多要素認証をセットアップするSet up multi-factor authentication

Microsoft 365 での多要素認証 (MFA) とそのサポートについての理解に基づいて、これを設定して組織にロールアウトします。Based on your understanding of multi-factor authentication (MFA) and its support in Microsoft 365, it’s time to set it up and roll it out to your organization.

開始する前に、これらの特殊条件が適用されるかどうかを確認し、適切な操作を行います。Before you begin, determine if these special conditions apply to you and take the appropriate action:

他のすべてのユーザーは、必要に応じて追加認証を求められます。All other users will be asked to perform additional authentication when needed. 詳細については、「 2 要素の検証方法と設定」を参照してください。For more information, please visit Two-factor verification method and settings.

手順 1: ユーザーに MFA の使用を要求する方法を決定するStep 1: Decide on the method of requiring your users to use MFA

注意

MFA を設定または変更するには、グローバル管理者である必要があります。You must be a global admin to set up or modify MFA. ユーザーがサインインに MFA を使用するよう要求するには、次の3つの方法があります。詳細については、「 Microsoft 365 の MFA サポート」を参照してください。There are three ways to require your users to use MFA for sign-ins. See MFA support in Microsoft 365 for the details.

  • セキュリティの既定値 (小規模企業に推奨)Security defaults (recommended for small businesses)

    2019年10月21日以降にサブスクリプションまたは試用版を購入した場合に、MFA を予期せずに要求されると、サブスクリプションに対してセキュリティの既定値が自動的に有効になります。If you purchased your subscription or trial after October 21, 2019, and you're unexpectedly prompted for MFA, security defaults have been automatically enabled for your subscription.

    すべての新しい Microsoft 365 サブスクリプションのセキュリティの既定値が自動的に有効になります。Every new Microsoft 365 subscription will automatically have security defaults turned on. これは、すべてのユーザーが MFA を設定し、モバイルデバイスに Microsoft Authenticator アプリをインストールする必要があることを意味します。This means that every user will have to set up MFA and install the Microsoft Authenticator app on their mobile device.

    すべてのユーザーは、追加の検証方法として Microsoft Authenticator アプリを使用する必要があり、従来の認証はブロックされます。All users must use the Microsoft Authenticator app as their additional verification method and legacy authentication is blocked.

  • 条件付きアクセスポリシー (エンタープライズに推奨)Conditional Access policies (recommended for enterprises)

    ユーザーは、MFA 登録時に追加の確認方法を選択します。Users choose the additional verification method during MFA registration.

  • ユーザーごとのアカウント (推奨されません)Per-user account (not recommended)

    ユーザーは、MFA 登録時に追加の確認方法を選択します。Users choose the additional verification method during MFA registration.

手順 2。Step 2. パイロットユーザーの MFA をテストするTest MFA on your pilot users

条件付きアクセスポリシーまたはユーザーごとの MFA (推奨されません) を使用している場合は、「ビジネスまたは組織のパイロットユーザー」を選択して、MFA の登録とサインインをテストします。例えば:If you are using Conditional Access policies or per-user MFA (not recommended), select pilot users in your business or organization to test MFA registration and sign-ins. For example:

  • 条件付きアクセスポリシーの場合は、パイロットユーザーグループと、グループのメンバーとすべてのアプリに対して MFA を必要とするポリシーを作成します。For Conditional Access policies, create a pilot users group and a policy that requires MFA for the members of the group and for all apps. 次に、パイロットユーザーのアカウントをグループに追加します。Then, add your pilot user’s accounts to the group.

  • ユーザー単位の MFA の場合は、パイロットユーザーのユーザーアカウントに対して MFA を1度ずつ有効にします。For per-user MFA, enable MFA for the user accounts of your pilot users one a time.

パイロットユーザーと協力して、組織への円滑なロールアウトを準備するための質問や問題に対処します。Work with your pilot users to address questions and issues to prepare for a smooth roll out to your organization.

手順 3.Step 3. MFA が届くことを組織に通知するInform your organization that MFA is coming

従業員が理解していることを確認するために、電子メール通知、hallway ポスター、チーム会議、または公式トレーニングを使用します。Use email notifications, hallway posters, team meetings, or formal training to ensure that your employees understand:

最も重要なのは、従業員が驚いていないように、 MFA 要件を設定する時期を理解しておくことです。Most importantly, make sure your employees understand when the MFA requirement is going to be imposed so that it does not surprise them.

手順 4.Step 4. 組織またはユーザーに MFA 要件をロールアウトするRoll out the MFA requirement to your organization or users

選択した MFA 要件の方法に基づいて、パイロットテスト担当者以外の従業員に MFA 認証をロールアウトします。Based on your chosen MFA requirement method, roll out MFA authentication to the employees beyond your pilot testers.

セキュリティの既定値Security defaults

Azure portal で Azure Active Directory (Azure AD) の [プロパティ] ウィンドウを使用して、セキュリティの既定値を有効または無効にします。You enable or disable security defaults from the Properties pane for Azure Active Directory (Azure AD) in the Azure portal.

  1. グローバル管理者の資格情報を使用して、 Microsoft 365 管理センターにサインインします。Sign in to the Microsoft 365 admin center with global admin credentials.
  2. [Azure Active Directory-プロパティ] ページに移動します。Go to the Azure Active Directory - Properties page.
  3. ページの下部で、[セキュリティの既定値の管理] を選択します。At the bottom of the page, choose Manage Security defaults.
  4. [はい] を選択してセキュリティの既定値を有効にし、セキュリティの既定値を無効にして [保存] を選択します。Choose Yes to enable security defaults and No to disable security defaults, and then choose Save.

基準条件付きアクセスポリシーを使用している場合は、「セキュリティの既定値を使用して移動する方法」を参照してください。If you have been using baseline Conditional Access policies, here is how you move to using security defaults.

  1. [条件付きアクセスポリシー] ページに移動します。Go to the Conditional Access - Policies page.
  2. 有効になっているそれぞれベースラインポリシーを選択し、[ポリシーの有効化] を [オフ] に設定します。Choose each baseline policy that is On and set Enable policy to Off.
  3. [Azure Active Directory-プロパティ] ページに移動します。Go to the Azure Active Directory - Properties page.
  4. ページの下部で、[セキュリティの既定値の管理] を選択します。At the bottom of the page, choose Manage Security defaults.
  5. [はい] を選択してセキュリティの既定値を有効にし、セキュリティの既定値を無効にして [保存] を選択します。Choose Yes to enable security defaults and No to disable security defaults, and then choose Save.

条件付きアクセス ポリシーConditional Access policies

サインインのための MFA を必要とするユーザーのグループを含む適切なポリシーを作成、構成、および有効化します。Create, configure, and enable the appropriate policies that include the group of users that require MFA for sign-in.

ロールアウトに対応する MFA のユーザーアカウントを有効にします。Enable user accounts for MFA corresponding to your rollout.

従業員のサポートSupporting your employees

従業員が MFA を登録してサインインを開始する際には、IT 専門家、IT 部門、またはヘルプデスクが質問に答えて、問題を迅速に解決できるようにしてください。As your employees register and begin signing in with MFA, ensure that your IT specialists, IT department, or helpdesk can answer questions and address issues quickly.

MFA のサインインのトラブルシューティングについては、この記事を参照してください。See this article for information about troubleshooting MFA sign-ins.