted devices feature is turned on).

Azure AD ライセンスに条件付きアクセスが含まれておらず、セキュリティの既定値を使用しない場合を除き、ユーザーの状態を変更することは推奨されません。Changing user states isn't recommended unless your Azure AD licenses don't include Conditional Access and you don't want to use security defaults. MFA を有効にする他の方法の詳細については、「Azure Multi-Factor Authentication の機能とライセンス」を参照してください。For more information on the different ways to enable MFA, see Features and licenses for Azure Multi-Factor Authentication.

重要

この記事では、ユーザーごとの Azure Multi-Factor Authentication の状態を表示および変更する方法について詳しく説明します。This article details how to view and change the status for per-user Azure Multi-Factor Authentication. 条件付きアクセスまたはセキュリティの既定値を使用する場合、これらの手順を使用してユーザー アカウントを確認したり、有効にしたりしません。If you use Conditional Access or security defaults, you don't review or enable user accounts using these steps.

条件付きアクセス ポリシーを使用して Azure Multi-Factor Authentication を有効にしても、ユーザーの状態は変更されません。Enabling Azure Multi-Factor Authentication through a Conditional Access policy doesn't change the state of the user. ユーザーが無効に見えても問題ありません。Don't be alarmed if users appear disabled. 条件付きアクセスでは、状態は変更されません。Conditional Access doesn't change the state.

条件付きアクセス ポリシーを使用する場合は、ユーザーごとの Azure Multi-Factor Authentication を有効にしたり、適用したりしないでください。Don't enable or enforce per-user Azure Multi-Factor Authentication if you use Conditional Access policies.

Azure Multi-Factor Authentication におけるユーザーの状態Azure Multi-Factor Authentication user states

ユーザーの状態には、管理者がユーザーをユーザーごとの Azure Multi-Factor Authentication に登録したかどうかが反映されます。A user's state reflects whether an admin has enrolled them in per-user Azure Multi-Factor Authentication. Azure Multi-factor Authentication のユーザー アカウントには、次の 3 つの異なる状態があります。User accounts in Azure Multi-Factor Authentication have the following three distinct states:

StateState 説明Description 影響を受けるレガシ認証Legacy authentication affected ブラウザー アプリに影響があるかBrowser apps affected 影響を受ける先進認証Modern authentication affected
無効Disabled ユーザーごとの Azure Multi-Factor Authentication に登録されていないユーザーの既定の状態です。The default state for a user not enrolled in per-user Azure Multi-Factor Authentication. いいえNo いいえNo いいえNo
EnabledEnabled ユーザーはユーザーごとの Azure Multi-Factor Authentication に登録されていますが、レガシ認証では引き続きパスワードを使用できます。The user is enrolled in per-user Azure Multi-Factor Authentication, but can still use their password for legacy authentication. ユーザーが MFA 認証方法にまだ登録されていない場合は、先進認証 (Web ブラウザーなど) を使用して次回サインインするときに登録するように求められます。If the user hasn't yet registered MFA authentication methods, they receive a prompt to register the next time they sign in using modern authentication (such as via a web browser). いいえ。No. レガシ認証は、登録プロセスが完了するまで機能し続けます。Legacy authentication continues to work until the registration process is completed. はい。Yes. セッションの有効期限が切れると、Azure Multi-Factor Authentication の登録が必要になります。After the session expires, Azure Multi-Factor Authentication registration is required. はい。Yes. アクセス トークンの有効期限が切れると、Azure Multi-Factor Authentication の登録が必要になります。After the access token expires, Azure Multi-Factor Authentication registration is required.
強制Enforced ユーザーは、ユーザーごとに Azure Multi-Factor Authentication に登録されています。The user is enrolled per-user in Azure Multi-Factor Authentication. ユーザーが認証方法にまだ登録されていない場合は、先進認証 (Web ブラウザーなど) を使用して次回サインインするときに登録するように求められます。If the user hasn't yet registered authentication methods, they receive a prompt to register the next time they sign in using modern authentication (such as via a web browser). [有効] 状態で登録が完了したユーザーは、 [強制] 状態に自動的に移動されます。Users who complete registration while in the Enabled state are automatically moved to the Enforced state. はい。Yes. アプリはアプリ パスワードを必要とします。Apps require app passwords. はい。Yes. サインイン時に Azure Multi-Factor Authentication が必要です。Azure Multi-Factor Authentication is required at sign-in. はい。Yes. サインイン時に Azure Multi-Factor Authentication が必要です。Azure Multi-Factor Authentication is required at sign-in.

すべてのユーザーの状態は、 [無効] から始まります。All users start out Disabled. 管理者がユーザーをユーザーごとの Azure Multi-Factor Authentication に登録すると、ユーザーの状態は [有効] に変わります。When you enroll users in per-user Azure Multi-Factor Authentication, their state changes to Enabled. [有効] 状態のときにユーザーがサインインして登録プロセスを完了すると、ユーザーの状態は [適用] に変わります。When enabled users sign in and complete the registration process, their state changes to Enforced. 管理者は、ユーザーを状態間 ( [強制] から [有効] または [無効] を含む) で移動させることができます。Administrators may move users between states, including from Enforced to Enabled or Disabled.

注意

ユーザーごとの MFA がユーザーに対して再度有効にされ、ユーザーが再登録されていない場合、MFA 管理 UI で MFA の状態は [有効] から [強制] に移行されません。If per-user MFA is re-enabled on a user and the user doesn't re-register, their MFA state doesn't transition from Enabled to Enforced in MFA management UI. 管理者は、そのユーザーを [強制] に直接移動する必要があります。The administrator must move the user directly to Enforced.

ユーザーの状態を表示するView the status for a user

ユーザーの状態を表示および管理するには、次の手順を実行して Azure portal ページにアクセスします。To view and manage user states, complete the following steps to access the Azure portal page:

  1. Azure Portal に管理者としてサインインします。Sign in to the Azure portal as an administrator.
  2. [Azure Active Directory] を探して選択してから、 [ユーザー] > [すべてのユーザー] を選択します。Search for and select Azure Active Directory, then select Users > All users.
  3. [Multi-Factor Authentication] を選択します。Select Multi-Factor Authentication. このメニュー オプションを表示するには、必要に応じて右にスクロールします。You may need to scroll to the right to see this menu option. 次のスクリーンショット例を選択すると、完全な Azure portal ウィンドウとメニューの場所が表示されます。Azure AD の [ユーザー] ウィンドウから [Multi-Factor Authentication] を選択します。Select the example screenshot below to see the full Azure portal window and menu location: Select Multi-Factor Authentication from the Users window in Azure AD.
  4. 次の例に示すように、ユーザーの状態を表示する新しいページが開きます。A new page opens that displays the user state, as shown in the following example. Azure Multi-Factor Authentication のユーザーの状態情報の例を示すスクリーンショットScreenshot that shows example user state information for Azure Multi-Factor Authentication

ユーザーの状態を変更するChange the status for a user

ユーザーのユーザーごとの Azure Multi-Factor Authentication の状態を変更するには、次の手順を実行します。To change the per-user Azure Multi-Factor Authentication state for a user, complete the following steps:

  1. 前の手順を使用して、ユーザーの状態を表示し、Azure Multi-Factor Authentication のユーザー ページに移動します。Use the previous steps to view the status for a user to get to the Azure Multi-Factor Authentication users page.

  2. ユーザーごとの Azure Multi-Factor Authentication を有効にするユーザーを検索します。Find the user you want to enable for per-user Azure Multi-Factor Authentication. 上部でビューを [ユーザー] に変更することが必要になる場合があります。You might need to change the view at the top to users. ユーザー タブで状態を変更するユーザーを選択するSelect the user to change status for from the users tab

  3. 状態を変更するユーザーの名前の横にあるチェックボックスをオンにします。Check the box next to the name(s) of the user(s) to change the state for.

  4. 右側にある [クイック操作][有効にする] または [無効にする] を選択します。On the right-hand side, under quick steps, choose Enable or Disable. 次の例では、ユーザー John Smith の名前の横にチェックマークが付いており、使用が有効になっています。[クイック操作] メニューの [有効にする] をクリックして、選択したユーザーを有効にするIn the following example, the user John Smith has a check next to their name and is being enabled for use: Enable selected user by clicking Enable on the quick steps menu

    ヒント

    [有効] なユーザーは、Azure Multi-Factor Authentication に登録すると自動的に [Enforced](強制) に切り替えられます。Enabled users are automatically switched to Enforced when they register for Azure Multi-Factor Authentication. ユーザーが既に登録されている場合や、レガシ認証プロトコルへの接続が中断されてもユーザーがそれを容認できる場合を除き、ユーザーの状態を [強制] に手動で変更しないでください。Don't manually change the user state to Enforced unless the user is already registered or if it is acceptable for the user to experience interruption in connections to legacy authentication protocols.

  5. 開いたポップアップ ウィンドウで選択内容を確認します。Confirm your selection in the pop-up window that opens.

ユーザーを有効にした後は、ユーザーにメールで通知します。After you enable users, notify them via email. 次回のサインイン時に登録を要求するプロンプトが表示されることをユーザーに伝えます。Tell the users that a prompt is displayed to ask them to register the next time they sign in. また、最新の認証をサポートしていない非ブラウザー アプリを組織で使用している場合は、アプリ パスワードを作成する必要があります。Also, if your organization uses non-browser apps that don't support modern authentication, they need to create app passwords. 詳細については、開始をサポートするための Azure Multi-Factor Authentication エンドユーザー ガイドを参照してください。For more information, see the Azure Multi-Factor Authentication end-user guide to help them get started.

PowerShell を使用して状態を変更するChange state using PowerShell

Azure AD PowerShell を使用してユーザーの状態を変更するには、ユーザー アカウントの $st.State パラメーターを変更します。To change the user state by using Azure AD PowerShell, you change the $st.State parameter for a user account. ユーザー アカウントの状態は 3 つあります。There are three possible states for a user account:

  • 有効Enabled
  • Enforced (強制)Enforced
  • DisabledDisabled

一般に、ユーザーが既に MFA に登録されている場合を除き、ユーザーを [強制] 状態に直接移動しないでください。In general, don't move users directly to the Enforced state unless they are already registered for MFA. そのようにしても、ユーザーは Azure Multi-Factor Authentication の登録を終えておらず、アプリのパスワードを取得していないため、レガシ認証アプリは動作を停止します。If you do so, legacy authentication apps stop working because the user hasn't gone through Azure Multi-Factor Authentication registration and obtained an app password. 場合によっては、この動作が望ましいこともありますが、ユーザーが登録されるまでユーザー エクスペリエンスに影響します。In some cases this behavior may be desired, but impacts user experience until the user registers.

使用を開始するには、以下のように Install-Module を使用して MSOnline モジュールをインストールします。To get started, install the MSOnline module using Install-Module as follows:

Install-Module MSOnline

次に、Connect-MsolService を使用して接続します。Next, connect using Connect-MsolService:

Connect-MsolService

次の PowerShell スクリプトの例では、 *bsimon@contoso.com* という名前の単独のユーザーに対して MFA を有効にします。The following example PowerShell script enables MFA for an individual user named *bsimon@contoso.com*:

$st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
$st.RelyingParty = "*"
$st.State = "Enabled"
$sta = @($st)

# Change the following UserPrincipalName to the user you wish to change state
Set-MsolUser -UserPrincipalName bsimon@contoso.com -StrongAuthenticationRequirements $sta

一括でユーザーを有効にする必要がある場合は、PowerShell の使用をお勧めします。Using PowerShell is a good option when you need to bulk enable users. 次のスクリプトでは、ユーザーのリストをループ処理し、それらのアカウントに対して MFA を有効にします。The following script loops through a list of users and enables MFA on their accounts. 次のように、ユーザー アカウントを定義し、$users の最初の行で設定します。Define the user accounts set it in the first line for $users as follows:

# Define your list of users to update state in bulk
$users = "bsimon@contoso.com","jsmith@contoso.com","ljacobson@contoso.com"

foreach ($user in $users)
{
    $st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
    $st.RelyingParty = "*"
    $st.State = "Enabled"
    $sta = @($st)
    Set-MsolUser -UserPrincipalName $user -StrongAuthenticationRequirements $sta
}

MFA を無効にするために、次の例では Get-MsolUser でユーザーを取得し、Set-MsolUser を使用して、定義済みユーザーに対して設定されている StrongAuthenticationRequirements を削除します。To disable MFA, the following example gets a user with Get-MsolUser, then removes any StrongAuthenticationRequirements set for the defined user using Set-MsolUser:

Get-MsolUser -UserPrincipalName bsimon@contoso.com | Set-MsolUser -StrongAuthenticationRequirements @()

次のように Set-MsolUser を使用して、ユーザーの MFA を直接無効にすることもできます。You could also directly disable MFA for a user using Set-MsolUser as follows:

Set-MsolUser -UserPrincipalName bsimon@contoso.com -StrongAuthenticationRequirements @()

ユーザーをユーザーごとの MFA から条件付きアクセスに変換するConvert users from per-user MFA to Conditional Access

次の PowerShell が、条件付きアクセス ベースの Azure Multi-Factor Authentication への変換に役立ちます。The following PowerShell can assist you in making the conversion to Conditional Access based Azure Multi-Factor Authentication.

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}

# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

注意

MFA がユーザーに対して再度有効にされ、ユーザーが再登録されていない場合、MFA 管理 UI で MFA の状態は [有効] から [強制] に移行されません。If MFA is re-enabled on a user and the user doesn't re-register, their MFA state doesn't transition from Enabled to Enforced in MFA management UI. この場合、管理者はそのユーザーを [強制] に直接移動する必要があります。In this case, the administrator must move the user directly to Enforced.

次のステップNext steps

Azure Multi-Factor Authentication 設定を構成するには、「Azure Multi-Factor Authentication の設定を構成する」を参照してください。To configure Azure Multi-Factor Authentication settings, see Configure Azure Multi-Factor Authentication settings.

Azure Multi-Factor Authentication のユーザー設定を管理するには、「Azure Multi-Factor Authentication によるユーザー設定の管理」を参照してください。To manage user settings for Azure Multi-Factor Authentication, see Manage user settings with Azure Multi-Factor Authentication.

MFA の実行を求めるメッセージがユーザーに表示された理由、または表示されない理由について理解するには、Azure Multi-Factor Authentication レポートに関する記事を参照してください。To understand why a user was prompted or not prompted to perform MFA, see Azure Multi-Factor Authentication reports.