Azure AD MFAは、2要素認証(2FA)の一形態で、ユーザーのアカウントへのアクセスをより安全にするための強力なツールです。パスワードだけではなく、追加の認証要素を必要とすることで、不正アクセスを効果的に防ぎます。
このガイドでは、Azure AD MFAについて概要を記載し、現時点でMicrosoft社で非推奨とされている「ユーザーごとのMFA」から推奨である「条件付きアクセス」へのMFA移行について記載いたします。
- ユーザーごとのMFA、条件付きアクセスでのMFAの概要と違いについて知れる
- ユーザーごとのMFAから条件付きアクセスへの移行方法を知れる
ユーザーごとのMFAについて
ユーザーごとのMFAとは
ユーザーごとのMFAはその名前の通り、ユーザーごとにMFAを有効にしていく設定になります。ただユーザーごとのMFAはMicrosoft社としては非推奨な機能になっており、「条件付きアクセス」もしくは「セキュリティの規定値」を利用してMFAを有効かすることがMSの推奨になっています。
具体的にユーザーごとのMFAを利用する必要があるケースというのは以下です。
- Azure AD Premium P1 または P2 を持っていない[条件付きアクセスが利用できない]
- セキュリティの規定値でテナント全体にMFAをかけることができない[ライセンス不要]
※テナント全体への設定かつ条件付きアクセスと併用不可
それ以外の方でユーザーごとのMFAを利用している場合は条件付きアクセスへの移行が必要になります。
ユーザーごとのMFAについての詳細は以下MSサイトも参考にしてください
https://learn.microsoft.com/ja-jp/azure/active-directory/authentication/howto-mfa-userstates
なぜユーザーごとのMFAの移行が必要か
前述の通りMicrosoft社が非推奨としている理由と運用面で以下2点があります。
全てのアクセスでMFAが有効になるため、ユーザーの利便性が落ちる
ユーザーごとのMFAは有効にしたユーザーのアクセス時に条件付きアクセスのように条件を付けてMFAを有効にすることができません。すべてのアクセスでMFAを都度聞かれるのは利便性が落ちます。
例えば条件付きアクセスのようにIntune登録され、準拠端末であれば除外するや社内NWからのアクセスは除外するなどはできません。
コマンドでのユーザーごとのMFA管理が2024年以降出来なくなる
ユーザーごとのMFAはユーザーごとにMFAを有効化するため、複数人への有効化もしくは無効化をする際にコマンドがないとかなり大変になります。GUI上ではチェックをつけて一人ずつしか変更できません。
ただそのコマンドが2024年3月30日に廃止されてしまいます。今後はGUI上で一人ずつ変更していく形しか取れなくなります。
MSOnline は、 2024 年 3 月 30 日に廃止される予定です。 非推奨プランの詳細については、非推奨の 更新プログラムに関するページを参照してください。 引き続き Microsoft Graph PowerShell に移行することをお勧めします。
https://learn.microsoft.com/ja-jp/powershell/azure/active-directory/overview?view=azureadps-1.0&preserve_view=true
具体的なコマンドとしては以下になります。こちらで有効化、無効化が可能です。こちらをユーザーをCSVから読み取る形式などで複数ユーザーの設定が可能です。
Set-MsolUser -UserPrincipalName <XXX@XXX> -StrongAuthenticationRequirements <Enable or Enforced or 値空白にすると無効化も可能>詳細は以下コマンドレットのサイトをご確認ください。
ユーザーごとのMFAから条件付きアクセス移行の事前準備、移行について
ユーザーごとのMFAと条件付きアクセスの違いを確認
以下MSブログにユーザーごとのMFAと条件付きアクセスの違いについてかなり詳細にまとめられているので確認して理解しておきましょう。ライセンス部分やレガシー認証が利用可能かなどの違いもあります。
認証方法ポリシーの設定
ユーザーごとのMFAを利用中の方はおそらく、レガシーMFAポリシーを利用してMFAの認証方法[Microsoft Authenticator、SMS、電話]などを設定しているかと思います。
こちらに関しては2024年9月30日に無くなる予定なのでこちらの設定も移行しておく必要があります。
こちらに関してはMSがブログで丁寧に説明しているので以下参考にしてください。
条件付きアクセスの設計
条件付きアクセスの設計を行います。MFA専用のポリシーであれば以下のように設定しておけば良いかと思います。
条件付きアクセスではMFAの対象をユーザー、グループで指定するか全ユーザーを対象とすることになるのでユーザーごとのMFAで有効にしている人が対象となるように検討ください。
| 項目 | 設定 |
| 名前 | <任意> |
| ユーザー対象※1 | <すべてのユーザーもしくは ユーザー、グループ指定> |
| ユーザー対象外※1 | <すべてのユーザーの場合はMFAを有効化にしないユーザー> |
| ターゲットリソース | <MFA有効化したいアプリを選ぶ。問題なければすべてを対象> |
| 条件 | <指定があれば指定。ユーザーごとのMFAと同条件であれば設定不要> |
| 許可 | <アクセス権の付与 多要素認証を要求する> |
| セッション | <指定があれば指定。ユーザーごとのMFAと同条件であれば設定不要> |
※1 対象をすべてのユーザーにした場合は対象外に以下参考に対象外アカウントを設定することがMS推奨になります。
また条件付きアクセスの対象グループについてはM365グループかセキュリティグループが利用可能です。セキュリティグループのみグループのメンバーにセキュリティグループを入れることが可能です。
運用の検討
こちらが一番重要かもしれませんが、条件付きアクセスになることによって運用が変わるので注意ください。事前に検討や検証したうえで運用が回るかご検討ください。
例えば以下のような運用が想定されます。
- 緊急時のMFA無効化
- 新規入場者のMFA有効化
- 条件付きアクセスの対象グループの追加<すべてのユーザーの場合は対象外グループ>
ユーザーごとのMFAの無効設定方法の確認
こちら実施は次の移行方法の順番で実施しますが、ユーザーごとのMFAを無効化にする方法の確認は事前に行いましょう。条件付きアクセスを有効化する前に無効化してしまうとMFAが無効化の状態を作ってしまうので注意ください。
方法としては2種類あります。
- GUIでユーザーごとのMFAを無効化する
- PowerShellのコマンドでユーザーごとのMFAを無効化する
両方の手順については以下MSサイトに記載ありますので参考にしてください。
ユーザーごとのMFAから条件付きアクセスへの移行方法
ユーザーごとのMFAを無効化する方法と段階について検討する必要があります。
大きな流れとしては以下になります。
- 認証方法ポリシーの設定実施[条件付きアクセスでMFで使える方式を設定]
- 条件付きアクセスの設計、設定有効化[条件付きアクセスを有効化、ユーザーごとのMFAが優先状態]
- ユーザーごとのMFAの無効化[ユーザーごとのMFAを無効化、条件付きアクセスが適用]
上記2と3の部分に記載していますが、ユーザーごとのMFAと条件付きアクセスでのMFAを両方とも有効化にした場合はどのような動作になるのでしょうか。MSとしては非推奨構成なので移行の一時的な状態にしましょう。
MFAの動作としてはユーザーごとのMFA→条件付きアクセスのMFAという順番にチェックする形になります。なのでユーザーごとのMFAが有効の場合はユーザーごとのMFAだけが効きます。
そのため、仮にユーザーごとのMFAの無効化を実施しないと条件付きアクセスは効かない状態なので移行できていない状態になってしまいます。
よくある質問と注意事項等について
ユーザーごとのMFAは移行をMSが推奨しているけども条件付きアクセスは有償ライセンスが必要?
現状そうなります。コマンドの廃止等でユーザーごとのMFAは機能縮小をしていっています。AzureAD PremiumP1を持たないユーザーは購入しないと条件付きアクセスを利用できません。
もう一つMFAの方式としてセキュリティの規定値がありますが、こちらはテナント全体でMFAが全員にかかってしまうので除外もできないので企業で利用は難しいと思います。
ユーザーごとのMFAが完全廃止のアナウンスはありませんが、アナウンスが出た場合にどのような方針とするのかは注視が必要ですね。
MFAの種類や必要ライセンス詳細については以下ご覧ください。
ユーザーごとのMFAを無効化しないとどうなるか
ユーザーごとのMFAが優先して効くため、条件付きアクセス側で例えばIntuneで準拠端末はMFA求めないといった設定をしても効かない状態になるので移行後にユーザーごとのMFAは無効化してください。
ユーザーごとのMFA、条件付きアクセスで主に利用している設定箇所とその役割がよくわかりません
大枠でいうと以下になります。
| 設定 | 設定箇所 | 詳細 |
|---|---|---|
| レガシーMFAポリシー | [Azure Portal] > [Azure Active Directory] > [ユーザー] > [ユーザーごとの MFA] > サービス設定 | ユーザーごとのMFA利用時の登録できる認証種別 |
| ユーザーごとのMFA | [Azure Portal] > [Azure Active Directory] > [ユーザー] > [ユーザーごとの MFA] | ユーザごとにMFAを有効にするかの設定 |
| 認証方法ポリシー | [Azure Active Directory] > [セキュリティ] > [認証方法] > [ポリシー] | 条件付きアクセスでのMFA利用時の登録できる認証種別 |
| 条件付きアクセス | [Azure Active Directory] > [セキュリティ] > [条件付きアクセス] > [ポリシー] | 条件付きアクセスでどのユーザーにどのアプリでいつMFAを有効にするかの設定 |
| 各ユーザーのセキュリティ情報 | [各ユーザーのMicrosoft Officeホーム] > [右上のアカウントアイコン] > [アカウントを表示] > [セキュリティ情報] | MFA時に各ユーザーが自身のMFA情報を登録する場所。 ユーザーごとのMFA、条件付きアクセスでのMFAで共通。 |
まとめ
ユーザーごとのMFAは非推奨になり、機能縮小している状態なのでAzureADPremiumP1以上をお持ちのかたは条件付きアクセスでのMFAを利用していくことをお勧めします。
ただよくある質問に記載した通り、ユーザーごとのMFAを完全廃止するとMFAするためだけにライセンス購入になるのでMSがどうするかは注視が必要になります。完全に推測ですが、セキュリティの規定値をテナント全体ではなくユーザーごとに指定できるとかにしそうな気がしてます。
色々仕事で移行を検討していて調べた情報になるので皆様の参考になればと思います。
