最終更新日:2026年5月25日
近年、パスワードのみに依存したセキュリティ対策では、不正アクセスや情報漏えいのリスクを十分に防ぎきれないケースが増えています。
こうした背景から注目されているのが、「多要素認証(MFA)」の導入です。
Microsoft 365では、スマートフォンのアプリを使った認証や、パスワードの入力自体が不要な「パスワードレス認証」など、さまざまな多要素認証(MFA)の仕組みを利用できます。
とは言え、
「実際にどんな設定方法があるの?」
「自社に合った方法はあるだろうか?」
といった疑問を抱えている方も多いのではないでしょうか。
そこで今回は、多要素認証(MFA)の基礎知識から、Microsoft 365で使える具体的な認証方法、設定手順、導入前に知っておくべき注意点を分かりやすく解説します。
Microsoft 365によるセキュリティ強化を検討している企業の情シス担当者の方は、ぜひ参考にしてください。
ICT × Optimization × Navigator = ION(イオン)
情シスが「1人で抱え込まない」環境を実現します
情シスの「誰か手伝って・・・」を現実に。
あなたの頼れる”ナビゲーター”として、共に最適解を見つけ出します。
システム企画から運用・保守、インフラ管理、セキュリティ対策、Microsoft 365活用まで、ITまわりの「困った」を幅広くサポートいたします。
「全部任せたい」も、
「この部分だけ手伝ってほしい」もOK。
専門性の高いものから定常的な作業まで、情シス業務の中から必要な部分だけを柔軟にご依頼いただけます。
目次
1.多要素認証(MFA)とは?
多要素認証(Multi Factor Authentication/MFA)は、Webサービスなどへのログイン時に、「知識情報」「所持情報」「生体情報」のうち、異なる2つ以上の認証要素を組み合わせて本人確認を行うセキュリティ対策です。
例えば、パスワード(知識情報)に加え、スマートフォンの認証アプリによる確認(所持情報)を求めるなど、複数の認証要素を組み合わせることで、パスワードだけでは防げない不正アクセスのリスクを大幅に減らすことができます。
多要素認証の必要性
近年、サイバー攻撃の手口はますます多様化・巧妙化しており、ID・パスワードだけに頼った認証ではセキュリティを十分に確保することが難しくなっています。
特に、クラウドサービスの普及やリモートワークの増加に伴い、社外からアクセスする機会が増える中で、アカウント情報の漏えいや不正ログインのリスクが高まっているのが現状です。
さらに、多くのユーザーが、覚えやすさを優先して単純なパスワードを設定したり、複数のサービスで同じパスワードを使い回していることも、リスクを拡大させている要因の1つとなっています。
こうした背景から注目されているのが「多要素認証(MFA)」です。
パスワードに加えて、スマートフォンや生体認証などの別の手段を組み合わせることで、仮にパスワードが漏えいしても、他の認証要素が突破されない限り、第三者からの不正アクセスを高確率で防ぐことができます。
2.多要素認証で使われる3つの要素
多要素認証(MFA)では、本人確認の際に「知識情報」「所持情報」「生体情報」という3つの要素のうち、異なる2つ以上の要素を組み合わせて認証を行います。
| 要素 | 内容 | 主な例 | 特徴 |
|---|---|---|---|
| 知識情報 (Something You Know) |
本人しか知らない情報 |
|
|
| 所持情報 (Something You Have) |
本人が物理的に持っているもの |
|
|
| 生体情報 (Something You Are) |
本人の身体的特徴 |
|
|
知識情報
パスワードや暗証番号、秘密の質問など、「ユーザー本人しか知らない情報」をもとに認証を行います。
【メリット】
- 導入が簡単(特別な機器が不要)
- コストが低い(多くのサービスで標準搭載)
- リセットや再発行が容易
【デメリット】
- 忘れやすい(記憶に依存)
- 使い回しによるリスク(同じパスワードを複数サービスで使用するなど)
- サイバー攻撃に弱い(フィッシング、辞書攻撃、総当たり攻撃などで突破されやすい)
- 漏えい時のリスクが大きい(一度流出すると誰でもなりすましが可能)
所持情報
SMS認証におけるスマートフォンや、ICカード、ハードウェアトークンなど、「ユーザー本人しか所持していないもの」をもとに認証を行います。
【メリット】
- 物理的に所有していないと認証できないため、第三者によるなりすましが難しい
- 一時的な認証情報(ワンタイムパスワードなど)は使い捨てなので、漏えいしても再利用が困難
- 知識情報と組み合わせることで、セキュリティが大幅に向上
【デメリット】
- 紛失・盗難により、第三者に悪用されるリスク
- 破損やバッテリー切れによる利用不可リスク
- 所持物が手元にないと認証できない
- 導入・管理・保守コストがかかる場合がある
生体情報
ユーザー自身の顔・指紋・虹彩・静脈など、「人それぞれに異なる身体的特徴」をもとに認証を行います。
生体情報を用いた認証方法は、3つの要素の中で最も安全性が高いと言われています。
【メリット】
- なりすましが困難(各個人で固有の情報のため、偽造や複製が難しい)
- 持ち歩き不要(本人の身体そのものが認証キー)
- 忘れるリスクがない(パスワードのように「忘れる」心配がない)
- 紛失リスクがない(ICカードやトークンのように「紛失する」心配がない)
- 利便性が高い(スマホなどを使って短時間でスピーディーに認証が完了)
【デメリット】
- 導入コストがかかる(生体情報を読み取るための専用デバイスが必要)
- 認証エラーが起こることがある(環境や体調による影響などで)
- 漏えい時のリスクが大きい(パスワードのように「再発行」ができない)
- プライバシーリスク(生体情報の保存・管理に慎重さが求められる)
- 意識のない状態での不正利用(寝ている間に第三者が指紋や顔を使って勝手に認証するリスク)
3.「多段階」認証と「多要素」認証の違い
認証と多要素(二要素)認証の違い-1024x453.png)
二段階認証を含む「多段階認証」や、二要素認証を含む「多要素認証」は、言葉こそ似ていますが、セキュリティの仕組みはそれぞれ異なります。
多段階認証(二段階認証)の仕組み
「多段階認証」とは、ログイン時に本人確認を2回以上のステップで行う仕組みのことです。
「二段階認証」は「多段階認証」の一部で、認証を2つのステップに分けて行います。
「認証の回数が複数あること」が特徴であり、使用する要素の種類に制限はありません。
【二段階認証の具体例】
- IDとパスワードを入力した後、秘密の質問に答える(知識情報+知識情報)
- パスワード入力後、SMSで届く認証コードを入力する(知識情報+所持情報)
パスワード(=知識情報)を入力した後に、秘密の質問の答え(=知識情報)を入力する場合など、同じ種類の要素で複数回認証を行うケースでも多段階認証(二段階認証)に該当します。
ただし、すべて同じ種類の認証要素(例:知識情報のみ)で構成されている場合、万が一情報が漏えいした際に他の認証も芋づる式に突破されてしまうリスクが高く、セキュリティ効果は限定的です。
より安全性を高めるには、後述する「多要素認証(MFA)」のように、異なる種類の要素(知識情報・所持情報・生体情報)を組み合わせた認証方式を導入することが推奨されます。
多要素認証(二要素認証)の仕組み
「多要素認証(MFA)」は、異なる種類の認証要素を2つ以上組み合わせて本人確認を行う認証方式です。
「二要素認証」(2FA)は「多要素認証(MFA)」の一部で、知識情報・所持情報・生体情報という3つの認証要素のうち、異なる2種類を用いた認証方法を指します。
「複数の異なる要素を使うこと」が最大の特徴であり、同じ種類の要素だけでも認証を行える多段階認証(二段階認証)と比べ、強固なセキュリティを実現します。
【二要素認証の具体例】
- パスワード入力後、スマホに届いた認証コードを入力する(知識情報+所持情報)
- パスワード入力後、顔認証で本人確認を行う(知識情報+生体情報)
「パスワード」と「秘密の質問」のように、同じ要素(どちらも知識情報)で構成された認証は、多要素認証には該当しません。
多要素認証の強みは、異なる認証要素を組み合わせることで、万が一1つの要素が漏えいしても他の要素でブロックし、不正アクセスを未然に防げる点にあります。
仮にパスワード(知識情報)が漏えいしてしまっても、別の要素であるスマートフォン(所持情報)が手元になければログインできないため、なりすましや不正アクセスのリスクを大幅に軽減できます。
ICT × Optimization × Navigator = ION(イオン)
情シスが「1人で抱え込まない」環境を実現します
情シスの「誰か手伝って・・・」を現実に。
あなたの頼れる”ナビゲーター”として、共に最適解を見つけ出します。
システム企画から運用・保守、インフラ管理、セキュリティ対策、Microsoft 365活用まで、ITまわりの「困った」を幅広くサポートいたします。
「全部任せたい」も、
「この部分だけ手伝ってほしい」もOK。
専門性の高いものから定常的な作業まで、情シス業務の中から必要な部分だけを柔軟にご依頼いただけます。
4.Microsoft 365で利用できる多要素認証
Microsoft 365では、クラウドベースのID・アクセス管理サービス「Microsoft Entra ID」を利用し、多要素認証(MFA)を手軽に導入できます。
Entra IDで利用できる代表的な認証手段は、主に以下の5種類です。
- Microsoft Authenticatorアプリ
- SMSコード
- 音声通話
- FIDO2セキュリティキー
- Windows Hello for Business
Microsoft Authenticatorアプリ
Microsoft Authenticatorは、Microsoftが提供する認証アプリです。
スマートフォンを利用した認証方式の中心となる手段であり、現在Microsoft社が最も推奨している認証方法の1つです。
Microsoft Authenticatorアプリでは、主に以下4種類の認証方法を利用できます。
- プッシュ通知認証
- パスワードレス認証
- パスキー認証
- OATH確認コード(TOTP)
プッシュ通知認証
Microsoft Authenticatorアプリに届くプッシュ通知を承認して本人確認を行う認証方式です。
現在のMicrosoft 365では、Microsoft Authenticatorアプリへのプッシュ通知で「承認」ボタンを押すだけの形式から、画面に表示された2桁の数字をアプリに入力する「番号一致」機能が標準として利用されています。
ワンタイムコード入力よりも操作が簡単で、不審なログイン通知をその場で拒否できる点が特徴です。
認証の流れ
- IDとパスワードを入力
- スマートフォンのAuthenticatorアプリに通知が届く
- サインイン画面に表示された2桁の数字をアプリへ入力
- サインイン完了
パスワードレス認証
パスワードを入力せずに、Microsoft Authenticatorアプリだけでサインインする認証方式です。
パスワードを入力する代わりに、「本人が所有しているスマートフォン」と「本人しか解除できない生体認証/PINコード」を組み合わせて本人確認を行います。
パスワードの漏えいや使い回しのリスクを根本から解消できるため、利便性と安全性を両立できる認証方式として注目されています。
認証の流れ
- ユーザーIDを入力
- サインイン画面に2桁の数字が表示される
- スマートフォンのAuthenticatorアプリに同じ数字を入力
- スマートフォンの生体認証またはパスコードで本人確認
- サインイン完了
パスキー認証
Microsoft Authenticatorアプリ内に保存された「パスキー」を使ってサインインする認証方式です。
パスキーはFIDO2/WebAuthnベースの新しい認証技術であり、パスワードを使わずに高いセキュリティを実現できます。
Microsoft Authenticatorのパスキーは、デバイスに紐づいて安全に管理される仕組みとなっており、フィッシング耐性が非常に高い点が特徴です。
認証の流れ
- ユーザーIDを入力
- Authenticatorアプリの「パスキー」を選択
- 生体認証またはPIN認証を実施
- サインイン完了
OATH確認コード(TOTP)
Microsoft Authenticatorアプリ内に表示される「6桁のワンタイムコード」を入力して認証する方式です。
「TOTP(Time-based One-Time Password)」は、現在の時刻に基づき一定時間だけ有効な使い捨てのパスワードを生成する仕組みで、盗用や使い回しのリスクを大きく軽減できます。
スマートフォンがオフライン環境でも利用できるため、プッシュ通知が使えない場面の代替手段として有効です。
また、OATH規格に対応した他の認証アプリでも利用できるため、Microsoft 365に限らず幅広いサービスの認証に活用できます。
認証の流れ
- IDとパスワードを入力
- Authenticatorアプリを開く
- 表示された6桁のコードを入力
- サインイン完了
SMSコード
スマートフォンのSMS(ショートメッセージ)に送信される確認コードを利用して本人確認を行う認証方式です。
IDとパスワードを入力した後にSMSへ届く一時的な確認コードを入力することで、認証が完了します。
専用アプリが不要で、ITに不慣れなユーザーでも利用しやすい点が特徴です。
一方で、盗聴やSIMスワップ詐欺(電話番号の乗っ取り)などのセキュリティリスクがあるため、Microsoft AuthenticatorアプリやFIDO2キーなど、より安全な認証方式の利用が推奨されています。
認証の流れ
- IDとパスワードを入力
- 「認証用電話」を選択
- 「テキストメッセージを送信する」を選択
- スマートフォンのSMSに6桁の確認コードが届く
- 届いたコードをサインイン画面に入力
- サインイン完了
音声通話
自身の電話番号にかかってきた自動音声の電話に従って本人確認を行う認証方式です。
IDとパスワードを入力した後に発信される電話を受け、自動音声で読み上げられる一時的な確認コードを入力することで、認証が完了します。
スマートフォンに専用アプリをインストールする必要がなく、固定電話でも利用できるため、導入ハードルが低い点が特徴です。
一方で、盗聴や電話番号の乗っ取りといったリスクがあるほか、通話環境によっては音声が聞き取りにくい場合もあるため、Microsoft AuthenticatorアプリやFIDO2キーなど、より安全な認証方式の利用が推奨されています。
認証の流れ
- IDとパスワードを入力
- 「認証用電話」を選択
- 「電話する」を選択
- 登録した電話番号に自動音声の電話がかかってくる
- 音声で読み上げられるコードを確認
- サインイン画面にコードを入力
- サインイン完了
FIDO2セキュリティキー
国際標準規格「FIDO2」に対応したハードウェアのセキュリティキーを利用し、本人確認を行う認証方式です。
USBやNFC対応のセキュリティキーを端末に接続し、追加で生体認証やPINコードによる認証を行います。
パスワード入力を必要としないため、漏えいや使い回しといったパスワード特有のリスクを回避できます。
また、物理的なセキュリティキーを所持しているだけでなく、生体認証やPINコードによる認証も必要となるため、不正アクセス対策としても非常に効果的です。
認証の流れ
- ユーザーIDを入力
- 「セキュリティキーでサインイン」を選択
- セキュリティキーをUSB接続またはNFCで読み取り
- 生体認証またはPIN認証を実施
- サインイン完了
Windows Hello for Business
Windows Hello for Businessは、パスワードを使用せず、生体認証やPINコードによる認証だけでWindowsデバイスにサインインできる認証方式です。
Microsoft Entra IDに登録されたWindowsデバイスで利用でき、パスワードを入力せずにMicrosoft 365へ安全にサインインできます。
生体情報はデバイス内で暗号化して保護され、外部サーバーへ直接送信されることはありません。
そのほか、生体認証やPINコードは端末ごとに紐づいているため、別の端末から不正利用されにくい仕組みとなっています。
認証の流れ
- Windows端末で生体認証やPIN認証を実施
- デバイス内の秘密鍵を使って認証情報に署名
- Microsoft Entra IDが署名を検証
- 検証が成功するとサインイン完了
5.Microsoft 365でおすすめの認証方法
Microsoft 365環境では、「誰が利用するか」によっておすすめの認証方法は異なります。
一般ユーザー用、管理者用、バックアップ用としては、以下のように認証方式を使い分けるのがおすすめです。
一般ユーザー(社員)
- Microsoft Authenticatorアプリの「プッシュ通知認証」
- Microsoft Authenticatorアプリの「パスワードレス認証」
- Microsoft Authenticatorアプリの「パスキー認証」
管理者(情シス担当者)
- FIDO2セキュリティキー
- Windows Hello for Business
バックアップ用
- OATH確認コード(TOTP)
一般ユーザー(社員)用
- Microsoft Authenticatorアプリの「プッシュ通知認証」
- Microsoft Authenticatorアプリの「パスワードレス認証」
- Microsoft Authenticatorアプリの「パスキー認証」
一般ユーザーには、Microsoft Authenticatorアプリを利用した認証方式がおすすめです。
従来のプッシュ通知認証では、攻撃者から大量に送りつけられた通知を誤って承認してしまう「MFA疲労攻撃(MFA Fatigue Attack)」が課題とされていました。
そのため、Microsoft Authenticatorアプリの「プッシュ通知認証」では、サインイン画面に表示された2桁の数字をアプリに入力する「番号一致」機能が採用されています。
単純に「承認」ボタンを押すだけではないため、不正な通知を誤って許可してしまうリスクを抑えながら、比較的シンプルな操作で認証を行えるようになっています。
また、2桁の数字を入力する操作に慣れている場合は、「パスワードレス認証」もおすすめです。
パスワードレス認証では、パスワードを入力する代わりに、画面に表示された2桁の数字をMicrosoft Authenticatorアプリへ入力し、スマートフォンの生体認証やパスコードによって本人確認を行います。
パスワードそのものを利用しないため、漏えいや使い回しのリスクを抑えながら、安全かつスムーズにサインインできます。
さらに、将来的には「パスキー認証」への移行もおすすめです。
パスキー認証は、Microsoft Authenticatorアプリ内に保存された「パスキー」を利用してサインインする認証方式です。
パスワードを使わず、スマートフォンの生体認証やパスコードだけで本人確認を行えるほか、認証情報がデバイスに紐づいて安全に管理されているため、フィッシング攻撃への耐性が非常に高くなっています。
利便性とセキュリティを両立しやすく、今後さらに普及が進むと考えられている認証方式です。
管理者(情シス担当者)用
- FIDO2セキュリティキー
- Windows Hello for Business
管理者アカウント(特権ID)は、システム全体への強力な権限(設定変更・アクセス制御など)を持つため、攻撃者から常に狙われています。
万が一管理者アカウントが奪取されると、情報漏えい、マルウェア感染、システム破壊など、甚大な被害につながるリスクがあり、一般ユーザーよりも強固な認証方式を導入することが重要です。
おすすめは、FIDO2ベースの認証方式です。
FIDO2セキュリティキーを利用した認証は、専用の物理キーをUSBやNFCで端末に接続するだけでなく、生体認証やPINコードによる本人確認も行う必要があります。
「物理キーの所持」と「生体認証/PIN認証」のどちらが欠けてもサインインできないため、第三者による不正利用を防ぎやすい点が特徴です。
また、Windows Hello for Businessもおすすめです。
Windows端末内で認証情報を安全に管理しながら、生体認証やPINコードのみで安全にサインインできるため、パスワード漏えいを起点とした攻撃への対策としても有効です。
バックアップ用
- OATH確認コード(TOTP)
Microsoft Authenticatorアプリを利用した OATH時間ベースのワンタイムパスワード(TOTP)は、アプリに表示される6桁のワンタイムコードを入力して本人確認を行う認証方式です。
プッシュ通知が届かない場合や、スマートフォンの通信環境が不安定な場合でも利用できるため、バックアップ用の認証手段として有効です。
ワンタイムコードはアプリ内で生成されるため、オフライン環境やネットワーク制限のある環境でも利用しやすくなっています。
普段はプッシュ通知認証やパスキー認証を利用しつつ、万が一に備えてTOTPも登録しておくことで、より安定した運用を実現できます。
6.Microsoft 365で多要素認証を利用できるプラン
Microsoft 365の多要素認証(MFA)は、基本的な機能であれば無料版のMicrosoft Entra ID Freeでも利用できます。
Microsoft Entra ID Freeで利用できる認証方式
- Microsoft Authenticatorアプリ(プッシュ通知認証)
- SMSコード認証
- 音声通話認証
- OATH確認コード(TOTP)
ただし、企業でMicrosoft 365を運用する場合は、単にMFAを有効化するだけでなく、ユーザー権限やアクセス状況に応じて柔軟な制御を行うケースが一般的です。
例:
- 管理者アカウントのみ強固な認証を要求
- 特定国からのアクセスをブロック
- リスクの高いサインインを自動検知
- ユーザーごとに利用可能な認証方式を使い分け
こうした制御を実現する「条件付きアクセス」機能は、Microsoft Entra IDの有料ライセンス「P1」または「P2」で利用できます。
そのため、企業で本格的にセキュリティを強化する場合は、Microsoft Entra ID P1以上の導入が推奨されます。
Microsoft Entra ID P1以上で利用できる認証方式
- Microsoft Authenticator(パスワードレス認証)
- Microsoft Authenticator(パスキー認証)
- FIDO2セキュリティキー
- Windows Hello for Business
なお、以下のMicrosoft 365プランには、Microsoft Entra ID P1 / P2ライセンスが標準で含まれているため、追加コストなしで条件付きアクセスなどの高度な認証制御が利用できます。
Microsoft Entra ID P1を含むプラン
- Microsoft 365 Business Premium
- Microsoft 365 E3
Microsoft Entra ID P2 を含むプラン
- Microsoft 365 E5
ICT × Optimization × Navigator = ION(イオン)
情シスが「1人で抱え込まない」環境を実現します
情シスの「誰か手伝って・・・」を現実に。
あなたの頼れる”ナビゲーター”として、共に最適解を見つけ出します。
システム企画から運用・保守、インフラ管理、セキュリティ対策、Microsoft 365活用まで、ITまわりの「困った」を幅広くサポートいたします。
「全部任せたい」も、
「この部分だけ手伝ってほしい」もOK。
専門性の高いものから定常的な作業まで、情シス業務の中から必要な部分だけを柔軟にご依頼いただけます。
7.Microsoft 365で多要素認証を有効化する手順
管理者がMicrosoft 365で多要素認証(MFA)を有効化する方法は、主に次の3つに分類されます。
- セキュリティの既定値を使用する
- 条件付きアクセスポリシーを使用する
- 個別のユーザーアカウントごとに設定する(非推奨)
Microsoft公式では、ユーザー単位での個別設定よりも、「セキュリティの既定値」や「条件付きアクセス」を利用した設定が推奨されています。
そのため、ここでは推奨されている2つの方法でMFAを有効化する手順を詳しくご紹介します。
①セキュリティの既定値を使用する
「セキュリティの既定値」は、Microsoftが推奨する基本的なセキュリティ設定を自動的に組織へ適用できる機能です。
すべての法人向け Microsoft 365 プランで利用でき、複雑なポリシー設計を行わなくても、組織全体のセキュリティレベルを効率よく底上げできます。
特に、「Microsoft 365で多要素認証(MFA)を導入したいが、細かな設定が難しそう」と感じている中小企業や、セキュリティ専任のIT担当者が不足している組織におすすめです。
一方で、ユーザー単位で設定を変更したり、アクセス場所・デバイス・時間帯などの利用状況に応じて、認証ルールを細かくカスタマイズすることはできません。
「社外からのアクセス時のみMFAを要求する」「特定のデバイスだけ除外する」など、ユーザー属性や利用環境に応じてより柔軟な運用を行いたい場合は、後述する「条件付きアクセス」による設定が必要になります。
有効化すると自動的に適用される主な内容
- すべてのユーザー・管理者に対し、Microsoft Authenticatorなどの認証アプリを利用した多要素認証(MFA)の登録を要求
- 管理者アカウントに対して、サインイン時は常にMFAを要求
- 新しいデバイスなど、普段とは異なる環境からのアクセス時にMFAを要求
- POP3 や IMAP4 など、古い認証方式(レガシー認証)の利用をブロック
- Microsoft Azureポータルなど、重要な管理サービスへのアクセス時にMFAを要求
有効化の手順
- Microsoft Entra管理センターに管理者としてサインイン
- 左メニューから「ID」>「概要」>「プロパティ」を開く
- 「セキュリティの既定値の管理」をクリック
- 「有効」にして「保存」
※2019年10月以降に作成された企業向け Microsoft 365環境では、「セキュリティの既定値」が初期状態で有効になっている
②条件付きアクセスポリシーを使用する
「条件付きアクセス」とは、Microsoft 365にサインインする時に、アクセス場所・利用デバイス・ユーザー属性などの「条件(シグナル)」に応じてアクセス制御や追加認証を行える高度なセキュリティ機能です。
- 社外からのアクセス時のみMFAを要求
- 全てのユーザーにMFAを強制
- 会社支給端末からのみアクセスを許可
など、ユーザーの利用状況や環境に応じて柔軟なアクセス制御を行いたい企業や、ゼロトラストを意識したセキュリティ対策を進めたい企業におすすめです。
なお、「条件付きアクセス」の利用には、Microsoft Entra ID P1またはP2の有料ライセンスが必要です。
(※Microsoft 365 Business Premium、E3、E5プランに含まれています)
主なメリットと機能
- ユーザー・グループ単位での制御が可能
「特定の部署だけMFAを必須にする」「管理者のみ認証を強化する」など
- アプリケーション単位での制御が可能
TeamsやSharePointなど、アプリケーションごとに異なるポリシーを適用できる
- アクセス場所やデバイス条件での制御が可能
「社外アクセス時のみMFA必須」「Intune管理端末からのみアクセス許可」など
- 「レポート専用モード」で事前検証が可能
設定したポリシーの影響範囲を事前に確認し、設定ミスによるロックアウトを防止
注意点
- 「セキュリティの既定値」と併用は不可
条件付きアクセスを利用するには、「セキュリティの既定値」を無効化しておく必要がある
- 利用には Microsoft Entra ID P1またはP2のライセンスが必要
Microsoft 365 Business Premium、E3、E5プランを契約していれば、「条件付きアクセス」を追加コストなしで利用可能
- 「レポート専用モード」を上手く活用する
設定ミスによる管理者自身のロックアウトを防ぐため、「レポート専用モード」で影響範囲を確認しながら段階的に導入するのがおすすめ
有効化の手順
①Microsoft Entra管理センターに管理者アカウントでサインイン
②条件付きアクセス ポリシーの作成
左メニューから [保護] > [条件付きアクセス] を選択
[新しいポリシー] をクリックし、ポリシー名を入力(例:「MFA要求ポリシー」)
③対象ユーザーを選択
[ユーザーまたはワークロード ID] を選択し、MFAを適用したいユーザーやグループを指定(例:全ユーザー、特定の部署、管理者グループなど)
④対象のクラウドアプリを選択
[クラウド アプリまたは操作] を選択し、対象とするアプリ(例:Microsoft 365、Exchange Onlineなど)を指定
⑤アクセス制御の設定
[アクセス制御] > [許可] を選択
[アクセス権の付与] にチェックを入れ、[多要素認証が必要] にもチェックを入れる
⑥ポリシーの有効化
最後に [ポリシーを有効にする] を「オン」にして、[作成] をクリック
8.Microsoft 365で多要素認証を導入する際の注意点
Microsoft 365で多要素認証(MFA)を導入する前に確認しておくべき注意点としては、次のようなものがあります。
- 管理者アカウントではMFAが必須に
- スマートフォンの利用を前提とした運用が必要
- デバイストラブルによるログイン不可リスクに注意
管理者アカウントではMFAが必須に
Microsoftでは近年、管理者アカウントを狙ったサイバー攻撃対策を強化しており、各種管理ポータルへのサインインに対して、多要素認証(MFA)の必須化を段階的に進めています。
対象となる主な管理ポータルは次の通りです。
- Microsoft 365管理センター
- Microsoft Entra管理センター
- Microsoft Intune管理センター
- Azureポータル
2026年2月9日以降、MFAが未設定の管理者アカウントでは、上記の管理ポータルにサインインできないため注意が必要です。
Microsoft Authenticatorアプリや条件付きアクセスを活用し、早急に管理者アカウントのMFA設定を実施しましょう。
スマートフォンの利用を前提とした運用が必要
Microsoft 365のMFAでは、スマートフォンにインストールした Microsoft Authenticatorなどの認証アプリを利用する方式が主流です。
そのため、社員全員がスマートフォンを利用できることを前提に、運用体制を整備する必要があります。
BYOD(個人スマートフォン)での運用も可能ですが、紛失時の対応やセキュリティ管理の観点から、管理者アカウントでは会社支給の端末を利用する企業も増えています。
導入前に社員のスマートフォン保有状況や運用ルールを確認し、必要に応じて業務用端末の整備を検討しましょう。
デバイストラブルによるログイン不可リスクに注意
先述の通り、Microsoft 365のMFAでは、スマートフォンなどユーザー本人が所有するデバイスを利用した認証が一般的です。
そのため、次のようなトラブルが起きるとサインインできなくなり、業務効率が著しく低下するリスクがあります。
- 紛失・置き忘れ
外出先でスマートフォンを紛失・置き忘れると、MFAの確認コードが受け取れず、サインインできなくなる可能性があります。
- 故障・バッテリー切れ
外出先でスマートフォンが故障したり、バッテリーが切れた場合も、認証ができず業務に支障をきたすことがあります。
- 機種変更時の設定移行忘れ
ユーザーが新しいスマートフォンに切り替えた際、認証アプリの設定を移行し忘れると、MFAの認証に失敗してサインインできなくなります。
特に、従業員数が多い企業では、こうしたトラブルが頻繁に発生する傾向があるため、あらかじめ以下のような対策を検討しておくことが重要です。
- 代替となる認証手段の用意(例:SMSやセキュリティキーなど)
- トラブル発生時の対応フローの整備
- 再発行・再設定時のマニュアル化とサポート体制の準備
9.まとめ
いかがでしたでしょうか?
Microsoft 365では、Microsoft Entra ID(旧Azure AD)を活用することで、「パスワード」+「所有情報/生体情報」による多要素認証(MFA)はもちろん、パスワードの入力自体が不要となる「パスワードレス認証」も実現できるようになります。
ただし、パスワードレス認証を実現するためには、Microsoft 365のBusiness PremiumプランやE3・E5プランといった上位ライセンスが必要となる点に注意しましょう。
なお、本記事では、Microsoft 365に含まれる機能の1つ「Microsoft Entra ID」で多要素認証(MFA)を導入する際に役立つ資料もダウンロードいただけます。
MFAの設定方法や導入時のポイントをまとめていますので、ぜひご活用ください。
また、多様素認証(MFA)の設定方法に関する知見が無く、運用で混乱しないか不安を感じている」という企業様は、ぜひお気軽に当社へご相談ください。
当社コンピュータマネジメントでは、超上流のシステム企画・要件定義から、下流工程のシステム運用・保守、インフラ構築、セキュリティ対策まで幅広くサポートする「情シス支援サービス ION」を提供しております。
多要素認証(MFA)の導入支援はもちろん、お客様の状況に合わせたセキュリティ対策のご提案、優先順位付け、設定作業、社内向けマニュアルの作成まで、幅広くサポートいたします。
デザイン系を除き、IT関連のあらゆる業務に対応可能ですので、ITまわりで何かお困りごとがございましたら、ぜひお気軽にご相談ください。
ICT × Optimization × Navigator = ION(イオン)
情シスが「1人で抱え込まない」環境を実現します
情シスの「誰か手伝って・・・」を現実に。
あなたの頼れる”ナビゲーター”として、共に最適解を見つけ出します。
システム企画から運用・保守、インフラ管理、セキュリティ対策、Microsoft 365活用まで、ITまわりの「困った」を幅広くサポートいたします。
「全部任せたい」も、
「この部分だけ手伝ってほしい」もOK。
専門性の高いものから定常的な作業まで、情シス業務の中から必要な部分だけを柔軟にご依頼いただけます。
お電話・FAXでのお問い合わせはこちら
03-5828-7501
03-5830-2910
【受付時間】平日 9:00~18:00
フォームでのお問い合わせはこちら
この記事を書いた人
Y.M(マーケティング室)
2020年に株式会社コンピュータマネジメントに新卒入社。
CPサイトのリニューアルに携わりつつ、会社としては初のブログを創設した。
現在は「情シス支援」をテーマに、月3本ペースでブログ更新を継続中。
