多要素認証のデプロイを計画する
Microsoft Entra 多要素認証のデプロイを始める前に、いくつかのことを決定する必要があります。
まず、MFA のロールアウトは一定の間隔をおいて進めることを検討します。 試験的ユーザーからなる小規模グループから始めてご利用の環境の複雑性を評価し、設定上の問題やサポートされないアプリまたはデバイスを特定します。 その後、一定の期間、合格のたびに結果を評価し、会社全体が取り込まれるまでそのグループの規模を拡大します。
次に、完全な通知計画を作成します。 Microsoft Entra 多要素認証では、登録プロセスなど、いくつかのユーザー操作が必要になります。 すべての手順をユーザーに通知してください。 必要な操作、重要な日程、問題が発生した場合にそれに対する回答を得る方法を知らせます。 Microsoft では、ポスターや通知の草案に役立つメール テンプレートなどを含めた、通信テンプレートを用意しています。
Microsoft Entra 多要素認証ポリシー
Microsoft Entra 多要素認証は条件付きアクセス ポリシーを使って適用されます。 条件付きアクセス ポリシーは IF-THEN ステートメントです。 (IF/条件) ユーザーがあるリソースへのアクセスを求める場合、(THEN/処理) あるアクションを完了する必要があります。 たとえば、給与管理者は、給与処理アプリケーションにアクセスする必要があります。アクセスには多要素認証を実行することが要求されます。 MFA が必要になることがあるその他の一般的なアクセス要求:
- IF/条件: 特定のクラウド アプリケーションがアクセスされている
- IF/条件: ユーザーが特定のネットワークにアクセスしている
- IF/条件: ユーザーが特定のクライアント アプリケーションにアクセスしている
- IF/条件: ユーザーが新しいデバイスを登録している
サポートされている認証方法を決定する
Microsoft Entra 多要素認証をオンにすると、利用可能な認証方法を選択できます。 第一の方法が利用できないとき、バックアップ オプションが与えられるよう、常に複数の方法をサポートしてください。 次の方法から選択できます。
| 方法 | 説明 |
|---|---|
| モバイル アプリの検証コード | Microsoft Authenticator アプリなど、モバイル認証アプリを利用し、OATH 確認コードを取得できます。取得したコードはサインイン インターフェイスに入力されます。 このコードは 30 秒おきに変更されます。このアプリは接続が限られている場合でも使えます。 中国では Android デバイスでこの方法が機能しません。 |
| [モバイル アプリの通知] | Azure は、Microsoft Authenticator などのモバイル認証アプリにプッシュ通知を送信できます。 ユーザーはプッシュ通知を選んで、サインインを確認できます。 |
| 電話での呼び出し | Azure では、指定された電話機に電話をかけることができます。 着信後、ユーザーはキーパッドを利用して本人確認を是認します。 この方法はバックアップに適しています。 |
| FIDO2 セキュリティ キー | FIDO2 セキュリティ キーは、フィッシングできない標準ベースのパスワードレス認証方法です。 これらのキーは通常、USB デバイスですが、Bluetooth または NFC を使用することもできます。 |
| Windows Hello for Business | Windows Hello for Business は、デバイス上で、パスワードに代わる強力な 2 要素認証機能を実現します。 この認証は、デバイスに関連付けられ、生体認証または PIN を使用する種類のユーザー資格情報で構成されます。 |
| OATH トークン | OATH トークンとしては、Microsoft Authenticator アプリや他の認証アプリなどのソフトウェア アプリケーションや、お客様がさまざまなベンダーから購入できるハードウェア ベースのトークンを使用できます。 |
管理者はこれらのオプションの 1 つ以上を有効にでき、ユーザーは使用する各サポート認証方法にオプトインできます。
認証方法を選択する
最後に、選択した方法をユーザーが登録する方法を決定する必要があります。 最も簡単な方法は、Microsoft Entra ID Protection 使うことです。 組織に Identity Protection のライセンスがある場合、ユーザーが次にサインインしたときに MFA の登録を促すよう、それを構成できます。
多要素認証を必要とするアプリケーションまたはサービスをユーザーが使おうとしたときに MFA の登録をユーザーに促すこともできます。 最後に、組織に属するすべてのユーザーが含まれる Azure グループに適用される条件付きアクセス ポリシーを利用し、登録を強制できます。 この手法では、定期的にグループを見直し、登録済みのユーザーを削除するという手作業がいくらか必要になります。 このプロセスの一部を自動化するための便利なスクリプトについては、「Microsoft Entra 多要素認証のデプロイを計画する」を参照してください。