ユーザーが必須の MFA を設定していることを確認する方法

このトピックでは、MFA を使用して Microsoft 管理ポータルにサインインするための要件を満たすように組織内のユーザーが設定されていることを確認する手順について説明します。 影響を受けるアプリケーションとアカウント、およびロールアウトのしくみの詳細については、「Azure やその他の管理ポータルにおける多要素認証の義務化の計画」を参照してください。

個人用アカウントの MFA を確認する

ユーザーは、個人用アカウントを使用して、少数のユーザーのみを対象とする Microsoft Entra テナントを作成する場合があります。 個人用アカウントを使用して Azure にサブスクライブした場合、次の手順を実行して、アカウントが MFA 用に設定されていることを確認します。

1. Microsoft アカウントの[高度なセキュリティ オプション] にサインインします。
2. [追加のセキュリティ] と [2 段階認証] で、[有効にする] を選択します。
3. 画面に表示される指示に従います。

詳細については、「Microsoft アカウントで 2 段階認証を使用する方法」を参照してください。

MFA でサインインするユーザーとサインインしないユーザーを検出する

MFA でサインインするユーザーとサインインしないユーザーを検出するには、次のリソースを使用します。

• ユーザーと認証方法のリストをエクスポートするには、PowerShell を使用します。
• クエリを実行してユーザーのログインを分析する場合、MFA を要求するアプリケーション のアプリケーション ID を使用します。

MFA の有効化を確認する

MFA を要求する管理ポータルと Azure クライアントにアクセスするすべてのユーザーに対して、MFA を使用するように設定する必要があります。 必須の MFA は、特権ロールに制限されません。 ベスト プラクティスとして、"いずれか" の管理ポータルにアクセスするすべてのユーザーは MFA を使用する必要があります。

ユーザーに対して MFA が設定されていることを確認し、必要に応じて MFA を有効にするには、次の手順を使用します。

1. グローバル閲覧者として Azure portal にサインインします。

2. ID>概要 を参照します。

3. テナント サブスクリプションのライセンスの種類を確認します。

4. MFA が有効であることを確認し、必要に応じて MFA を有効にするには、ライセンスの種類に応じた手順に従います。 これらの手順を完了するには、グローバル閲覧者としてサインアウトし、より高い特権のロールでもう一度サインインします。

   • Microsoft Entra ID P1 または Microsoft Entra ID P2
   • Microsoft 365 または Microsoft Entra ID Free

Microsoft Entra ID P1 または Microsoft Entra ID P2 ライセンスに対して MFA が有効になっていることを確認する

Microsoft Entra ID P1 または Microsoft Entra ID P2 のライセンスがある場合は、Microsoft 管理ポータルにアクセスするユーザーに MFA を要求する条件付きアクセス ポリシーを作成できます。

1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
2. [保護]>[条件付きアクセス]>[ポリシー] に移動します。
3. [新しいポリシー] を選択します。
4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
6. [含む] の下で、[すべてのユーザー] を選択するか、MFA を要求するアプリケーションにサインインするユーザーのグループを選択します。
7. [ターゲット リソース]>[クラウド アプリ]>[含める]、[アプリの選択] で、[Microsoft 管理ポータル] を選択します。
8. [アクセス制御]>[許可]の下で、[アクセス権の付与]、[認証強度が必要]、[多要素認証] の順に選択して、[選択] を選択します。
9. 設定を確認し、[ポリシーの有効化] を [レポート専用] に設定します。
10. [作成] を選択して、ポリシーを作成および有効化します。

詳細については、「一般的な条件付きアクセス ポリシー: Microsoft 管理ポータルにアクセスする管理者に多要素認証を要求する」を参照してください。

Microsoft 365 または Microsoft Entra ID Free に対して MFA が有効になっていることを確認する

Microsoft 365 または Microsoft Entra ID Free のライセンスがある場合は、セキュリティの既定値を使用して MFA を有効にすることができます。 ユーザーは必要に応じて MFA の入力を求められますが、独自のルールを定義して動作を制御することはできません。

次のようにして、セキュリティの既定値群を有効にします。

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。
2. ID>概要>プロパティ を参照します。
3. [セキュリティの既定値群の管理] を選択します。
4. [セキュリティの既定値群] を [有効] に設定します。
5. [保存] を選択します。

セキュリティの既定値の詳細については、「Microsoft Entra ID のセキュリティの既定値群」を参照してください。

セキュリティの既定値を使用しない場合は、ユーザーごとの MFA を有効にすることができます。 ユーザーを個別に有効にすると、ログインするたびに MFA を実行します。 認証管理者は、いくつかの例外を有効にすることができます。 ユーザーごとの MFA を有効にするには、次の手順を使用します。

1. 認証管理者以上の権限で Microsoft Entra 管理センターにサインインします。
2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
3. ユーザー アカウントを選択し、[MFA の有効化] をクリックします。
4. 開いたポップアップ ウィンドウで選択内容を確認します。

ユーザーを有効にした後は、ユーザーにメールで通知します。 次回のサインイン時に登録を要求するプロンプトが表示されることをユーザーに伝えます。 詳細については、「ユーザーごとの Microsoft Entra 多要素認証を有効にしてサインイン イベントをセキュリティで保護する」を参照してください。

関連するコンテンツ

MFA の詳細については、次のトピックを参照してください。

• Azure やその他の管理ポータルにおける多要素認証の義務化の計画
• チュートリアル: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護する
• Microsoft Entra 多要素認証でログイン イベントをセキュリティで保護
• Microsoft Entra 多要素認証の展開の計画
• フィッシングに強い MFA 方法
• Microsoft Entra 多要素認証
• 認証方法