Azure Active Directory での統合されたセキュリティ情報の登録の有効化Enable combined security information registration in Azure Active Directory

統合された登録の前、ユーザーは Azure Multi-Factor Authentication (MFA) とセルフサービス パスワード リセット (SSPR) の認証方法を別々に登録しました。Before combined registration, users registered authentication methods for Azure Multi-Factor Authentication and self-service password reset (SSPR) separately. ユーザーは Azure Multi-Factor Authentication と SSPR に同様の方法が使用されることに混乱していましたが、どちらの機能も登録する必要がありました。People were confused that similar methods were used for Azure Multi-Factor Authentication and SSPR but they had to register for both features. 現在では、統合された登録を使用することで、ユーザーは 1 回登録して Azure Multi-Factor Authentication と SSPR の両方の利点を得ることができます。Now, with combined registration, users can register once and get the benefits of both Azure Multi-Factor Authentication and SSPR.

注意

2020 年 8 月 15 日以降は、新しい Azure AD テナントで統合されたすべての登録が自動的に有効になります。Starting on August 15th 2020, all new Azure AD tenants will be automatically enabled for combined registration.

この新しいエクスペリエンスを有効にする前にその機能と効果を確実に把握するには、統合されたセキュリティ情報の登録の概念に関する記事をご覧ください。To make sure you understand the functionality and effects before you enable the new experience, see the Combined security information registration concepts.

統合されたセキュリティ情報登録の強化エクスペリエンス

統合された登録の有効化Enable combined registration

統合された登録を有効にするには、次の手順に従います。To enable combined registration, complete these steps:

  1. Azure portal にユーザー管理者または全体管理者としてサインインします。Sign in to the Azure portal as a user administrator or global administrator.

  2. [Azure Active Directory] > [ユーザー設定] > [ユーザー機能プレビュー設定の管理] に移動します。Go to Azure Active Directory > User settings > Manage user feature preview settings.

  3. [ユーザーはセキュリティ情報の登録と管理のためにプレビュー機能を使用できます] で、 [選択済み] のユーザーのグループまたは [すべて] のユーザーを選択して有効にします。Under Users can use the combined security information registration experience, choose to enable for a Selected group of users or for All users.

    ユーザーに対して統合されたセキュリティ情報のエクスペリエンスを有効にする

注意

統合された登録を有効にすると、新しいエクスペリエンスで電話番号やモバイル アプリを登録または確認したユーザーは、Azure Multi-Factor Authentication と SSPR ポリシーでこれらの方法が有効な場合、これらを Azure Multi-Factor Authentication と SSPR に使用できます。After you enable combined registration, users who register or confirm their phone number or mobile app through the new experience can use them for Azure Multi-Factor Authentication and SSPR, if those methods are enabled in the Azure Multi-Factor Authentication and SSPR policies.

このエクスペリエンスを無効にすると、以前の SSPR 登録ページ (https://aka.ms/ssprsetup) にアクセスするユーザーは、ページにアクセスする前に多要素認証を実行する必要があります。If you then disable this experience, users who go to the previous SSPR registration page at https://aka.ms/ssprsetup are required to perform multi-factor authentication before they can access the page.

Internet Explorer でサイトとゾーンの割り当て一覧を構成した場合、以下のサイトは同じゾーン内に存在する必要があります。If you have configured the Site to Zone Assignment List in Internet Explorer, the following sites have to be in the same zone:

統合登録の条件付きアクセス ポリシーConditional Access policies for combined registration

ユーザーが Azure Multi-Factor Authentication とセルフサービス パスワード リセットの登録を実行するタイミングと方法をセキュリティで保護するため、条件付きアクセス ポリシーのユーザー アクションを使用できます。To secure when and how users register for Azure Multi-Factor Authentication and self-service password reset, you can use user actions in Conditional Access policy. この機能では、HR オンボード中に信頼できるネットワークの場所などの一元化された場所から Azure Multi-Factor Authentication と SSPR の登録をユーザーに行わせたい組織で有効にすることができます。This functionality may be enabled in organizations that want users to register for Azure Multi-Factor Authentication and SSPR from a central location, such as a trusted network location during HR onboarding.

注意

このポリシーは、ユーザーが統合登録ページにアクセスした場合にのみ適用されます。This policy applies only when a user accesses a combined registration page. このポリシーは、ユーザーが他のアプリケーションにアクセスしたときに MFA 登録を強制しません。This policy doesn't enforce MFA enrollment when a user accesses other applications.

MFA 登録ポリシーを作成するには、Azure Identity Protection - MFA ポリシーの構成を使用します。You can create an MFA registration policy by using Azure Identity Protection - Configure MFA Policy.

条件付きアクセスでの信頼できる場所の作成について詳しくは、Azure Active Directory 条件付きアクセスの場所の条件の概要に関する記事をご覧くださいFor more information about creating trusted locations in Conditional Access, see What is the location condition in Azure Active Directory Conditional Access?

信頼できる場所からの登録を要求するポリシーを作成するCreate a policy to require registration from a trusted location

次の手順に従って、統合された登録エクスペリエンスを使用して登録しようとするすべての選択ユーザーに適用され、信頼されたネットワークとしてマークされている場所から接続していない場合はアクセスをブロックするポリシーを作成します。Complete the following steps to create a policy that applies to all selected users that attempt to register using the combined registration experience, and blocks access unless they are connecting from a location marked as trusted network:

  1. Azure portal で、 [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] に移動します。In the Azure portal, browse to Azure Active Directory > Security > Conditional Access.

  2. [新しいポリシー] を選択します。Select + New policy.

  3. このポリシーの名前を入力します。たとえば、"信頼されたネットワーク上の統合されたセキュリティ情報の登録" などです。Enter a name for this policy, such as Combined Security Info Registration on Trusted Networks.

  4. [割り当て] で、 [ユーザーとグループ] を選択します。Under Assignments, select Users and groups. このポリシーを適用するユーザーとグループを選択し、 [完了] を選択します。Choose the users and groups you want this policy to apply to, then select Done.

    警告

    統合された登録に対してユーザーを有効にする必要があります。Users must be enabled for combined registration.

  5. [クラウド アプリまたはアクション] で、 [ユーザー操作] を選択します。Under Cloud apps or actions, select User actions. [セキュリティ情報の登録] をオンにし、 [完了] を選択します。Check Register security information, then select Done.

    セキュリティ情報の登録を制御する条件付きアクセスポリシーを作成する

  6. [条件] > [場所] で、次のオプションを構成します。Under Conditions > Locations, configure the following options:

    1. [はい] を構成します。Configure Yes.
    2. [任意の場所] を含めます。Include Any location.
    3. [すべての信頼できる場所] を除外します。Exclude All trusted locations.
  7. [場所] ウィンドウで [完了] を選択し、 [条件] ウィンドウで [完了] を選択します。Select Done on the Locations window, then select Done on the Conditions window.

  8. [アクセス制御] > [許可] で、 [アクセスのブロック][選択] の順に選択します。Under Access controls > Grant, choose Block access, then Select.

  9. [ポリシーを有効にする][オン] に設定します。Set Enable policy to On.

  10. ポリシーを完了するには、 [作成] を選択します。To finalize the policy, select Create.

次のステップNext steps

ヘルプが必要な場合は、「統合されたセキュリティ情報の登録のトラブルシューティング」またはAzure AD 条件付きアクセスの場所の条件の概要に関する記事を参照してください。If you need help, see troubleshoot combined security info registration or learn What is the location condition in Azure AD Conditional Access?

統合された登録に対してユーザーを有効にした後は、セルフサービス パスワード リセットを有効にしたり、Azure Multi-Factor Authentication を有効にしたりできます。Once users are enabled for combined registration, you can then enable self-service password reset and enable Azure Multi-Factor Authentication.

必要な場合は、ユーザーに認証方法の再登録を強制する方法を学習します。If needed, learn how to force users to re-register authentication methods.