パスワードは、ユーザーを認証する最も一般的な方法ですが、最も脆弱な方法でもあります。 People多くの場合、脆弱で推測しやすいパスワードを使用し、異なるサービスで同じ資格情報を使用します。
追加レベルのセキュリティを提供するには、多要素認証 (MFA、2 要素認証、または 2FA とも呼ばれます) では、次に基づくユーザー サインインの 2 番目の検証方法が必要です。
- ユーザーが持つ、簡単に複製されないもの。 たとえば、スマートフォンなどです。
- ユーザー固有のもの。 たとえば、指紋やその他の生体認証属性などです。
追加の検証方法は、パスワードが検証された後にのみ使用されます。 強力なユーザー パスワードが侵害された場合でも、攻撃者はサインインを完了するためのユーザーのスマートフォンや指紋を持っていません。
ビジネス組織向け Microsoft 365 を含む Microsoft 365 組織で MFA を有効にする方法については、次のセクションで説明します。
構成手順については、「 Microsoft 365 の MFA を設定する」を参照してください。
セキュリティの既定値
セキュリティの既定値は、Microsoft Entra ID Free を使用して、すべての Microsoft 365 組織で変更できないポリシーのセットです。
セキュリティの既定値には、次のセキュリティ機能が含まれます。
- Microsoft Authenticator アプリまたは OATH TOTP をサポートする Microsoft 以外の認証アプリを使用して、すべてのユーザーと管理者にMicrosoft Entra多要素認証 (MFA) の登録を要求します。
- サインインするたびに管理者アカウントに MFA を要求します。
- 必要に応じてユーザーに MFA を要求します (新しいデバイスなど)。
- 従来の認証プロトコル (古いメール クライアントの POP3 や IMAP4 など) をブロックします。
- Azure Resource Manager サービス (Microsoft Azure portalなど) にアクセスするユーザーと管理者に MFA を要求します。
セキュリティの既定値は、organizationでオンまたはオフのいずれかです。 2019 年 10 月以降に作成された Microsoft 365 組織では、セキュリティの既定値 (そのため、MFA) が既定で有効になっているため、新しいorganizationでセキュリティの既定値や MFA を有効にするために何もする必要はありません。 多くの組織では、セキュリティの既定値は、適切なベースライン レベルのサインイン セキュリティを提供します。
セキュリティの既定値と適用されるポリシーの詳細については、「セキュリティの 既定値でのセキュリティ ポリシーの適用」を参照してください。
セキュリティの既定値を構成するには、「 セキュリティの既定値を管理する」を参照してください。
条件付きアクセス ポリシー
セキュリティの既定値を使用する代わりに、条件付きアクセス ポリシーは、Microsoft Entra ID P1 または P2 を持つ組織で使用できます。 たとえば、次のような情報が含まれます。
- Microsoft 365 Business Premium (Microsoft Entra ID P1)
- Microsoft 365 E3 (Microsoft Entra ID P1)
- Microsoft 365 E5 (Microsoft Entra ID P2)
- アドオン サブスクリプション
ヒント
Microsoft Entra ID P2 を持つ組織も、Microsoft Entra ID 保護にアクセスできます。 条件付きアクセス ポリシーを作成して、 昇格されたサインイン リスクに多要素認証を要求できます。 詳細については、「Microsoft Entra ID 保護とは」を参照してください。
ユーザーがアプリケーションまたはサービスへのアクセスを許可される前に、サインイン イベントに反応する条件付きアクセス ポリシーを作成します。 organizationに複雑なセキュリティ要件がある場合、またはセキュリティ ポリシーをきめ細かく制御する必要がある場合は、セキュリティの既定値ではなく条件付きアクセス ポリシーを使用できます。
重要
組織は、セキュリティの既定値または条件付きアクセス ポリシーを使用できますが、両方を同時に使用することはできません。 条件付きアクセス ポリシーでは、セキュリティの既定値をオフにする必要があるため、すべてのユーザーのベースラインとして、条件付きアクセス ポリシーのセキュリティの既定値からポリシーを再作成することが重要です。
条件付きアクセス ポリシーの詳細については、「 条件付きアクセスとは」を参照してください。
条件付きアクセス ポリシーを構成するには、「 条件付きアクセス ポリシーの管理」を参照してください。
従来のユーザーごとの MFA (推奨されません)
ビジネス上の理由でセキュリティの既定値または条件付きアクセスを使用できない場合、最後のオプションは、個々のMicrosoft Entra ID アカウントにレガシ MFA を使用することです。 このオプションは、Microsoft Entra ID Free プランで表示できます。 管理者ロール (特にグローバル管理者ロール) を持つアカウントには MFA を強くお勧めします。
構成手順については、「ユーザーごとのMicrosoft Entra多要素認証を有効にしてサインイン イベントをセキュリティで保護する」を参照してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。 詳細については、「Microsoft 365 管理センターの管理者ロールについて」を参照してください。
MFA メソッドの比較
次の表は、セキュリティの既定値、条件付きアクセス ポリシー、またはユーザー ごとのアカウント設定で MFA を有効にした結果を示しています。
| メソッド | メソッドが有効 | メソッドが無効 | 使用可能な認証方法 |
|---|---|---|---|
| セキュリティの既定値 | セキュリティの既定値が有効になっている場合は、新しい条件付きアクセス ポリシーを作成できますが、有効にすることはできません。 | セキュリティの既定値をオフにした後、条件付きアクセス ポリシーを有効にすることができます。 | Microsoft Authenticator アプリ 、または OATH TOTP をサポートする Microsoft 以外の認証アプリ。 |
| 条件付きアクセス ポリシー | 1 つ以上の条件付きアクセス ポリシーが任意の状態 (オフ、 オン、または レポートのみ) に存在する場合、セキュリティの既定値を有効にすることはできません。 | 条件付きアクセス ポリシーがない場合は、セキュリティの既定値を有効にすることができます。 |
Microsoft Authenticator アプリ 、または OATH TOTP をサポートする Microsoft 以外の認証アプリ。 構成された認証強度に応じて、他の 認証方法も使用できる場合があります。 |
| 従来のユーザーごとの MFA (推奨されません) | 各サインインで MFA を必要とするセキュリティの既定値と条件付きアクセス ポリシーをオーバーライドします。 | セキュリティの既定値または条件付きアクセス ポリシーによってオーバーライドされる | MFA 登録中にユーザーが指定 |
次の手順
管理者:
ユーザー: 多要素認証用に Microsoft 365 サインインを設定 し、次のビデオを参照してください。
関連コンテンツ
多要素認証を有効にする (ビデオ)
スマートフォンの多要素認証をオンにする (ビデオ)