Azureで多要素認証を行うためには次の３つの方法があります。

1. 「セキュリティの規定値群」を有効にする（デフォルト有効）
2. グローバル管理者へ個別のMFA設定（セキュリティの規定値群は無効）
3. 条件付きアクセス

上記の３は、Azure Active Directory Premium P1ライセンスが必要です。

ライセンスが無くて、全てのユーザーに多要素認証を行いたい場合は１の「セキュリティの規定値群」を有効にすることになりますが、一般ユーザーが利用できる認証はモバイルアプリのみとなります。電話やSMSを利用することができないのが不便です。

■セキュリティの規定値群の設定方法

Azure Active Directory > プロパティ > （ページの一番下）セキュリティの規定値群の管理リンク > セキュリティの規定値群の有効化  [はい]/[いいえ]

２は、一般ユーザーは多要素認証を行わず、管理者のみを対象として、少し高度な多要素認証が可能となります。認証アプリだけでなく、SMSやメールアドレスを第2の認証方法として登録することが可能です。

一般ユーザーは多要素認証とならなくなるので用途は限られます。まだライセンスは購入していなくて管理者だけでAzureを検証している場合など、１よりこちらを設定するのが良い場合もあるかと思います。

この場合、「セキュリティの規定値群」を「無効」に設定した上で、該当の管理者へAzure ADの「グローバル管理者」権限を割り当てます。

その後、ユーザーごとの多要素認証設定で該当の管理者アカウントに対して「MULTI-FACTOR AUTHENTICATION」を有効にします。

Azure Active Directory > ユーザー> ユーザーごとのMFA

次のいずれかのライセンスを持っている場合、３の条件付きアクセスで細かい設定が可能です。

• Azure Active Directory Premium P1 または P2
• Microsoft 365 Business Premium
• Microsoft 365 E3 または E5
• Enterprise Mobility & Security E3 または E5

条件付きアクセスのドキュメント

docs.microsoft.com

次回のブログで、条件付きアクセスの具体的な設定方法を紹介します。