次の方法で共有

ユーザーごとの Microsoft Entra 多要素認証を有効にしてサインイン イベントをセキュリティで保護する

  • [アーティクル]

Microsoft Entra ID でユーザー サインイン イベントをセキュリティで保護するには、Microsoft Entra 多要素認証 (MFA) の要求を行うことができます。 Microsoft Entra MFA でユーザーを保護する最善の方法は、条件付きアクセス ポリシーを作成することです。 条件付きアクセスは Microsoft Entra ID P1 または P2 の機能であり、特定のシナリオの必要に応じて MFA を要求する規則を適用できるようになります。 条件付きアクセスの使用を開始するには、「 チュートリアル: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護する」を参照してください。

条件付きアクセスのない Microsoft Entra ID Free テナントの場合は、 セキュリティの既定値を使用してユーザーを保護できます。 ユーザーは必要に応じて MFA の入力を求められますが、独自のルールを定義して動作を制御することはできません。

必要によっては、代わりに各アカウントでユーザーごとの Microsoft Entra 多要素認証を有効にすることができます。 ユーザーを個別に有効にすると、サインインするたびに MFA が実行されます。 信頼された IP アドレスからサインインするときや、信頼された デバイスで MFA を記憶 する機能が有効になっている場合など、例外を有効にすることができます。

Microsoft Entra ID ライセンスに条件付きアクセスが含まれていないので、セキュリティの既定値を使用しない場合を除き、 ユーザーの状態 を変更することはお勧めしません。 MFA を有効にするさまざまな方法の詳細については、「 Microsoft Entra 多要素認証の機能とライセンス」を参照してください。

重要

この記事では、ユーザーごとの Microsoft Entra 多要素認証の状態を表示および変更する方法について詳しく説明しています。 条件付きアクセスまたはセキュリティの既定値を使用する場合、これらの手順を使用してユーザー アカウントを確認したり、有効にしたりしません。

条件付きアクセス ポリシーを使用して Microsoft Entra 多要素認証を有効にしても、ユーザーの状態は変更されません。 ユーザーが無効に見えても問題ありません。 条件付きアクセスでは、状態は変更されません。

条件付きアクセス ポリシーを使用する場合は、ユーザーごとの Microsoft Entra 多要素認証を有効または適用しないでください。

Microsoft Entra 多要素認証のユーザー状態

ユーザーの状態には、認証管理者がユーザーをユーザーごとの Microsoft Entra 多要素認証に登録したかどうかが反映されます。 Microsoft Entra 多要素認証のユーザー アカウントには、次の 3 つの異なる状態があります。

完了状態 説明 影響を受けるレガシ認証 ブラウザー アプリに影響があるか 影響を受ける先進認証
無効 既定の状態は、ユーザーごとの Microsoft Entra 多要素認証に登録されていないユーザーを表します。 いいえ いいえ いいえ
有効 ユーザーはユーザーごとの Microsoft Entra 多要素認証に登録されていますが、レガシ認証で引き続きパスワードを使用できます。 ユーザーが MFA 認証方法にまだ登録されていない場合は、先進認証を使用して次回サインインするとき (Web ブラウザーでサインインするときなど) に登録するように求められます。 いいえ。 レガシ認証は、登録プロセスが完了するまで機能し続けます。 はい。 セッションの有効期限が切れると、Microsoft Entra 多要素認証の登録が必要になります。 はい。 アクセス トークンの有効期限が切れると、Microsoft Entra 多要素認証の登録が必要になります。
強制 ユーザーは、Microsoft Entra 多要素認証でユーザーごとに登録されています。 ユーザーが認証方法にまだ登録されていない場合は、先進認証を使用して次回サインインするとき (Web ブラウザーでサインインするときなど) に登録するように求められます。 有効になっている間に登録を完了したユーザーは、自動的に強制状態に移動されます。 はい。 アプリはアプリ パスワードを必要とします。 はい。 サインイン時に Microsoft Entra 多要素認証が必要です。 はい。 サインイン時に Microsoft Entra 多要素認証が必要です。

すべてのユーザーが [無効] から開始します。 ユーザーをユーザーごとの Microsoft Entra 多要素認証に登録すると、ユーザーの状態は "有効" に変わります。 ユーザーがサインインして登録プロセスを完了すると、ユーザーの状態が [強制] に変わります。 管理者は、強制から有効または無効になど、ユーザーを状態間で移動できます

注意

ユーザーごとに MFA が再び有効になっていて、ユーザーが再登録しない場合、MFA の状態は MFA 管理 UI で [有効] から [ 強制] に切り替わりません。 管理者は、ユーザーを [ 強制] に直接移動する必要があります。

ユーザーの状態を表示する

Microsoft Entra 管理センターでのユーザーごとの MFA 管理エクスペリエンスが最近改善されました。 ユーザーの状態を表示および管理するには、次の手順を実行します。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。

  3. ユーザー アカウントを選択し、ユーザー MFA 設定選択します。

  4. 変更を加えた後、[ 保存] を選択します。

    ユーザーの MFA 設定の例を示すスクリーンショット。

    何千人ものユーザーを並べ替えようとすると、「表示するユーザーはいません」と結果が正常に返されることがあります 検索を絞り込むには、より具体的な検索条件を入力するか、特定の 状態 フィルターまたは ビュー フィルターを適用します。

    ユーザーリストの大規模な並べ替えをフィルター処理する方法の例を示すスクリーンショット。

ユーザーの状態を変更する

ユーザーのユーザーごとの Microsoft Entra 多要素認証の状態を変更するには、次の手順を実行します。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>Users に移動します。

  3. ユーザー アカウントを選択し、[ MFA を有効にする] を選択します。 Microsoft Entra 多要素認証のユーザーを有効にする方法を示すスクリーンショット。

    ヒント

    "有効" ユーザーは、Microsoft Entra 多要素認証に登録すると自動的に "適用" に切り替えられます。 ユーザーが既に登録されている場合、またはユーザーがレガシ認証プロトコルへの接続の中断を経験できる場合を除き、ユーザーの状態を手動で [ 強制] に変更しないでください。

  4. 開いたポップアップ ウィンドウで選択内容を確認します。

ユーザーを有効にした後は、ユーザーにメールで通知します。 次回のサインイン時に登録を要求するプロンプトが表示されることをユーザーに伝えます。 ブラウザーで実行されていないアプリケーションや先進認証をサポートしていないアプリケーションを組織で使用している場合は、アプリケーション パスワードを作成できます。 詳細については、「 アプリ パスワードを使用してレガシ アプリケーションで Microsoft Entra 多要素認証を適用する」を参照してください。

Microsoft Graph を使用してユーザーごとの MFA を管理する

ユーザーごとの MFA 設定を管理するには、Microsoft Graph REST API Beta を使用します。 認証リソースの種類を使用して、ユーザーの認証方法の状態を公開できます。

ユーザーごとの MFA を管理するには、users/id/authentication/requirements 内で perUserMfaState プロパティを使用します。 詳細については、「 strongAuthenticationRequirements リソースの種類」を参照してください

ユーザーごとの MFA 状態を表示する

ユーザーのユーザーごとの多要素認証状態を取得するには: 

GET /users/{id | userPrincipalName}/authentication/requirements

次に例を示します。

GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements

ユーザーがユーザーごとの MFA に対して有効になっている場合、応答は次のようになります。

HTTP/1.1 200 OK
Content-Type: application/json

{
  "perUserMfaState": "enforced"
}

詳細については、「 認証方法の状態を取得する」を参照してください。

ユーザーの MFA 状態を変更する

ユーザーの多要素認証の状態を変更するには、ユーザーの strongAuthenticationRequirements を使用します。 次に例を示します。

PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json

{
  "perUserMfaState": "disabled"
}

成功した場合、応答は次のようになります。

HTTP/1.1 204 No Content

詳細については、「 認証方法の状態を更新する」を参照してください。

次のステップ

Microsoft Entra 多要素認証設定を構成するには、「 Microsoft Entra 多要素認証設定の構成」を参照してください。

Microsoft Entra 多要素認証のユーザー設定を管理するには、「 Microsoft Entra 多要素認証を使用したユーザー設定の管理」を参照してください。

ユーザーが MFA を実行するように求められた理由、または求められなかった理由を理解するには、Microsoft Entra 多要素認証レポートをご覧ください。