Microsoft は、サインイン先の先進認証アプリに関係なく、MFA 登録を要求するように Microsoft Entra ID Protection ポリシーを構成することで、多要素認証 (MFA) の展開を管理するのに役立ちます。 多要素認証は、ユーザー名とパスワードに加えて、その他の要素を使用することでユーザーを確認する手段を提供します。 ユーザーのサインインに第 2 のセキュリティ層を提供します。ユーザーが MFA プロンプトに応答できるようにするには、まず、Microsoft Authenticator アプリなどの認証方法を登録する必要があります。
ユーザーのサインインに対して多要素認証を要求することをお勧めします。Microsoft の調査によると、MFA を使用した場合、アカウントが侵害されるリスクは 99% 以上低下します。 常に MFA を必要としない場合でも、このポリシーにより、MFA が必要なときにユーザーの準備が整います。
詳細については、「一般的な条件付きアクセス ポリシー: すべてのユーザーに対して MFA を必須にする」の記事を参照してください。
ポリシーの構成
- セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
-
ID Protection>Dashboard>Multifactor 認証登録ポリシーを参照します。
-
[割り当て]>[ユーザー]。
- [含める] の下で [すべてのユーザー] またはロールアウトを制限する場合は [個人とグループの選択] を選択します。
- [除外] で、 [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
-
[割り当て]>[ユーザー]。
- [ポリシーの適用] を [有効] に設定します。
- [保存] を選択します。
ユーザー エクスペリエンス
Microsoft Entra ID Protection は、次回対話形式でサインインする際に登録するようユーザーに求め、登録を完了するまでに 14 日間かかります。 この 14 日間は、条件として MFA が必要ない場合は登録をバイパスできますが、期間の終了時に、サインイン プロセスを完了する前に登録する必要があります。
関連するユーザー エクスペリエンスの概要については、次を参照してください。