Azure AD Multi-Factor Authentication についてよく寄せられる質問Frequently asked questions about Azure AD Multi-Factor Authentication

この FAQ では、Azure AD Multi-Factor Authentication と Multi-Factor Authentication サービスの利用について、よく寄せられる質問に回答します。This FAQ answers common questions about Azure AD Multi-Factor Authentication and using the Multi-Factor Authentication service. FAQ の内容は、サービス全般、課金モデル、ユーザー エクスペリエンス、トラブルシューティングに分けてまとめられています。It's broken down into questions about the service in general, billing models, user experiences, and troubleshooting.

重要

2019 年 7 月 1 日より、Microsoft では新しいデプロイに対して MFA Server が提供されなくなります。As of July 1, 2019, Microsoft will no longer offer MFA Server for new deployments. ユーザーからの多要素認証が必要な新しいお客様は、クラウドベースの Azure AD Multi-Factor Authentication を使用していただく必要があります。New customers who would like to require multi-factor authentication from their users should use cloud-based Azure AD Multi-Factor Authentication. 7 月 1 日より前に MFA Server をアクティブ化した既存のお客様は、最新バージョンの今後の更新プログラムをダウンロードし、アクティブ化資格情報を通常どおり生成することができます。Existing customers who have activated MFA Server prior to July 1 will be able to download the latest version, future updates and generate activation credentials as usual.

Azure Multi-Factor Authentication Server に関して、以下で共有される情報は、MFAサーバーを既に実行しているユーザーにのみ適用されます。The information shared below regarding the Azure Multi-Factor Authentication Server is only applicable for users who already have the MFA server running.

2018 年 9 月 1 日以降、新規のお客様は、使用量ベースのライセンスを利用できません。Consumption-based licensing is no longer available to new customers effective September 1, 2018. 2018 年 9 月 1 日以降、新しい認証プロバイダーを作成できなくなります。Effective September 1, 2018 new auth providers may no longer be created. 既存の認証プロバイダーは引き続き使用および更新できます。Existing auth providers may continue to be used and updated. 多要素認証認証は、今後も Azure AD Premium ライセンスで利用できます。Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

全般General

Azure Multi-Factor Authentication Server ではどのようにユーザー データが処理されますか。How does Azure Multi-Factor Authentication Server handle user data?

Multi-Factor Authentication Server では、ユーザーのデータはオンプレミス サーバーにだけ格納されます。With Multi-Factor Authentication Server, user data is only stored on the on-premises servers. 永続的なユーザー データはクラウドに格納されません。No persistent user data is stored in the cloud. ユーザーが 2 段階認証を実行すると、Multi-Factor Authentication Server から Azure AD Multi-Factor Authentication クラウド サービスにデータが送信され、認証が要求されます。When the user performs two-step verification, Multi-Factor Authentication Server sends data to the Azure AD Multi-Factor Authentication cloud service for authentication. Multi-Factor Authentication Server と Multi-Factor Authentication クラウド サービス間の通信には、送信方向のポート 443 経由で Secure Sockets Layer (SSL) またはトランスポート層セキュリティ (TLS) が使用されます。Communication between Multi-Factor Authentication Server and the Multi-Factor Authentication cloud service uses Secure Sockets Layer (SSL) or Transport Layer Security (TLS) over port 443 outbound.

認証要求がクラウド サービスに送信されると、認証レポートと使用状況レポート用のデータが収集されます。When authentication requests are sent to the cloud service, data is collected for authentication and usage reports. 2 段階認証ログには、次のデータ フィールドが含まれています。The following data fields are included in two-step verification logs:

  • 一意の ID (ユーザー名またはオンプレミスの Multi-Factor Authentication Server ID のいずれか)Unique ID (either user name or on-premises Multi-Factor Authentication Server ID)
  • 姓と名 (省略可能)First and Last Name (optional)
  • 電子メール アドレス (省略可能)Email Address (optional)
  • 電話番号 (音声通話または SMS 認証を使用する場合)Phone Number (when using a voice call or SMS authentication)
  • デバイス トークン (モバイル アプリ認証を使用する場合)Device Token (when using mobile app authentication)
  • 認証モードAuthentication Mode
  • 認証の結果Authentication Result
  • Multi-Factor Authentication のサーバー名Multi-Factor Authentication Server Name
  • Multi-Factor Authentication のサーバー IPMulti-Factor Authentication Server IP
  • クライアント IP (使用可能な場合)Client IP (if available)

オプション フィールドを Multi-Factor Authentication Server で構成できます。The optional fields can be configured in Multi-Factor Authentication Server.

認証データと共に、認証結果 (成功または拒否) と、拒否された場合はその理由が保存されます。The verification result (success or denial), and the reason if it was denied, is stored with the authentication data. このデータは、認証と使用状況のレポートで確認できます。This data is available in authentication and usage reports.

詳細については、「Azure AD Multi-Factor Authentication のデータの保存場所と顧客データ」を参照してください。For more information, see Data residency and customer data for Azure AD Multi-Factor Authentication.

ユーザーに SMS メッセージを送る際には、どの SMS ショート コードが使用されますか。What SMS short codes are used for sending SMS messages to my users?

米国では、Microsoft は次の SMS ショート コードを使用します。In the United States, we use the following SMS short codes:

  • 9767197671
  • 6982969829
  • 5178951789
  • 9939999399

カナダでは、Microsoft は次の SMS ショート コードを使用します。In Canada, we use the following SMS short codes:

  • 759731759731
  • 673801673801

SMS または音声ベース Multi-Factor Authentication のプロンプトが常に同一番号で配信されるという保証はありません。There's no guarantee of consistent SMS or voice-based Multi-Factor Authentication prompt delivery by the same number. ユーザーのために、Microsoft は、ルートを調整して SMS の配信率を向上させる際に任意のタイミングでショート コードを追加または削除する場合があります。In the interest of our users, we may add or remove short codes at any time as we make route adjustments to improve SMS deliverability.

Microsoft は、米国とカナダ以外の国または地域ではショート コードをサポートしていません。We don't support short codes for countries or regions besides the United States and Canada.

課金Billing

課金に関するほとんどの疑問は、「Multi-Factor Authentication の価格」ページかAzure AD Multi-Factor Authentication のバージョンと従量制の料金プランのドキュメントのいずれかを参照することで解決します。Most billing questions can be answered by referring to either the Multi-Factor Authentication Pricing page or the documentation for Azure AD Multi-Factor Authentication versions and consumption plans.

認証用の電話呼び出しやテキスト メッセージの送信について、自分の組織に料金が請求されることはありますか。Is my organization charged for sending the phone calls and text messages that are used for authentication?

いいえ。Azure AD Multi-Factor Authentication 経由でユーザーに対して行われる電話呼び出しや送信されるテキスト メッセージの料金が個別に請求されることはありません。No, you're not charged for individual phone calls placed or text messages sent to users through Azure AD Multi-Factor Authentication. 認証ごとの MFA プロバイダーを使用している場合は認証ごとに料金が請求されますが、認証の手段に対する請求は行われません。If you use a per-authentication MFA provider, you're billed for each authentication, but not for the method used.

ユーザーが受ける電話呼び出しやテキスト メッセージの料金は、個人で契約している電話サービスに従って請求されます。Your users might be charged for the phone calls or text messages they receive, according to their personal phone service.

ユーザーごとの課金モデルで、課金の対象となるのは有効化されているすべてのユーザーですか、それとも 2 段階認証を実行したユーザーのみですか。Does the per-user billing model charge me for all enabled users, or just the ones that performed two-step verification?

その月に 2 段階認証を実行したかどうかに関係なく、Multi-Factor Authentication を使用するように構成されたユーザーの数に基づいて課金されます。Billing is based on the number of users configured to use Multi-Factor Authentication, regardless of whether they performed two-step verification that month.

Multi-Factor Authentication の請求はどのように行われますか。How does Multi-Factor Authentication billing work?

ユーザーごとまたは認証ごとの MFA プロバイダーを作成すると、組織の Azure サブスクリプションは毎月使用量に基づいて課金されます。When you create a per-user or per-authentication MFA provider, your organization's Azure subscription is billed monthly based on usage. この課金モデルは、仮想マシンと Web Apps の使用量に対する Azure の課金方法に似ています。This billing model is similar to how Azure bills for usage of virtual machines and Web Apps.

Azure AD Multi-factor Authentication のサブスクリプションを購入すると、組織はユーザーごとに年間ライセンス費用のみを支払います。When you purchase a subscription for Azure AD Multi-Factor Authentication, your organization only pays the annual license fee for each user. MFA ライセンスと Microsoft 365、Azure AD Premium または Enterprise Mobility + Security バンドルは、この方法で課金されます。MFA licenses and Microsoft 365, Azure AD Premium, or Enterprise Mobility + Security bundles are billed this way.

詳細については、「Azure AD Multi-Factor Authentication の入手方法」をご覧ください。For more information, see How to get Azure AD Multi-Factor Authentication.

Azure AD Multi-Factor Authentication の無料版はありますか。Is there a free version of Azure AD Multi-Factor Authentication?

セキュリティの既定値群は、Azure AD Free レベルで有効にすることができます。Security defaults can be enabled in the Azure AD Free tier. セキュリティの既定値群を使用すると、Microsoft Authenticator アプリを使用しているすべてのユーザーに多要素認証が有効になります。With security defaults, all users are enabled for multi-factor authentication using the Microsoft Authenticator app. セキュリティの既定値群では、テキスト メッセージまたは電話による確認を使用することはできず、Microsoft Authenticator アプリだけが使用できます。There's no ability to use text message or phone verification with security defaults, just the Microsoft Authenticator app.

詳細については、「セキュリティの既定値群とは」を参照してください。For more information, see What are security defaults?

ユーザーごとおよび認証ごとの使用量課金モデルは、組織でいつでも切り替えることができますか。Can my organization switch between per-user and per-authentication consumption billing models at any time?

使用量ベースの課金方法により、スタンドアロン サービスとして組織で MFA を購入する場合は、MFA プロバイダーを作成する際に課金モデルを選択します。If your organization purchases MFA as a standalone service with consumption-based billing, you choose a billing model when you create an MFA provider. MFA プロバイダーの作成後に課金モデルを変更することはできません。You can't change the billing model after an MFA provider is created.

MFA プロバイダーが Azure AD テナントにリンク "されていない" 場合、または新しい MFA プロバイダーを別の Azure AD テナントにリンクする場合、ユーザー設定と構成オプションは転送されません。If your MFA provider is not linked to an Azure AD tenant, or you link the new MFA provider to a different Azure AD tenant, user settings, and configuration options aren't transferred. また、既存の Azure MFA サーバーは、新しい MFA プロバイダーによって生成されるアクティブ化資格情報を使用して再アクティブ化する必要があります。Also, existing Azure MFA Servers need to be reactivated using activation credentials generated through the new MFA Provider. MFA Server を新しい MFA プロバイダーにリンクするために再アクティブ化しても、電話呼び出しやテキスト メッセージによる認証には影響ありませんが、モバイル アプリ通知は、各ユーザーがモバイル アプリを再アクティブ化するまで機能しなくなります。Reactivating the MFA Servers to link them to the new MFA Provider doesn't impact phone call and text message authentication, but mobile app notifications will stop working for all users until they reactivate the mobile app.

MFA プロバイダーの詳細については、「Azure Multi-Factor Auth プロバイダーの概要」を参照してください。Learn more about MFA providers in Getting started with an Azure Multi-Factor Auth Provider.

使用量ベースの課金とサブスクリプション (ライセンスベースのモデル) は、組織でいつでも切り替えることができますか。Can my organization switch between consumption-based billing and subscriptions (a license-based model) at any time?

場合によります。In some instances, yes.

ディレクトリに "ユーザーごと" の Azure Multi-Factor Authentication プロバイダーがある場合は、MFA ライセンスを追加できます。If your directory has a per-user Azure Multi-Factor Authentication provider, you can add MFA licenses. ライセンスを所有しているユーザーは、ユーザーごとの使用量ベースの課金にはカウントされません。Users with licenses aren't counted in the per-user consumption-based billing. ライセンスのないユーザーに対しては、MFA プロバイダーを通じて MFA を有効化できます。Users without licenses can still be enabled for MFA through the MFA provider. Multi-Factor Authentication を使用するように構成されているすべてのユーザーにライセンスを購入して割り当てた場合は、Azure Multi-Factor Authentication プロバイダーを削除できます。If you purchase and assign licenses for all your users configured to use Multi-Factor Authentication, you can delete the Azure Multi-Factor Authentication provider. 将来、ユーザー数がライセンス数を上回るような場合には、ユーザーごとの MFA プロバイダーをいつでも別に作成できます。You can always create another per-user MFA provider if you have more users than licenses in the future.

ディレクトリに "認証ごと" の Azure Multi-Factor Authentication プロバイダーがある場合は、その MFA プロバイダーがサブスクリプションにリンクされている限り、認証ごとに常に料金が請求されます。If your directory has a per-authentication Azure Multi-Factor Authentication provider, you're always billed for each authentication, as long as the MFA provider is linked to your subscription. MFA ライセンスをユーザーに割り当てることはできますが、2 段階認証の要求が行われると、それが MFA ライセンスの割り当てられたユーザーによる要求かどうかに関係なく、毎回料金が請求されます。You can assign MFA licenses to users, but you'll still be billed for every two-step verification request, whether it comes from someone with an MFA license assigned or not.

組織が Azure AD Multi-Factor Authentication を使用するには、ID の使用と同期が必要ですか。Does my organization have to use and synchronize identities to use Azure AD Multi-Factor Authentication?

組織で使用量ベースの課金モデルを使用する場合、Azure Active Directory の利用は任意であり、必須ではありません。If your organization uses a consumption-based billing model, Azure Active Directory is optional, but not required. MFA プロバイダーが Azure AD テナントにリンクされていない場合は、Azure Multi-Factor Authentication Server をオンプレミスにのみデプロイできます。If your MFA provider isn't linked to an Azure AD tenant, you can only deploy Azure Multi-Factor Authentication Server on-premises.

ライセンス モデルでは Azure Active Directory が必要です。これは、ライセンスを購入してディレクトリ内のユーザーに割り当てると、そのライセンスが Azure AD テナントに追加されるためです。Azure Active Directory is required for the license model because licenses are added to the Azure AD tenant when you purchase and assign them to users in the directory.

ユーザー アカウントの管理とサポートManage and support user accounts

ユーザーが電話で応答を受信できない場合、そのユーザーにはどのように伝えればよいですか。What should I tell my users to do if they don't receive a response on their phone?

認証用の電話または SMS を受け取るための操作を、5 分間に 5 回を上限として試行するようユーザーに伝えてください。Have your users attempt up to five times in 5 minutes to get a phone call or SMS for authentication. Microsoft では、発信および SMS メッセージを配信するためのプロバイダーを複数使用しています。Microsoft uses multiple providers for delivering calls and SMS messages. このアプローチがうまくいかない場合は、サポート ケースを開いてさらにトラブルシューティングを行うことができます。If this approach doesn't work, open a support case to troubleshoot further.

サードパーティのセキュリティ アプリでは、確認コードのテキスト メッセージまたは音声通話をブロックすることもできます。Third-party security apps may also block the verification code text message or phone call. サードパーティのセキュリティ アプリを使用している場合は、保護を無効にしてから、別の MFA 検証コードを送信するように依頼するようにしてください。If using a third-party security app, try disabling the protection, then request another MFA verification code be sent.

上記の手順でうまく行かない場合は、ユーザーが複数の認証方法に構成されているかどうかを確認します。If the steps above don't work, check if users are configured for more than one verification method. 再度サインインを試しますが、その際にサインイン ページで別の認証方法を選択します。Try signing in again, but select a different verification method on the sign-in page.

詳細については、エンドユーザー向けトラブルシューティング ガイドを参照してください。For more information, see the end-user troubleshooting guide.

アカウントに入れないユーザーがいる場合はどうすればよいですか。What should I do if one of my users can't get in to their account?

ユーザーに登録プロセスを再度実行してもらうことで、ユーザーのアカウントをリセットできます。You can reset the user's account by making them to go through the registration process again. 詳細については、 クラウドでの Azure AD Multi-Factor Authentication によるユーザーおよびデバイスの設定の管理に関するページを参照してください。Learn more about managing user and device settings with Azure AD Multi-Factor Authentication in the cloud.

アプリ パスワードを使用している携帯電話を紛失したユーザーがいる場合は、どうすればよいですか。What should I do if one of my users loses a phone that is using app passwords?

未承認のアクセスを防ぐには、そのユーザーのアプリ パスワードをすべて削除します。To prevent unauthorized access, delete all the user's app passwords. ユーザーは、代わりのデバイスを入手した後に、パスワードを再作成できます。After the user has a replacement device, they can recreate the passwords. 詳細については、 クラウドでの Azure AD Multi-Factor Authentication によるユーザーおよびデバイスの設定の管理に関するページを参照してください。Learn more about managing user and device settings with Azure AD Multi-Factor Authentication in the cloud.

ユーザーがブラウザー以外のアプリにサインインできない場合はどうすればよいですか。What if a user can't sign in to non-browser apps?

組織でまだ従来型クライアントを使用しており、かつアプリ パスワードの使用を許可している場合、ユーザーがこのような従来型のクライアントにユーザー名とパスワードでサインインすることはできません。If your organization still uses legacy clients, and you allowed the use of app passwords, then your users can't sign in to these legacy clients with their username and password. 代わりに、ユーザーはアプリ パスワードを設定する必要があります。Instead, they need to set up app passwords. ユーザーはサインイン情報をクリア (削除) してアプリを再起動し、ユーザー名と、通常のパスワードではなく "アプリ パスワード" を使用してサインインしなければなりません。Your users must clear (delete) their sign-in information, restart the app, and then sign in with their username and app password instead of their regular password.

組織で従来型クライアントを使用していない場合は、アプリ パスワードの作成をユーザーに許可しないようにしてください。If your organization doesn't have legacy clients, you shouldn't allow your users to create app passwords.

注意

Office 2013 クライアントのための最新の認証Modern authentication for Office 2013 clients

アプリ パスワードは、先進認証をサポートしていないアプリにのみ必要になります。App passwords are only necessary for apps that don't support modern authentication. Office 2013 クライアントでは、先進認証プロトコルがサポートされますが、構成が必要です。Office 2013 clients support modern authentication protocols, but need to be configured. Office 2013 の 2015 年 3 月以降の更新を実行しているすべてのお客様が、最新の認証を利用できます。Modern authentication is available to any customer running the March 2015 or later update for Office 2013. 詳細については、「Updated Office 365 modern authentication (Office 365 の先進認証の更新)」を参照してください。For more information, see the blog post Updated Office 365 modern authentication.

テキスト メッセージが届かない場合や、認証がタイムアウトになる場合があると、ユーザーが訴えています。My users say that sometimes they don't receive the text message or the verification times out.

サービスの信頼性に影響する可能性がある制御不能な要因があるため、SMS メッセージの配信は保証されません。Delivery of SMS messages aren't guaranteed because there are uncontrollable factors that might affect the reliability of the service. これらの要因には、宛先の国または地域、携帯電話会社、信号の強さなどがあります。These factors include the destination country or region, the mobile phone carrier, and the signal strength.

サードパーティのセキュリティ アプリでは、確認コードのテキスト メッセージまたは音声通話をブロックすることもできます。Third-party security apps may also block the verification code text message or phone call. サードパーティのセキュリティ アプリを使用している場合は、保護を無効にしてから、別の MFA 検証コードを送信するように依頼するようにしてください。If using a third-party security app, try disabling the protection, then request another MFA verification code be sent.

テキスト メッセージがユーザーに確実に届かない問題が頻発する場合は、代わりに Microsoft Authenticator アプリか電話呼び出しによる認証方法を使用するようユーザーに指示してください。If your users often have problems with reliably receiving text messages, tell them to use the Microsoft Authenticator app or phone call method instead. Microsoft Authenticator は、携帯電話と Wi-Fi 接続の両方で通知を受け取ることができます。The Microsoft Authenticator can receive notifications both over cellular and Wi-Fi connections. さらに、デバイスに信号がまったくない場合でも、モバイル アプリは検証コードを生成できます。In addition, the mobile app can generate verification codes even when the device has no signal at all. Microsoft Authenticator アプリは、AndroidiOSWindows Phone で利用できます。The Microsoft Authenticator app is available for Android, iOS, and Windows Phone.

ユーザーが認証コードを入力しなければならない、テキスト メッセージを受信してからシステムがタイムアウトになるまでの制限時間は変更できますか。Can I change the amount of time my users have to enter the verification code from a text message before the system times out?

場合によりますが、変更できます。In some cases, yes.

Azure MFA サーバー v7.0 以降の単方向 SMS の場合、レジストリ キーをを設定することでタイムアウト設定を構成できます。For one-way SMS with Azure MFA Server v7.0 or higher, you can configure the timeout setting by setting a registry key. MFA クラウド サービスがテキスト メッセージを送信すると、確認コード (またはワンタイム パスコード) が MFA サーバーに返されます。After the MFA cloud service sends the text message, the verification code (or one-time passcode) is returned to the MFA Server. MFA サーバーは、既定ではコードをメモリ内に 300 秒間保存します。The MFA Server stores the code in memory for 300 seconds by default. 300 秒が経過する前にユーザーがコードを入力しないと、認証は拒否されます。If the user doesn't enter the code before the 300 seconds have passed, their authentication is denied. 既定のタイムアウト設定を変更するには、次の手順を実行します。Use these steps to change the default timeout setting:

  1. HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor にアクセスします。Go to HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
  2. pfsvc_pendingSmsTimeoutSeconds という名前の DWORD レジストリ キーを作成し、Azure MFA Server でワンタイム パスコードを保管する時間を秒単位で設定します。Create a DWORD registry key called pfsvc_pendingSmsTimeoutSeconds and set the time in seconds that you want the Azure MFA Server to store one-time passcodes.

ヒント

MFA サーバーが複数ある場合、ユーザーに送信された確認コードを認識しているのは、元の認証要求を処理した 1 つだけです。If you have multiple MFA Servers, only the one that processed the original authentication request knows the verification code that was sent to the user. ユーザーがコードを入力する際に、そのコードを検証するための認証要求を同じサーバーに送信する必要があります。When the user enters the code, the authentication request to validate it must be sent to the same server. コードの検証を別のサーバーに送信すると、認証が拒否されます。If the code validation is sent to a different server, the authentication is denied.

ユーザーが定義されたタイムアウト期間内に SMS に応答しない場合、認証は拒否されます。If users don't respond to the SMS within the defined timeout period, their authentication is denied.

クラウドの Azure AD MFA の一方向の SMS (AD FS アダプターおよびネットワーク ポリシー サーバー拡張機能など) の場合、タイムアウト設定を構成することはできません。For one-way SMS with Azure AD MFA in the cloud (including the AD FS adapter or the Network Policy Server extension), you can't configure the timeout setting. Azure AD は、確認コードを 180 秒間保存します。Azure AD stores the verification code for 180 seconds.

Azure Multi-Factor Authentication Server でハードウェア トークンを使用できますか。Can I use hardware tokens with Azure Multi-Factor Authentication Server?

Azure Multi-Factor Authentication Server を使用している場合、サード パーティによるオープン認証 (OATH) の時間ベースのワンタイム パスワード (TOTP) トークンをインポートして 2 段階認証で使用できます。If you're using Azure Multi-Factor Authentication Server, you can import third-party Open Authentication (OATH) time-based, one-time password (TOTP) tokens, and then use them for two-step verification.

CSV ファイル内に秘密キーを配置して Azure Multi-Factor Authentication Server にインポートすると、OATH TOTP トークンである ActiveIdentity トークンを使用できます。You can use ActiveIdentity tokens that are OATH TOTP tokens if you put the secret key in a CSV file and import to Azure Multi-Factor Authentication Server. クライアント システムでユーザー入力を受け入れられる限り、OATH トークンは、Active Directory フェデレーション サービス (ADFS)、インターネット インフォメーション サーバー (IIS) のフォームベース認証、リモート認証ダイヤルイン ユーザー サービス (RADIUS) で使用できます。You can use OATH tokens with Active Directory Federation Services (ADFS), Internet Information Server (IIS) forms-based authentication, and Remote Authentication Dial-In User Service (RADIUS) as long as the client system can accept the user input.

以下の形式のサードパーティによる OATH TOTP トークンをインポートできます。You can import third-party OATH TOTP tokens with the following formats:

  • 移植可能な対称キー コンテナー (PSKC)Portable Symmetric Key Container (PSKC)
  • CSV。シリアル番号、Base 32 形式の秘密キー、および時間間隔がファイルに含まれている場合CSV if the file contains a serial number, a secret key in Base 32 format, and a time interval

Azure Multi-Factor Authentication Server を使用してターミナル サービスをセキュリティで保護することはできますか。Can I use Azure Multi-Factor Authentication Server to secure Terminal Services?

はい。ただし、Windows Server 2012 R2 以降を使用している場合は、リモート デスクトップ ゲートウェイ (RD ゲートウェイ) の使用によってのみターミナル サービスをセキュリティで保護できます。Yes, but if you're using Windows Server 2012 R2 or later, you can only secure Terminal Services by using Remote Desktop Gateway (RD Gateway).

Windows Server 2012 R2 におけるセキュリティの変更により、Azure Multi-Factor Authentication Server から Windows Server 2012 以前のバージョンのローカル セキュリティ機関 (LSA) のセキュリティ パッケージに接続する方法が変わりました。Security changes in Windows Server 2012 R2 changed how Azure Multi-Factor Authentication Server connects to the Local Security Authority (LSA) security package in Windows Server 2012 and earlier versions. Windows 2012 以前のターミナル サービスのバージョンでは、Windows 認証でアプリケーションをセキュリティで保護することができます。For versions of Terminal Services in Windows Server 2012 or earlier, you can secure an application with Windows Authentication. Windows Server 2012 R2 を使用している場合は、RD ゲートウェイが必要です。If you're using Windows Server 2012 R2, you need RD Gateway.

MFA Server で発信者 ID を構成しましたが、ユーザーがまだ匿名の発信者から Multi-Factor Authentication の呼び出しを受けます。I configured Caller ID in MFA Server, but my users still receive Multi-Factor Authentication calls from an anonymous caller.

公衆電話網経由で Multi-Factor Authentication の呼び出しが行われた場合、発信者 ID をサポートしていない通信事業者を通じて呼び出しがルーティングされることがあります。When Multi-Factor Authentication calls are placed through the public telephone network, sometimes they are routed through a carrier that doesn't support caller ID. この通信事業者のビヘイビアーにより、Multi-Factor Authentication システムが常に発信者 ID を送信していても、発信者 ID は保証されません。Because of this carrier behavior, caller ID isn't guaranteed, even though the Multi-Factor Authentication system always sends it.

セキュリティ情報の登録を求めるメッセージがユーザーに表示されるのはなぜでしょうか。Why are my users being prompted to register their security information?

セキュリティ情報の登録を求めるメッセージがユーザーに表示される場合、以下のようないくつかの理由が考えられます。There are several reasons that users could be prompted to register their security information:

  • そのユーザーは Azure AD の管理者によって MFA が有効化されているが、まだアカウントにセキュリティ情報を登録していない。The user has been enabled for MFA by their administrator in Azure AD, but doesn't have security information registered for their account yet.
  • そのユーザーに対して、Azure AD でのセルフサービス パスワード リセット が有効化されている。The user has been enabled for self-service password reset in Azure AD. セキュリティ情報は、将来パスワードを忘れた場合に、それをリセットするために役立ちます。The security information will help them reset their password in the future if they ever forget it.
  • そのユーザーは、MFA を要求する条件付きアクセス ポリシーが設定されたアプリケーションにアクセスしたが、以前に MFA に登録していない。The user accessed an application that has a Conditional Access policy to require MFA and hasn't previously registered for MFA.
  • そのユーザーは Azure AD (Azure AD Join を含む) にデバイスを登録しようとしており、ユーザーの組織ではデバイスの登録に MFA を要求しているが、ユーザーは事前に MFA への登録を行っていない。The user is registering a device with Azure AD (including Azure AD Join), and your organization requires MFA for device registration, but the user hasn't previously registered for MFA.
  • そのユーザーは Windows 10 で (MFA を要求する) Windows Hello for Business を生成しているが、以前に MFA に登録していない。The user is generating Windows Hello for Business in Windows 10 (which requires MFA) and hasn't previously registered for MFA.
  • 組織で作成および有効化されている MFA 登録ポリシーが、そのユーザーに適用されている。The organization has created and enabled an MFA Registration policy that has been applied to the user.
  • そのユーザーは事前に MFA への登録を行っているが、選択した認証方法が、その後管理者によって無効化されている。The user previously registered for MFA, but chose a verification method that an administrator has since disabled. このため、ユーザーはもう一度 MFA 登録を行い、新しい既定の認証方法を選択する必要があります。The user must therefore go through MFA registration again to select a new default verification method.

エラーErrors

ユーザーがモバイル アプリの通知を使用しているときに "認証要求はアクティブ化されたアカウントのものではありません" というエラー メッセージが表示された場合、そのユーザーはどうすればよいですか。What should users do if they see an "Authentication request is not for an activated account" error message when using mobile app notifications?

次の手順を完了して、Microsoft Authenticator から自分のアカウントを削除し、再度追加するようにユーザーに依頼します。Ask the user to complete the following procedure to remove their account from the Microsoft Authenticator, then add it again:

  1. 自分の Azure ポータル プロファイルに移動して、組織のアカウントでサインインします。Go to their Azure portal profile and sign in with an organizational account.
  2. [追加のセキュリティ確認] を選択します。Select Additional Security Verification.
  3. Microsoft Authenticator アプリから既存のアカウントを削除します。Remove the existing account from the Microsoft Authenticator app.
  4. [構成] をクリックし、Microsoft Authenticator を再構成するための手順を行います。Click Configure, and then follow the instructions to reconfigure the Microsoft Authenticator.

ブラウザー以外のアプリケーションでサインインしたときに 0x800434D4L エラー メッセージが表示された場合、ユーザーはどうすればよいでしょうか。What should users do if they see a 0x800434D4L error message when signing in to a non-browser application?

0x800434D4L エラーは、2 段階認証を要求するアカウントでは機能しない、ローカル コンピューターにインストールされているブラウザー以外のアプリケーションにサインインしようとすると発生します。The 0x800434D4L error occurs when you try to sign in to a non-browser application, installed on a local computer, that doesn't work with accounts that require two-step verification.

このエラーを回避するには、管理関連の操作用と管理以外の操作用に異なるユーザー アカウントを使用します。A workaround for this error is to have separate user accounts for admin-related and non-admin operations. 非管理アカウントを使用して Outlook にサインインできるように、後ほど、管理アカウントと非管理アカウントのメールボックスにリンクを作成することができます。Later, you can link mailboxes between your admin account and non-admin account so that you can sign in to Outlook by using your non-admin account. このソリューションの詳細については、「管理者がユーザーのメールボックスの内容を開いたり表示したりできるようにする」を参照してください。For more details about this solution, learn how to give an administrator the ability to open and view the contents of a user's mailbox.

次のステップNext steps

ここで質問に対する回答が見つからない場合は、次のサポート オプションをご利用いただけます。If your question isn't answered here, the following support options are available:

  • Microsoft サポート技術情報を検索して、一般的な技術上の問題の解決方法を探します。Search the Microsoft Support Knowledge Base for solutions to common technical issues.
  • このコミュニティで技術的な質問と回答を検索して参照したり、Azure Active Directory の Q&A で独自の質問を投稿したりできます。Search for and browse technical questions and answers from the community, or ask your own question in the Azure Active Directory Q&A.
  • さらにサポートが必要な場合は、Azure Multi-Factor Authentication Server サポートを通して、サポートのプロに問い合わせてください。Contact Microsoft professional through Azure Multi-Factor Authentication Server support. お問い合わせの際は、問題に関する情報をできるだけお知らせいただくと役に立ちます。When contacting us, it's helpful if you can include as much information about your issue as possible. エラーが表示されたページ、具体的なエラー コード、具体的な ID、エラーが表示されたユーザーの ID などの情報をご提供ください。Information you can supply includes the page where you saw the error, the specific error code, the specific session ID, and the ID of the user who saw the error.
  • 従来の PhoneFactor をご利用中で、パスワードのリセットについてご質問がある場合やサポートを必要とされている場合は、phonefactorsupport@microsoft.com のメール アドレスを使用してサポート ケースを開いてください。If you're a legacy PhoneFactor customer and you have questions or need help with resetting a password, use the phonefactorsupport@microsoft.com e-mail address to open a support case.