結合されたセキュリティ情報の登録のトラブルシューティング

[アーティクル]
03/19/2024

この記事の情報は、統合された登録エクスペリエンスのユーザーによって報告された問題をトラブルシューティングしている管理者を支援するように考慮されています。

監査ログ

統合された登録についてのイベントは、Microsoft Entra 監査ログの [認証方法] サービスに記録されます。

登録のイベントを示す Microsoft Entra の監査ログインターフェイス

次の表は、統合された登録によって生成されたすべての監査イベントの一覧を示しています。

アクティビティ	Status	理由	説明
ユーザーが必要なすべてのセキュリティ情報を登録した	Success	ユーティリティが必要なすべてのセキュリティ情報を登録しました。	このイベントは、ユーザーが登録を正常に完了したときに発生します。
ユーザーが必要なすべてのセキュリティ情報を登録した	障害	ユーザーがセキュリティ情報の登録を取り消しました。	このイベントは、ユーザーが中断モードから登録を取り消したときに発生します。
ユーザーがセキュリティ情報を登録した	Success	ユーザーが方法を登録しました。	このイベントは、ユーザーが個々の方法を登録したときに発生します。方法は、認証アプリ、電話、電子メール、セキュリティの質問、アプリパスワード、代替の電話などにすることができます。
ユーザーがセキュリティ情報を確認した	Success	ユーザーが正常にセキュリティ情報を確認しました。	このイベントは、ユーザーがセキュリティ情報の確認ページで [良い] を選択したときに発生します。
ユーザーがセキュリティ情報を確認した	障害	ユーザーがセキュリティ情報を確認できませんでした。	このイベントは、ユーザーがセキュリティ情報の確認ページで [良い] を選択したが、バックエンドで何かが失敗したときに発生します。
ユーザーがセキュリティ問題を削除した	Success	ユーザーが方法を削除しました。	このイベントは、ユーザーが個々の方法を削除したときに発生します。方法は、認証アプリ、電話、電子メール、セキュリティの質問、アプリパスワード、代替の電話などにすることができます。
ユーザーがセキュリティ問題を削除した	障害	ユーザーが方法を削除できませんでした。	このイベントは、ユーザーが方法を削除しようとしたが、その試みが何らかの理由で失敗したときに発生します。方法は、認証アプリ、電話、電子メール、セキュリティの質問、アプリパスワード、代替の電話などにすることができます。
ユーザーが既定のセキュリティ情報を変更した	Success	ユーザーが方法の既定のセキュリティ情報を変更しました。	このイベントは、ユーザーが既定の方法を変更したときに発生します。方法は、認証アプリの通知、認証アプリまたはトークンからのコード、+X XXXXXXXXXX の呼び出し、+X XXXXXXXXX へのコードのテキスト送信などにすることができます。
ユーザーが既定のセキュリティ情報を変更した	障害	ユーザーが方法の既定のセキュリティ情報を変更できませんでした。	このイベントは、ユーザーが既定の方法を変更しようとしたが、その試みが何らかの理由で失敗したときに発生します。方法は、認証アプリの通知、認証アプリまたはトークンからのコード、+X XXXXXXXXXX の呼び出し、+X XXXXXXXXX へのコードのテキスト送信などにすることができます。

割り込みモードのトラブルシューティング

症状	トラブルシューティングの手順
予期していた方法が表示されません。	1. ユーザーに Microsoft Entra の管理者ロールがあるかどうかを確認します。ある場合は、SSPR 管理者ポリシーの違いを確認します。 2. ユーザーが中断される理由が、多要素認証登録の適用と SSPR 登録の適用のどちらであるかを確認します。どの方法が表示される必要があるかを判断するために、「統合された登録のモード」でフローチャートを確認します。 3. 多要素認証または SSPR ポリシーがどのくらい最近に変更されたかを判定します。最近、変更が加えられた場合、更新されたポリシーが反映されるまでしばらく時間がかかることがあります。

症状

トラブルシューティングの手順

予期していた方法が表示されません。

1. ユーザーに Microsoft Entra の管理者ロールがあるかどうかを確認します。ある場合は、SSPR 管理者ポリシーの違いを確認します。
2. ユーザーが中断される理由が、多要素認証登録の適用と SSPR 登録の適用のどちらであるかを確認します。どの方法が表示される必要があるかを判断するために、「統合された登録のモード」でフローチャートを確認します。
3. 多要素認証または SSPR ポリシーがどのくらい最近に変更されたかを判定します。最近、変更が加えられた場合、更新されたポリシーが反映されるまでしばらく時間がかかることがあります。

管理モードのトラブルシューティング

症状	トラブルシューティングの手順
特定の方法を追加する選択肢がありません。	1. その方法が多要素認証または SSPR のどちらに対して有効かを判定します。 2.その方法が有効になっている場合は、ポリシーを再度保存し、1 ～ 2 時間待ってから再テストします。 3.方法が有効になっている場合は、ユーザーが設定できるメソッドの最大数をまだ設定していないことを確実にします。

症状

トラブルシューティングの手順

特定の方法を追加する選択肢がありません。

1. その方法が多要素認証または SSPR のどちらに対して有効かを判定します。
2.その方法が有効になっている場合は、ポリシーを再度保存し、1 ～ 2 時間待ってから再テストします。
3.方法が有効になっている場合は、ユーザーが設定できるメソッドの最大数をまだ設定していないことを確実にします。

ユーザーをロールバックする方法

管理者は、ユーザーの多要素認証の設定をリセットしたい場合、次のセクションの PowerShell スクリプトを使用できます。このスクリプトは、ユーザーのモバイルアプリまたは電話番号、あるいはその両方の StrongAuthenticationMethods プロパティをクリアします。ユーザーに対してこのスクリプトを実行した場合、そのユーザーは、必要に応じて多要素認証に再登録する必要があります。影響を受けるすべてのユーザーをロールバックする前に、1 人または 2 人のユーザーでロールバックをテストすることをお勧めします。

以下の手順では、ユーザーまたはユーザーのグループをロールバックします。

前提条件

Note

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。詳細については、非推奨の最新情報を参照してください。この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

適切な Azure AD PowerShell モジュールをインストールします。 PowerShell ウィンドウで、次のコマンドを実行してモジュールをインストールします。
```
Install-Module -Name MSOnline
Import-Module MSOnline
```
影響を受けるユーザーオブジェクト ID のリストを 1 行ごとに 1 つの ID を含むテキストファイルとしてコンピューターに保存します。ファイルの場所を書き留めておきます。

次のスクリプトをコンピューターに保存し、スクリプトの場所をメモします。

<# 
//********************************************************
//*                                                      *
//*   Copyright (C) Microsoft. All rights reserved.      *
//*                                                      *
//********************************************************
#>

param($path)

# Define Remediation Fn
function RemediateUser {

    param  
    (
        $ObjectId
    )

    $user = Get-MsolUser -ObjectId $ObjectId

    Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow

    $hasMfaRelyingParty = $false
    foreach($p in $user.StrongAuthenticationRequirements)
    {
        if ($p.RelyingParty -eq "*")
        {
            $hasMfaRelyingParty = $true
            Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
        }
    }

    if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
    {
        Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
        Write-Host "Rolling back user ..." -ForegroundColor Yellow
        Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
        Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
    }
    else
    {
        Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
    }

    Write-Host ""
    Start-Sleep -Milliseconds 750
}

# Connect
Import-Module MSOnline
Connect-MsolService

foreach($line in Get-Content $path)
{
    RemediateUser -ObjectId $line
}

ロールバック

PowerShell ウィンドウで、次のコマンドを実行し、スクリプトとユーザーファイルの場所を指定します。求められたら、グローバル管理者の資格情報を入力します。スクリプトでは、各ユーザーの更新操作の結果が出力されます。

<script location> -path <user file location>

次のステップ

セルフサービスパスワードリセットと Microsoft Entra 多要素認証の統合された登録の詳細について確認する