ユーザーに 2 段階認証を要求する方法How to require two-step verification for a user

2 段階認証を要求するには、2 つの方法のいずれかを使用できます。いずれの方法も、全体管理者アカウントを使用する必要があります。You can take one of two approaches for requiring two-step verification, both of which require using a global administrator account. 1 つ目は、個々のユーザーに Azure Multi-Factor Authentication (MFA) を有効にする方法です。The first option is to enable each user for Azure Multi-Factor Authentication (MFA). ユーザーを個別に有効にした場合は、サインインするたびに 2 段階認証が実行されます (信頼済み IP アドレスからサインインするときや、記憶されたデバイス_の機能が有効なときなど、一部例外があります)。When users are enabled individually, they perform two-step verification each time they sign in (with some exceptions, such as when they sign in from trusted IP addresses or when the _remembered devices feature is turned on). 2 つ目は、特定の条件下で 2 段階認証を要求する条件付きアクセス ポリシーを設定する方法です。The second option is to set up a conditional access policy that requires two-step verification under certain conditions.

ヒント

2 段階認証を要求するには、これらの方法のうちの 1 つを選択してください。両方は選択できません。Choose one of these methods to require two-step verification, not both. ユーザーを Azure Multi-Factor Authentication に対して有効にすると、すべての条件付きアクセス ポリシーがオーバーライドされます。Enabling a user for Azure Multi-Factor Authentication overrides any conditional access policies.

有効にする方法を選択するChoose how to enable

ユーザーの状態を変更することで有効にする - 2 段階認証を要求するための従来の方法であり、この記事の中で説明します。Enabled by changing user state - This is the traditional method for requiring two-step verification and is discussed in this article. これは、Azure MFA Server とクラウド内の Azure MFA の両方で機能します。It works with both Azure MFA in the cloud and Azure MFA Server. この方法を使用すると、ユーザーはサインインする際に毎回 2 段階認証が求められるようになります。また、この方法は条件付きアクセス ポリシーをオーバーライドします。Using this method requires users to perform two-step verification every time they sign in and overrides conditional access policies.

条件付きアクセス ポリシーで有効にする - ユーザーの 2 段階認証を有効にするうえで最も柔軟性の高い手段です。Enabled by conditional access policy - This is the most flexible means to enable two-step verification for your users. 条件付きアクセス ポリシーを使用して有効にする方法は、クラウド内の Azure MFA に対してのみ機能します。これは Azure AD の Premium 機能です。Enabling using conditional access policy only works for Azure MFA in the cloud and is a premium feature of Azure AD. この方法の詳細については、「クラウドベースの Azure Multi-Factor Authentication をデプロイする」を参照してください。More information on this method can be found in Deploy cloud-based Azure Multi-Factor Authentication.

Azure AD Identity Protection で有効にする - この方法では、Azure AD Identity Protection のリスク ポリシーを使用して、すべてのクラウド アプリケーションのサインイン リスクのみに基づいた 2 段階認証を要求します。Enabled by Azure AD Identity Protection - This method uses the Azure AD Identity Protection risk policy to require two-step verification based only on sign-in risk for all cloud applications. この方法では、Azure Active Directory P2 ライセンスが必要です。This method requires Azure Active Directory P2 licensing. この方法の詳細については、「Azure Active Directory Identity Protection」を参照してください。More information on this method can be found in Azure Active Directory Identity Protection

注意

ライセンスと価格の詳細については、Azure ADMulti-Factor Authentication の価格に関するページを参照してください。More information about licenses and pricing can be found on the Azure AD and Multi-Factor Authentication pricing pages.

ユーザーの状態を変更することで Azure MFA を有効するEnable Azure MFA by changing user state

Azure Multi-factor Authentication のユーザー アカウントには、次の 3 つの異なる状態があります。User accounts in Azure Multi-Factor Authentication have the following three distinct states:

StatusStatus 説明Description 非ブラウザー アプリに影響があるかNon-browser apps affected ブラウザー アプリに影響があるかBrowser apps affected 影響を受ける先進認証Modern authentication affected
DisabledDisabled 新しいユーザーの既定の状態は、Azure MFA に登録されていません。The default state for a new user not enrolled in Azure MFA. いいえ No いいえ No いいえ No
EnabledEnabled ユーザーは Azure MFA にサインインできますが、登録されていません。The user has been enrolled in Azure MFA, but has not registered. 次回のサインイン時に登録することを求められます。They receive a prompt to register the next time they sign in. いいえ。No. これらは登録プロセスが完了するまで機能し続けます。They continue to work until the registration process is completed. はい。Yes. セッションの有効期限が切れると、Azure MFA の登録が必要になります。After the session expires, Azure MFA registration is required. はい。Yes. アクセス トークンの有効期限が切れると、Azure MFA の登録が必要になります。After the access token expires, Azure MFA registration is required.
適用Enforced ユーザーは、Azure MFA にサインインして Azure MFA に対する登録プロセスを完了しています。The user has been enrolled and has completed the registration process for Azure MFA. はい。Yes. アプリはアプリ パスワードを必要とします。Apps require app passwords. はい。Yes. ログイン時に Azure MFA が必要です。Azure MFA is required at login. はい。Yes. ログイン時に Azure MFA が必要です。Azure MFA is required at login.

ユーザーの状態は、管理者がユーザーをAzure MFA に登録し、ユーザーが登録プロセスを完了したかどうかを反映します。A user's state reflects whether an admin has enrolled them in Azure MFA, and whether they completed the registration process.

すべてのユーザーの状態は、[無効] から始まります。All users start out Disabled. 管理者がユーザーを Azure MFA に登録すると、ユーザーの状態は [有効] に変わります。When you enroll users in Azure MFA, their state changes to Enabled. [有効] 状態のときにユーザーがサインインして登録プロセスを完了すると、ユーザーの状態は [適用] に変わります。When enabled users sign in and complete the registration process, their state changes to Enforced.

ユーザーの状態を表示するView the status for a user

ユーザーの状態を表示および管理できるページにアクセスするには、次の手順に従います。Use the following steps to access the page where you can view and manage user states:

  1. Azure Portal に管理者としてサインインします。Sign in to the Azure portal as an administrator.
  2. [Azure Active Directory] > [ユーザーとグループ] > [すべてのユーザー] に移動します。Go to Azure Active Directory > Users and groups > All users.
  3. [Multi-Factor Authentication] を選択します。Select Multi-Factor Authentication. Select Multi-Factor AuthenticationSelect Multi-Factor Authentication
  4. 新しいページが開き、ユーザーの状態が表示されます。A new page that displays the user states opens. 多要素認証のユーザーの状態 - スクリーンショットmulti-factor authentication user status - screenshot

ユーザーの状態を変更するChange the status for a user

  1. 前述の手順を使用して、Azure Multi-Factor Authentication のユーザー ページを取得します。Use the preceding steps to get to the Azure Multi-Factor Authentication users page.
  2. Azure MFA で有効にするユーザーを見つけます。Find the user you want to enable for Azure MFA. 上部でビューを変更することが必要になる場合があります。You might need to change the view at the top. ユーザーを見つける - スクリーンショットFind user - screenshot
  3. ユーザーの名前の横にあるチェック ボックスをオンにします。Check the box next to their name.
  4. 右側にある [クイック操作][有効にする] または [無効にする] を選択します。On the right, under quick steps, choose Enable or Disable. 選択したユーザーを有効にする - スクリーンショットEnable selected user - screenshot

    ヒント

    "有効" なユーザーは、Azure MFA に登録すると自動的に "適用" に切り替えられます。Enabled users are automatically switched to Enforced when they register for Azure MFA. ユーザーの状態を手動で "適用" に変更してしないでください。Do not manually change the user state to Enforced.

  5. 開いたポップアップ ウィンドウで選択内容を確認します。Confirm your selection in the pop-up window that opens.

ユーザーを有効にした後は、ユーザーにメールで通知します。After you enable users, notify them via email. 次回サインインしたときに登録を求められることをユーザーに伝えます。Tell them that they'll be asked to register the next time they sign in. また、最新の認証をサポートしていない非ブラウザー アプリを組織で使用している場合は、アプリ パスワードを作成する必要があります。Also, if your organization uses non-browser apps that don't support modern authentication, they need to create app passwords. ユーザーが参照できるように、Azure MFA エンドユーザー ガイドに関するページのリンクを含めることもできます。You can also include a link to the Azure MFA end-user guide to help them get started.

PowerShell の使用Use PowerShell

Azure AD PowerShell を使用してユーザーの状態を変更するには、$st.State を変更します。To change the user state by using Azure AD PowerShell, change $st.State. 状態は 3 つあります。There are three possible states:

  • EnabledEnabled
  • 適用Enforced
  • DisabledDisabled

ユーザーを直接 "適用" の状態に移さないでください。Don't move users directly to the Enforced state. "適用" 状態に移行しても、ユーザーが MFA の登録を終えておらず、アプリのパスワードを取得していないため、ブラウザーベースでないアプリが動作を停止します。If you do, non-browser-based apps stop working because the user has not gone through Azure MFA registration and obtained an app password.

以下を使用して、まず Module をインストールします。Install the Module first, using:

   Install-Module MSOnline

ヒント

必ず Connect-MsolService を使用して接続してくださいDon't forget to connect first using Connect-MsolService

一括でユーザーを有効にする必要がある場合は、PowerShell の使用をお勧めします。Using PowerShell is a good option when you need to bulk enabling users. ユーザーの一覧をループ処理して各ユーザーを有効にする PowerShell スクリプトを作成します。Create a PowerShell script that loops through a list of users and enables them:

    Import-Module MSOnline
    $st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
    $st.RelyingParty = "*"
    $st.State = "Enabled"
    $sta = @($st)
    Set-MsolUser -UserPrincipalName bsimon@contoso.com -StrongAuthenticationRequirements $sta

次のスクリプトは一例です。The following script is an example:

$users = "bsimon@contoso.com","jsmith@contoso.com","ljacobson@contoso.com"
foreach ($user in $users)
{
    $st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
    $st.RelyingParty = "*"
    $st.State = "Enabled"
    $sta = @($st)
    Set-MsolUser -UserPrincipalName $user -StrongAuthenticationRequirements $sta
}

無効にした MFA に対して、次のスクリプトを使用しました。To disabled MFA, used this script:

Get-MsolUser -UserPrincipalName user@domain.com | Set-MsolUser -StrongAuthenticationRequirements @()

また、次のように短縮することもできます。or also can be shorten to:

Set-MsolUser -UserPrincipalName user@domain.com -StrongAuthenticationRequirements @()

次の手順Next steps

MFA を実行する際にユーザーにプロンプトが表示される場合と表示されない場合については、Why was a user prompted or not prompted to perform MFA? Azure Multi-Factor Authentication のレポートに関するドキュメントの Azure AD サインイン レポートのセクションを参照してください。See the section Azure AD sign-ins report in the Reports in Azure Multi-Factor Authentication document.

信頼できる IP、カスタム音声メッセージ、不正アクセスのアラートに関する追加の設定を構成する方法については、「Azure Multi-Factor Authentication の設定を構成する」を参照してください。To configure additional settings like trusted IPs, custom voice messages, and fraud alerts, see the article Configure Azure Multi-Factor Authentication settings

Azure Multi-Factor Authentication のユーザー設定の管理について詳しくは、「クラウドでの Azure Multi-Factor Authentication によるユーザー設定の管理」を参照してください。Information about managing user settings for Azure Multi-Factor Authentication can be found in the article Manage user settings with Azure Multi-Factor Authentication in the cloud