Azureの多要素認証とセキュリティの規定値群
Azureで多要素認証を行うためには次の3つの方法があります。
- 「セキュリティの規定値群」を有効にする(デフォルト有効)
- グローバル管理者へ個別のMFA設定(セキュリティの規定値群は無効)
- 条件付きアクセス
上記の3は、Azure Active Directory Premium P1ライセンスが必要です。
ライセンスが無くて、全てのユーザーに多要素認証を行いたい場合は1の「セキュリティの規定値群」を有効にすることになりますが、一般ユーザーが利用できる認証はモバイルアプリのみとなります。電話やSMSを利用することができないのが不便です。
■セキュリティの規定値群の設定方法
Azure Active Directory > プロパティ > (ページの一番下)セキュリティの規定値群の管理リンク > セキュリティの規定値群の有効化 [はい]/[いいえ]
2は、一般ユーザーは多要素認証を行わず、管理者のみを対象として、少し高度な多要素認証が可能となります。認証アプリだけでなく、SMSやメールアドレスを第2の認証方法として登録することが可能です。
一般ユーザーは多要素認証とならなくなるので用途は限られます。まだライセンスは購入していなくて管理者だけでAzureを検証している場合など、1よりこちらを設定するのが良い場合もあるかと思います。
この場合、「セキュリティの規定値群」を「無効」に設定した上で、該当の管理者へAzure ADの「グローバル管理者」権限を割り当てます。
その後、ユーザーごとの多要素認証設定で該当の管理者アカウントに対して「MULTI-FACTOR AUTHENTICATION」を有効にします。
Azure Active Directory > ユーザー> ユーザーごとのMFA
次のいずれかのライセンスを持っている場合、3の条件付きアクセスで細かい設定が可能です。
- Azure Active Directory Premium P1 または P2
- Microsoft 365 Business Premium
- Microsoft 365 E3 または E5
- Enterprise Mobility & Security E3 または E5
条件付きアクセスのドキュメント
次回のブログで、条件付きアクセスの具体的な設定方法を紹介します。