Azure Active Directory Identity Protection ③

はじめに

Identity Protectionを使うにはユーザーが多要素認証(MFA)の登録をしていることが必須になります。
多要素認証の登録とは、ユーザーがAzure ADにアクセスし多要素認証を求められた場合に利用される電話番号の登録のことを指します。
ここでは多要素認証を設定する一連の流れを説明します。

MFAへの登録

多要素認証の登録は「MFAの登録」にて行います。

「割り当て」にて多要素認証を登録するユーザーを選択します。
ここで指定されたユーザーは「コントロール」にて指定された動作、つまり多要素認証の登録を行うようになります。

この例では特定のユーザーを選択している状態です。すべてのユーザーを選択することもできます。

「次へ」をクリックすると多要素認証の設定を行うページが表示されます。
「今はしない」を選択することで14日間は多要素認証の登録を先延ばしにできます。

多要素認証の設定をするための画面です。多要素認証に使う携帯電話番号を設定します。
「次へ」をクリックすると入力した電話番号宛てにテキストメッセージが送信されるか、または電話がかかってきます。

上は電話がかかってきた場合の例です。電話に出て # を押すと多要素認証の設定が完了します。

認証が完了すると上のようになります。「完了」をクリックします。
以後Azure ADにログインする際に多要素認証が必要となった場合は登録した電話番号宛てに電話がかかってくるかまたはメッセージが送られてくるようになります。

補足1:多要素認証用の携帯電話番号をあらかじめ登録させることは可能か?

結論から言うと登録作業自体はスキップできず、ユーザー自身で行う必要があります。
通常ユーザーが手入力で携帯電話番号を入力する必要がありますが、あらかじめ携帯電話番号が入力された状態としておくことは可能です。

上はAzure ADのユーザーのプロファイルを設定するページです。
Azureポータルからアクセスするため、設定には管理者権限が必要です。
「認証の連絡先情報」>「電話」にあらかじめ携帯電話番号を設定することで 、ユーザーがAzure ADにログインした後の多要素認証設定画面ではあらかじめ携帯電話番号が入力された状態となります。

この画像には alt 属性が指定されていません

ただし ユーザー自身で変更は可能な状態となっていますのでご注意ください。
なお、Azure ADのユーザーをオンプレミスADから同期している場合、オンプレミスADでは「mobile」属性が相当します。

補足2:多要素認証で使う電話番号を変更できるか?

管理者による変更またはユーザー自身による変更が可能です。

■管理者による変更
先ほどの説明の中で登場したAzure ADのユーザーのプロファイル設定の
「認証の連絡先情報」>「電話」 の情報を書き換えることで、多要素認証に使われる電話番号が変更されます。

■利用者による変更
次の方法でユーザー自身で変更が可能です。
1. アクセス パネル (https://myapps.microsoft.com) にサインイン
2.画面右上のユーザー名のアイコンをクリックして、[プロファイル] をクリック
3.[追加のセキュリティ確認] をクリック
4.[認証用電話]を変更

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、弊社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。