特定のユーザーに多要素認証(MFA)の有効化・無効化設定
多要素認証とは
多要素認証(MFA)は、Microsoft 365アカウントへの不正アクセスを防げます。多要素認証を設定すると、ショットメッセージで送信されるコードを入力やMicrosoft Authenticatorアプリから、サインイン要求を承認するなど二重認証を行われています。パスワード漏洩場合でも、第三者よりパスワード認証でなりすまし接続をできません。
特定のユーザーに多要素認証の有効化・無効化設定
Azureポータルサイトより、AzureActiveDrectory(AAD)を開き、[ユーザー] - [ユーザーごとのMFA]を選択します。
ステータスが無効の対象ユーザーを選択し、右ペインの[有効化]をクリックします。
[multi-factor auth]をクリックします。
更新が正常に完了しましたと表示されると、[閉じる]をクリックします。
サービス設定画面に戻り、有効化のステータスを確認します。
同じ画面で無効化設定もできます。
よく困ること
過去には、特定のユーザーに多要素認証の有効化・無効化設定にしても、設定が反映されない事象もあります。特に無効化設定の場合、上記の手順で無効化設定を行われても、対象ユーザーアカウントからサインインすると、ショットメッセージで送信されるコードや、Authenticatorアプリから、サインインの承認を求められます。
原因はいろいろあります。そのなかで、[セキュリティの既定値の有効化]をオフにすると、MFAの無効化設定を正しく反映されたのは、よくある事例です。
※セキュリティの既定値の有効化機能について、この記事で記述しません。詳細は以下の公開情報をご参考ください。
セキュリティの既定値と条件付きアクセス | Microsoft Docs
セキュリティの既定値群を無効にする
1. Azure portal に、セキュリティ管理者、条件付きアクセス管理者、または全体管理者としてサインインします。
2. [Azure Active Directory] - [プロパティ] で開きます。
3. [セキュリティの既定値群の管理] を選択します。
4. [セキュリティの既定値群の有効化] トグルを [いいえ] に設定します。
5. 無効化設定の理由を選択し、[保存] を選択します。
<参考>
Azure Active Directory のセキュリティ デフォルト - Microsoft Entra | Microsoft Docs
※セキュリティの既定値群を無効化した直後、対象ユーザーからサインインすると、アクセス権なしと表示されたり、AADSTS50076エラーが表示されて、[もう一度サインイン] ボタンを押すと、再び多要素認証を求められる場合もあります。
暫く経ってから再実行か、画面を更新すると多要素認証の要求が消えます。
{
"sessionId": "XXXX",
"missingClaims": "{\"acr_values\":\"urn:microsoft:policies:mfa\"}",
"resourceName": "identity.diagnostics",
"errorMessage": "AADSTS50076: Due to a configuration change made by your administrator, or because you moved to a new location, you must use multi-factor authentication to access 'XXXX'.\r\nTrace ID: XXXX\r\nCorrelation ID: XXXX\r\nTimestamp: YYYY-MM-DD 12:15:04Z"
}
以上、特定のユーザーに多要素認証の有効化・無効化設定手順、また多要素認証無効化設定を妨げるセキュリティの既定値群を無効化する方法をご紹介します。