Microsoft Entra IDの多要素認証とは?
Microsoft Entra IDの多要素認証(MFA)とは、Microsoft Entra IDへのサインイン時に2つ以上の要素で本人確認を行うセキュリティプロセスです。
これは、従来のパスワードだけに依存する認証方式の脆弱性を補い、アカウントへの不正アクセスを効果的に防ぐための仕組みです。
多要素認証は、以下の3種類の認証要素のうち、2つ以上を組み合わせて利用します。
- 知識情報:パスワードやPINコードなど、利用者本人だけが知っている情報
- 所持情報:スマートフォンやセキュリティキーなど、利用者本人が所有している物理的なデバイス
- 生体情報:指紋や顔認証など、利用者本人に固有の身体的特徴
Microsoftによれば、多要素認証を有効にすることで、Microsoft Entra IDへの侵害を伴うサイバー攻撃の99.2%以上をブロックできると報告されており、現代のセキュリティ戦略において重要な要素と位置づけられています。
そもそもMicrosoft Entra IDとは?
Microsoft Entra IDとは、Microsoftが提供するクラウドベースのIDおよびアクセス管理サービスです。以前はAzure Active Directory(Azure AD)という名称で提供されていましたが、2023年に現在の名称に変更されました。
Microsoft Entra IDの主な役割は、組織のユーザー、デバイス、アプリケーション、その他のリソースへのアクセスを安全に管理することです。
具体的には、Microsoft 365やMicrosoft AzureといったMicrosoftのクラウドサービスだけでなく、SalesforceやGoogle Workspaceなど、数多くのサードパティ製SaaSアプリケーションへの認証基盤として機能します。
Microsoft Entra IDは、後述する条件付きアクセスのような高度な機能を用いることで、「誰が、どのアプリケーションに、どのデバイスから、どのような条件でアクセスできるか」といった詳細なアクセスポリシーを定義し、組織のユーザーに強制することができます。
また、オンプレミスとクラウドを併用しているハイブリッド環境においてMicrosoft Entra Connectというツールを利用することで、オンプレミスのActive DirectoryとMicrosoft Entra IDを同期させ、一貫したID管理を実現することも可能です。
Microsoft Entra IDとMicrosoft Entra Connectについて詳しくは、以下の記事をご覧ください。
▶︎Microsoft Entra IDとは?Azure ADとの違い、機能、ライセンスを徹底解説
▶︎Microsoft Entra Connectとは?オンプレミスADとクラウドを統合する方法を解説
Microsoft Entra IDの多要素認証の主な機能
ここでは、Microsoft Entra IDの多要素認証の主な機能と、多要素認証をより効果的に活用できるMicrosoft Entra IDの機能「条件付きアクセス」について詳しくご紹介します。
Microsoft Entra IDの多要素認証の概念図 (参考:Microsoft)
多様な認証方法
Microsoft Entra IDでは、さまざまなシナリオに対応するため、複数の認証方法が用意されています。これらの認証方法はセキュリティレベルや利便性が異なり、組織は自社のポリシーに応じて適切なものを選択できます。
以下に、主な認証方法をまとめます。
- Microsoft Authenticatorアプリ
Microsoftが推奨する、安全で利便性の高い認証方法です。以下の複数のモードをサポートしています。
認証方法 | 説明 |
|---|---|
プッシュ通知 | サインイン時にスマートフォンに承認/拒否の通知が届き、利用者がワンタップで承認します |
パスワードレスサインイン | パスワードを入力する代わりに、サインイン画面に表示される番号をアプリに入力することで認証が完了します。 |
ワンタイムパスコード | 一定時間ごとに更新されるパスコードをアプリが生成し、利用者がサインイン画面に入力します。 |
パスキー | スマートフォン自体をFIDO2準拠のセキュリティキーとして利用し、安全な認証を実現します。 |
- FIDO2セキュリティキー
USBやNFCで接続する物理的なハードウェアキーです。フィッシング攻撃に対して高い耐性を持ち、高レベルのセキュリティを提供します。
- Windows Hello for Business
Windowsデバイスに搭載された顔認証や指紋認証、あるいはPINコードを認証の要素として利用します。
- SMSおよび音声通話
登録した電話番号にSMSで確認コードを送信したり、自動音声でコードを通知する方法です。広く普及していますが、SIMスワップ攻撃や通信傍受のリスクがあり、他の方法に比べてセキュリティレベルは低いとされています。
- OATHハードウェアトークン
TOTPコードを生成する専用の物理デバイスです。スマートフォンが利用できない環境(工場やクリーンルームなど)で有効です。
- 一時アクセスパス
管理者が発行する、有効期限付きの一時的なパスコードです。新しい利用者の初期セットアップや、認証デバイスを紛失した際の復旧などに利用されます。
数値の一致
数値の一致は、多要素認証のセキュリティを強化するための重要な機能です。前述したMicrosoft Authenticatorアプリのパスワードレスサインインで採用されています。
この機能は、近年増加している多要素認証疲労攻撃への対策として開発されました。
※多要素認証疲労攻撃とは、攻撃者が盗んだパスワードで繰り返しサインインを試み、利用者のスマートフォンに大量の承認通知を送る手法です。利用者は大量の通知の中から、誤って承認をタップしてしまう可能性があります。
数値の一致機能が有効な場合、利用者は単に承認をタップするだけでは認証が完了しません。サインイン画面に表示された2桁の数字をMicrosoft Authenticatorアプリに入力することで、利用者が能動的にサインインプロセスに関与していることが確認され、誤った承認を防ぐことができます。
条件付きアクセス
条件付きアクセスは、「特定の条件を満たした場合、特定のアクションを強制する」というルールベースのポリシーエンジンです。Microsoft Entra IDの中心的な機能で、多要素認証を柔軟に運用するために活用できます。
この機能により、すべてのサインインで一律に多要素認証を要求するのではなく、リスクが高いと判断される状況でのみ多要素認証を要求するといった、細かな制御が可能になります。
以下に、条件付きアクセスの主な条件の例を示します。
項目 | 説明 |
|---|---|
ユーザー/グループ | 管理者権限を持つユーザーやグループは多要素認証の対象から除外する。 |
場所 | 社内ネットワーク外からのアクセスの場合にのみ多要素認証を要求する。 |
デバイス | 組織のセキュリティポリシーに準拠していないデバイスからのアクセスをブロックする。 |
アプリケーション | 特定の機密アプリケーションへのアクセス時に多要素認証を要求する |
Microsoft Entra IDの多要素認証の料金
2025年9月現在、Microsoft Entra IDの多要素認証は無料で利用可能ですが、契約するMicrosoft Entra IDのプランによって課金が発生する場合もあります。
Microsoft Entra IDには、Microsoft Entra ID P1とMicrosoft Entra ID P2の2つの有料プランが存在します。以下の表はそれぞれのプランの違いを示したものです。
プラン | 価格 | エンタープライズ向けサブスクリプションとのバンドル |
|---|---|---|
Microsoft Entra ID P1 | $6/ユーザー/月(1か月間の無料トライアルあり) | Microsoft 365 E3、Microsoft 365 Business Premium |
Microsoft Entra ID P2 | $9/ユーザー(1か月間の無料トライアルあり) | Microsoft 365 E5 |
また、Microsoft Entra IDの多要素認証は、無料プランであるMicrosoft Entra ID Freeでも利用が可能です。
Microsoft Entra ID Freeでは、多要素認証、SaaSアプリ全体での無制限のSSO、基本レポートといった、Microsoft Entra IDの基本的な機能を利用できますが、条件付きアクセスなどの高度なセキュリティ機能は利用できません。
上記の内容は2025年9月時点の情報です。プランごとに利用できるMicrosoft Entra IDのサービスの詳細や最新情報については、Microsoft Entra IDの公式料金表をご確認ください。
Microsoft Entra IDの多要素認証の利用手順
このセクションでは実際に、Microsoft Entra IDで多要素認証を有効化する手順をご説明します。
Microsoft Entra IDの有料プランで利用できる条件付きアクセスを活用することで詳細な設定が可能ですが、ここでは無料プランでも設定可能な、セキュリティの既定値を多要素認証に変更する手順をご紹介します。
1. Microsoft Entra 管理センターにアクセス
まずは、認証管理者以上の権限を持つアカウントでMicrosoft Entra 管理センターにアクセスしましょう。
Microsoft Entra 管理センターにアクセス
2. Microsoft Entra IDの管理
Microsoft Entra 管理センターにアクセス後、サイドバーから、「Entra ID」タブの「概要」をクリックします。
Microsoft Entra IDの管理
3. セキュリティの既定値の設定
Microsoft Entra IDの管理ページから、「プロパティ」→「セキュリティの既定値群の管理」を選択します。
セキュリティの既定値の設定
4. 多要素認証の有効化
ポップアップウィンドウで、セキュリティの既定値群の項目を「有効」に変更します。
この設定を有効にすることで、組織の認証方式が一括で多要素認証に置き換わり、組織内のすべてのユーザーは多要素認証が強制されます。
段階的な導入や、一部リソースへのアクセス時のみに多要素認証を適用する場合は、有料プランの条件付きアクセス機能を活用しましょう。
多要素認証の有効化
上記のステップでMicrosoft Entra IDの多要素認証を利用することが可能です。
条件付きアクセスを活用した設定方法については、Microsoft公式ドキュメントをご覧ください。
Microsoft Entra IDの多要素認証の使い方のコツ
Microsoft Entra IDの多要素認証を効果的に運用するためには、技術的な設定だけでなく、以下のような運用上の工夫が重要です。
段階的な展開
社内で一斉に多要素認証を有効化するアプローチは避け、まずはIT部門などの小規模な組織で導入し、技術的な問題やユーザーエクスペリエンス上の課題を確認することが推奨されます。
そこで得られた知見やフィードバックを基にマニュアルを整備し、その後、部門単位で段階的に展開していくことで、混乱を抑え、スムーズな導入が可能になります。
複数の認証方法の登録を推奨する
利用者にMicrosoft Authenticatorアプリだけでなく、予備として電話番号(SMSまたは音声通話)やハードウェアキーなど、複数の認証方法を登録するよう案内しましょう。
これにより、利用者がスマートフォンを紛失したり、故障した場合でも、バックアップの方法で多要素認証を完了でき、業務の停止を防ぐことができます。
利用者ごとの認証方法の管理
管理者は、利用者が認証デバイスを新しいものに機種変更したり、紛失した場合に、迅速に対応する必要があります。
Microsoft Entra 管理センターでは、特定のユーザーの認証方法をリセットし、再登録を促す操作が可能です。また、多要素認証の利用状況に関するレポート機能を提供しています。
どのユーザーが多要素認証を利用してサインインしているか、多要素認証の方式は何かといった情報を定期的に確認することで、不正アクセスの兆候を発見したり、利用者が抱える問題を特定したりするのに役立ちます。
上記のように、多要素認証の運用状況を定期的に見直し、組織のセキュリティポリシーや利用者のニーズに応じて設定を最適化することが重要です。
Microsoft Entra IDの多要素認証の活用シーン
Microsoft Entra IDの多要素認証は、特定の業界や業種に限らず、多様なビジネスシーンで価値を発揮します。ここでは、代表的な活用シーンをいくつかご紹介します。
リモートワークのセキュリティ確保
オフィス外からのアクセスが常態化するリモートワーク環境において、多要素認証は不可欠なセキュリティ対策です。従業員が接続するネットワークのセキュリティレベルに関わらず、企業のリソースにアクセスする際の本人確認を強化することで、情報漏洩のリスクを低減します。
Azure Virtual Desktopのような仮想デスクトップ環境へのアクセス時にも多要素認証を適用することで、セキュアなリモートアクセスを実現できます。
機密情報へのアクセス制御
人事情報、財務データ、顧客情報など、特に機密性の高い情報を取り扱うアプリケーションへのアクセスに対して、条件付きアクセスポリシーを用いて多要素認証を要求します。
これにより、社内ネットワークからのアクセスであっても、権限のない従業員や、万が一社内に侵入した攻撃者による不正なアクセスを防ぐための防壁を設けることができます。
企業間取引におけるゲストアクセスの保護
共同プロジェクトなどで外部のパートナー企業や協力会社のゲストユーザーに自社のリソースへのアクセスを許可する際にも、多要素認証は有効です。
ゲストアカウントに対しても多要素認証を要求することで、自社のセキュリティ基準を満たした上で、安全に共同作業を行うことが可能になります。
Microsoft Entra IDの多要素認証の注意点
Microsoft Entra IDの多要素認証は強力なセキュリティ対策ですが、運用にあたってはいくつかの注意点を理解し、適切に対処する必要があります。最後に、運用上の主な注意点を3点解説します。
SMS・音声通話認証の脆弱性
前述の通り、SMSや音声通話による認証は手軽さから広く利用されていますが、セキュリティ上のリスクを内包しています。SMSメッセージは暗号化されておらず、通信の途中で傍受される可能性があります。また、攻撃者が通信事業者を騙して標的のSIMカードを再発行させ、認証コードを乗っ取るSIMスワップ攻撃の標的にもなり得ます。
これらの方法は、他の認証方法が利用できない場合の代替手段と位置づけ、可能な限りMicrosoft AuthenticatorアプリやFIDO2セキュリティキーといった、より安全な方法へ移行することが推奨されます。
レガシーアプリケーションへの対応
組織内に、Microsoft Entra IDによる認証をサポートしていない古いアプリケーションやシステムが存在する場合、多要素認証を直接適用できません。
このような場合、アプリパスワードを発行することになりますが、利用者ごとに管理が煩雑になり、セキュリティレベルも低下するため、アプリケーションの改修やアップデートを検討しましょう。
「サインインしたままにする」オプションの挙動
サインイン時に表示される「サインインしたままにする」オプションを選択しても、多要素認証が恒久的に免除されるわけではありません。
このオプションは、一定期間、同じ環境からの再認証を省略するものですが、条件付きアクセスポリシーで多要素認証が要求されれば、オプションに関わらず多要素認証が要求されます。
Microsoftは、セキュリティレベル向上のため、Microsoft Azureの管理操作をはじめとする様々なサービスへのサインインに対して、多要素認証を段階的に必須化する方針を打ち出しています。Microsoft Entra IDの多要素認証の導入を先延ばしにせず、計画的に準備を進める必要があります。
まとめ
本記事では、Microsoft Entra IDの多要素認証の基本的な仕組みや認証方法、導入手順、活用シーン、注意点について解説しました。Microsoft Entra IDの多要素認証は、現代のサイバーセキュリティにおいて欠かせない対策です。
多要素認証を導入することで、リモートワークや機密情報の保護、ゲストアクセスの管理など、さまざまなビジネスシーンでその効果を発揮します。
一方で、SMS認証の脆弱性やレガシーアプリケーションへの対応といった課題も存在するため、適切な運用と管理が求められます。
Microsoft Entra IDの多要素認証を活用し、セキュリティとアクセシビリティを両立させた組織を目指しましょう。
東京エレクトロンデバイスは、Microsoft Entra IDを活用したセキュリティ設計・運用を支援しています。
導入や構成検討についてもお気軽にお問い合わせください。
