Microsoft365にログインする際には、ユーザーIDのメールアドレスとパスワードを入力してログイン(サイイン)します。
不正なログインを防ぎます
このユーザーID(メールアドレス)とパスワードが情報漏洩された場合、第3者が別の端末でログインされることになります。このMicrosoft365へログイン画面で、ユーザーID(メールアドレス)とパスワードを入力されたタイミングで、スマホアプリの認証を必要とする仕組み(2段階認証、多要素認証)を構築することで、Microsoft365へのログインをブロックすることが出来ます。
今回は、セキュリティを向上させる「2段階認証(多要素認証)」の設定にてご紹介します。
事前準備
クライアントユーザーは、データ通信+通話が出来るスマホ(iPhone、Android)が必要です。
Microsoft Authenticatorアプリをインストールしておきます。
管理者では、先進認証をオンにしておく必要があります。
ほとんどのサブスクリプションでは、先進認証が自動的にオンになりますが、2017 年 8 月より前にサブスクリプションを購入した場合、多要素認証などの機能を Outlook などの Windows クライアントで機能させるには、先進認証をオンにする必要があります。
Microsoft 365 管理センター で、左側のナビゲーションの [設定] > [組織の設定] の順に選択します。
[サービス] タブで、[先進認証] を選択し、[先進認証] ウィンドウで、[先進認証を有効にする] が選択されていることを確認します。[変更を保存] を選択します。
Microsoftサイトより引用
ユーザーの多要素認証を設定する - Microsoft 365 admin | Microsoft Learn
管理者サイトより事前準備
事前に多要素認証を有効化させます。
- 全体管理者アカウントにて Microsoft 365 にサインイン
- 左上にある ■ が 9 つ並んだアイコン (アプリランチャー) をクリックし、[管理] をクリック
- Microsoft 365 管理センターを開き、左ペインより、[ユーザー] – [アクティブなユーザー] の順にクリック
- 右ペインの表示が切り替わりましたら、上部の [多要素認証] または、[その他] – [Muluti-Factor Authentication のセットアップ] をクリック
※上記操作により、設定画面が表示されない場合は [多要素認証] ページ (https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx) から表示ください。 - 多要素認証を有効にするユーザーにチェック
- 画面に右の [有効にする] をクリック
- [多要素認証を有効にする方法の概要] 画面にて [multi-factor auth を有効人する] をクリック
- [更新が正常に完了しました] 画面にて [閉じる] をクリック
無効 : ユーザーごとの多要素認証が無効の状態
有効 : ユーザーごとの多要素認証が有効に設定された状態
強制 : ユーザーごとの多要素認証が有効になったユーザーが、初期セットアップを実施し認証方法が設定され、多要素認証の認証が可能な状態
※備考
[多要素認証] ページの [MULTI-FACTOR AUTHENTICATION の状態] のステータスの状態
ユーザーの多要素認証を設定する - Microsoft 365 admin | Microsoft Learn
クライアントユーザー側の設定
「Microsoft Authenticator アプリケーションによる認証」の設定を行います。
- コンピュータなどにて Microsoft 365 にアクセスし、該当ユーザーアカウントのユーザー ID とパスワードにてサインイン
- [詳細情報が必要] 画面にて右下の [次へ] をクリック
- [追加のセキュリティ確認] [手順 1: ご希望のご連絡方法をお知らせください。] 画面のプルダウンにて [モバイル アプリ] を選択
- [モバイル アプリをどのような用途で使用されますか?] 画面にて [確認のため通知を受け取る] にチェックを入れ、[セットアップ] をクリック
- コンピュータ側の [モバイル アプリケーションの構成] 画面にて QR コードが表示されていることを確認
- スマートフォンの Microsoft Authenticator アプリケーションを起動し、右上の [+] ボタンをタップ後、[職場または学校アカウント] をタップ
(右上に [+] のボタンがない場合、新規でアカウントを追加できる項目から、[職場または学校アカウント] をタップ) - [職場または学校アカウントの追加] のポップアップより [QR コードをスキャン] をタップし、[QR コードをスキャン] 画面にてカメラが起動していることを確認し、コンピュータ側の画面に表示されている QR コードを読み取る
- Microsoft Authenticator アプリケーションの画面がアカウント一覧の画面に切り替わったら、コンピュータ側の画面の右下の [次へ] ボタンをクリック
- コンピュータ側の [追加のセキュリティ確認] 画面右下の [次へ] ボタンをクリック
- Microsoft Authenticator アプリケーションの画面に [サインインを承認しますか?] のポップアップ表示されているか確認
- Microsoft Authenticator アプリケーションの画面のポップアップ画面に記載されているアカウントが自分のアカウントであることを確認したら [承認] ボタンをタップ
- コンピュータ側の画面が [手順 3: モバイル アプリにアクセスできなくなった場合] に切り替わったら、国番号を選択しSMS が受信できる携帯電話番号の最初の 0 を抜いて入力し [次へ] をクリック
- コンピュータ側の画面にて [ステップ 4: 既存のアプリケーションを引き続き使用する] と表示されたら、右下の [完了] ボタンをクリック
補足
認証方法を認証アプリにすると、スマホアプリに出てくるポップアップの「承認」をタップするだけで認証が許可されます。よくある認証コードを入力というような手間がなくなるので今回は、認証アプリを設定します。ただ、何かあった場合の為に、認証方法は、3つを残して他は削除しています。
ひとり情シスより
クライアントユーザーがひとりで実行するには、少々ハードルが高いのかなと思います。これは、手順書を作成して回付した方が効率良さそうです。私の場合はチーム内で、1番ITリテラシーが高いそして面倒見のいい社員を最初にサポートして、後はチーム内での展開(サポート)はその方にまかせて広げていくようにしています。最近では、在宅勤務(リモートワーク)になっているのでTeams電話やスマホの電話を使うと、この設定のどちらかで操作が止まってしまうので対面での説明になってしまうのがいなめません。。