![見出し画像](https://assets.st-note.com/production/uploads/images/81724473/rectangle_large_type_2_59cd59ebfa9c928c8e26a7b364a7a64c.jpeg?width=800)
今日からはじめる多要素認証(MFA)
近年、高まるセキュリティリスクに対応するために、多くのクラウドサービスで多要素認証(MFA:Multi-Factor Authentication)が実装されています。もちろん、Microsoft 365 でも Azure AD を利用した多要素認証を利用できますが、どのプランでは何がどこまでできるのか、マイクロソフトの技術ドキュメントを見ても正直分かりづらい・・・ 本記事では、ライセンスと利用可能なMFA機能、設定イメージをざっくりご紹介します。
多要素認証を利用するためのライセンスと機能
全ての Microsoft 365プランには、Azure AD Freeという無料ライセンスが付属しています。Azure AD Free だけでも MFA は設定可能ですが、MFA が求められる条件や認証方法に制限があります。自社のセキュリティポリシーや運用要件に応じて、適切なライセンスを選択してください。
Azure Active Directory のプランと価格
![](https://assets.st-note.com/img/1656565405299-SfwXUOz5r7.png?width=800)
①セキュリティの規定値群
テナント内のすべてのユーザーの多要素認証が一括で有効となる機能です。また、セキュリティの既定値群が有効化されているかどうかに関わらず、グローバル管理者権限が付与されている管理者ユーザーでは Microsoft 365 管理センターなどの GUI 上から多要素認証の有効化を行うことが可能です。
Azure AD のセキュリティの既定値群
テナントに対する機能の有効/無効のみ設定可能
(ユーザー毎、アクセス先などで条件を変える等は不可)条件付きアクセス ポリシーと共存不可
(条件付きアクセス ポリシーを作成すると本機能は利用できなくなる)認証方法は Authenticator アプリでの通知のみ(SMSや音声は利用不可)
![](https://assets.st-note.com/img/1656486440873-vWGpbNI0KC.jpg?width=800)
②ユーザーごとの多要素認証
全ての Microsoft 365プランで利用可能です。但し、セキュリティの既定値群を有効化した場合、または条件付きアクセスポリシーを作成した場合は[ユーザーごとの有効化は推奨されない]*ためご注意ください。
*設定してもエラーにはなりませんが、MFA の正常動作が保証されません
ユーザーごとの 多要素認証を有効にする
ユーザー毎に MFA の有効/無効が設定可能
(MFA 有効とされたユーザーのみ認証方法をセットアップする)認証方法は、Authenticator だけではなく電話 (SMS/音声) や OATH トークンも利用可能(利用できる認証方法もテナント全体で設定可能)
![](https://assets.st-note.com/img/1656486551092-KXhHll1oIc.jpg?width=800)
![](https://assets.st-note.com/img/1656487305061-XVlXPW9eKQ.jpg?width=800)
![](https://assets.st-note.com/img/1656487435169-fhS751DVUk.jpg?width=800)
③条件付きアクセス
条件付きアクセスポリシーを作成することで、特定の条件が発生したときにサインイン時のMFAを要求できます。この機能を使用するには、Azure AD Premium P1 ライセンスが必要です。要素としてデバイスを組み合わせる場合は Microsoft Intune のライセンスが必要となります。
条件付きアクセスとは
ユーザーごとだけではなく、セキュリティグループ単位でも MFA の有効/無効が設定可能
最終的にアクセスしたいサービスごとに MFA の有効/無効の設定可能
![](https://assets.st-note.com/img/1656567771444-5UJw0bohha.jpg?width=800)
![](https://assets.st-note.com/img/1656568906478-8Vve1LXYsP.jpg?width=800)
④リスクベースの条件付きアクセス
Azure AD Identity Protection のリスク検出によって、サインインのリスクが中または高以上(危険なサインインであることが疑わしい)と判定されたユーザーに対して動的にMFA を求めることができます。この機能を使用するには、Azure AD Premium P2ライセンスが必要です。
リスクとは?
![](https://assets.st-note.com/img/1656568839335-JUc4dwlAB1.jpg?width=800)
認証方法の登録
ユーザーは Microsoft 365 にサインインして、自分のサインイン>セキュリティ情報から認証方法を追加登録できます。
https://mysignins.microsoft.com/security-info
![](https://assets.st-note.com/img/1656573016492-tQD5xz26Cy.jpg?width=800)
![](https://assets.st-note.com/img/1656573275728-lm6wjASOEw.jpg?width=800)
おわりに
Microsoft の ID セキュリティ責任者、Alex Weinert は彼のブログ投稿「Your Pa$$word doesn't matter」で次のように言っています。
「重要なのはパスワードではなく、MFA です!」 私たちの研究によると、MFA を使用すると、アカウントは 99.9% 以上侵害されにくくなります。
2022年2月に Salesforce がMFAを必須化したことに代表されるように、もはやMFAは「現代のセキュリティの新常識」といっても過言ではありません。 まずは、お使いのMicrosoft 365 のアカウントでMFAを設定することを強くお勧めします。もちろん当社では全メンバが MFAを設定しています!
必要性は理解しているが自力では難しい…という場合は、当社でもお手伝いができるのでお気軽にご相談ください!