Azure Active Directory B2C で多要素認証を有効にする

開始する前にこのページの上部にある ポリシーの種類 セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

Azure Active Directory B2C (Azure AD B2C) は Microsoft Entra 多要素認証 と直接統合されるため、アプリケーションのサインアップとサインインエクスペリエンスに第 2 のセキュリティレイヤーを追加できます。 サインアップとサインインのユーザー フローを既に作成している場合でも、多要素認証を有効にできます。

この機能アプリケーションを使用すると、次のような複数のシナリオを処理できます。

• あるアプリケーションにアクセスするために多要素認証を要求するが、別のアプリケーションにアクセスする必要はない。 たとえば、顧客は、ソーシャル アカウントまたはローカル アカウントを使用して自動保険アプリケーションにサインインできますが、同じディレクトリに登録されている自宅保険申請にアクセスする前に電話番号を確認する必要があります。
• 一般的にアプリケーションにアクセスするために多要素認証を要求するが、アプリケーション内の機密性の高い部分にアクセスする必要はない。 たとえば、顧客はソーシャル アカウントまたはローカル アカウントを使用して銀行アプリケーションにサインインし、口座残高を確認できますが、電信送金を試みる前に電話番号を確認する必要があります。

[前提条件]

検証方法

条件付きアクセスのユーザーは、管理者として行うことができる構成の決定に基づいて MFA に対してチャレンジされる場合と、チャレンジされない場合があります。 多要素認証の方法は次のとおりです。

• 電子メール - サインイン中に、ワンタイム パスワード (OTP) を含む確認メールがユーザーに送信されます。 ユーザーは、電子メールで送信された OTP コードをアプリケーションに提供します。
• SMS または電話 - 最初のサインアップまたはサインイン時に、ユーザーは電話番号の入力と確認を求められます。 その後のサインイン時に、ユーザーは [ コードの送信 ] または [ 通話 ] オプションを選択するように求められます。 ユーザーの選択に応じて、テキスト メッセージが送信されるか、確認済みの電話番号に電話をかけ、ユーザーを識別します。 ユーザーは、テキスト メッセージを介して送信された OTP コードを提供するか、電話を承認します。
• 電話のみ - SMS または電話のオプションと同じ方法で機能しますが、通話のみが行われます。
• SMS のみ - SMS または電話呼び出しオプションと同じ方法で動作しますが、テキスト メッセージのみが送信されます。
• Authenticator アプリ - TOTP - ユーザーは、所有するデバイスに、 Microsoft Authenticator アプリなどの時間ベースのワンタイム パスワード (TOTP) 検証をサポートする認証アプリをインストールする必要があります。 最初のサインアップまたはサインイン時に、ユーザーは QR コードをスキャンするか、認証アプリを使用して手動でコードを入力します。 以降のサインイン時に、ユーザーは認証アプリに表示される TOTP コードを入力します。 Microsoft Authenticator アプリを設定する方法を参照してください。

多要素認証を設定する

認証アプリを使用して TOTP にユーザーを登録する (エンド ユーザー向け)

Azure AD B2C アプリケーションで MFA に TOTP オプションを使用する場合、エンド ユーザーは認証アプリを使用して TOTP コードを生成する必要があります。 ユーザーは、 Microsoft Authenticator アプリ 、または TOTP 検証をサポートする他の認証アプリを使用できます。 Microsoft Authenticator アプリを使用する場合、Azure AD B2C システム管理者は、次の手順を使用して Microsoft Authenticator アプリを設定するようにエンド ユーザーにアドバイスする必要があります。

1. Android または iOS モバイル デバイスに Microsoft Authenticator アプリをダウンロードしてインストールします。
2. MFA (Contoso Webapp など) に TOTP を使用する必要がある Azure AD B2C アプリケーションを開き、必要な情報を入力してサインインまたはサインアップします。
3. 認証アプリを使用して QR コードをスキャンしてアカウントを登録するように求められた場合は、スマートフォンで Microsoft Authenticator アプリを開き、右上隅にある 3 つの点線 のメニュー アイコン (Android の場合) または + メニュー アイコン (iOS の場合) を選択します。
4. [ + アカウントの追加] を選択します。
5. その他のアカウント (Google、Facebook など) を選択し、Azure AD B2C アプリケーションに表示されている QR コードをスキャンしてアカウントを登録します。 QR コードをスキャンできない場合は、アカウントを手動で追加できます。
   1. 電話の Microsoft Authenticator アプリで、[コードを手動で入力] を選択します。
   2. Azure AD B2C アプリケーションで、[ 問題が解決しない] を選択します。 アカウント 名 と シークレットが表示されます。
   3. Microsoft Authenticator アプリで アカウント名 と シークレット を入力し、[ 完了] を選択します。
6. Azure AD B2C アプリケーションで、[続行] を選択 します。
7. [ コードの入力] に、Microsoft Authenticator アプリに表示されるコードを入力します。
8. [ 確認] を選択します。
9. その後アプリケーションにサインインする際に、Microsoft Authenticator アプリに表示されるコードを入力します。

OATH ソフトウェア トークンについて

ユーザーの TOTP 認証システム登録を削除する (システム管理者向け)

Azure AD B2C では、ユーザーの TOTP 認証アプリの登録を削除できます。 その後、ユーザーは、TOTP 認証をもう一度使用するためにアカウントの再登録を強制されます。 ユーザーの TOTP 登録を削除するには、 Azure portal または Microsoft Graph API を使用できます。

Azure portal を使用して TOTP 認証アプリの登録を削除する

1. Azure portal にサインインします。
2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
3. 左側のメニューで、[ユーザー] を選択 します。
4. TOTP 認証アプリの登録を削除するユーザーを検索して選択します。
5. 左側のメニューで、[ 認証方法] を選択します。
6. [ 使用可能な認証方法] で、[ ソフトウェア OATH トークン] を見つけて、その横にある省略記号メニューを選択します。 このインターフェイスが表示されない場合は、[ 新しいユーザー認証方法に切り替える] オプションを選択します。新 しい認証方法のエクスペリエンスに切り替えるには、ここをクリックして今すぐ使用してください。
7. [削除] を選択してから、 [はい] を選択して確定します。

Microsoft Graph API を使用して TOTP 認証アプリの登録を削除する

Microsoft Graph API を使用して ユーザーのソフトウェア OATH トークン認証方法を削除 する方法について説明します。

国や地域別の SMS 価格帯

次の表は、さまざまな国または地域にわたる SMS ベースの認証サービスのさまざまな価格帯の詳細を示しています。 価格の詳細については、 Azure AD B2C の価格に関するページを参照してください。

SMS はアドオン機能であり、リンクされたサブスクリプションが必要です。 サブスクリプションの有効期限が切れた場合、またはサブスクリプションが取り消された場合、エンド ユーザーは SMS を使用して認証できなくなります。そのため、MFA ポリシーに応じてユーザーのサインインがブロックされる可能性があります。