条件付きアクセスを使用して、Microsoft 365 で全ユーザーに対して MFA を有効にする方法
Microsoft 365 で MFA を全面的に設定するのは、最初は少し大変に感じるかもしれません。特に、アカウントがロックアウトされたり、設定ミスをしてしまうのではないかと心配な場合はなおさらです。しかし、条件付きアクセス ポリシーを使用すれば、設定は非常に簡単になり、手間をかけずにセキュリティを強化できる確実な方法となります。この設定が完了すれば、ログイン時に全員が 2 要素認証を行う必要が生じ、アカウントの乗っ取りを大幅に減らすことができます。ただし、設定によっては予期しない動作が発生する可能性があるため、強制適用する前に「レポートのみ」モードでテストすることをお勧めします。そうすることで、影響を受けるユーザーを確認し、必要に応じて調整することができます。
条件付きアクセス ポリシーを使用して、Microsoft 365 のすべてのユーザーに MFA を適用する方法
要件:
- Microsoft Entra ID の管理者権限。(これは、条件付きアクセス ポリシーを作成および管理できる管理者ロールです。)
- Microsoft 365 Business Premium以上のサブスクリプションが必要です。条件付きアクセス機能を利用するには、これが必須です。
基本的に、このプロセス全体は、 Microsoft Entra管理センターにアクセスし、新しいポリシーを作成し、管理者以外の全員が機密情報にアクセスする前に多要素認証(MFA)を取得するように設定することから始まります。一見簡単そうに聞こえますが、特に自分自身が締め出されないようにするなど、細部に注意を払うことが重要です。
MFA強制ポリシーの設定方法
管理センターに移動して、新しいポリシーを作成します。
- ブラウザを開いて、Microsoft Entra管理センターにアクセスしてください。すべての魔法はここで起こります。
- 「セキュリティ」をクリックし、「条件付きアクセス」に進みます。そこから「ポリシーの作成」をクリックします。
ポリシーに名前を付け、適用範囲を設定します。
- 分かりやすい名前を付けましょう。「すべてのユーザーに多要素認証を必須にする」のような名前であれば、今後の監査が容易になります。
- 「ユーザーまたはグループ(プレビュー)」で「含める」をクリックし、「すべてのユーザー」を選択します。このポリシーはすべてのユーザーに適用されますが、管理者アカウントは必ず除外してください。
- 「除外」タブで「ユーザーとグループ」を選択し、 Microsoft 365 の管理者アカウント、特に緊急アクセス用アカウント(いわゆる「緊急時用アカウント」)を選択します。これにより、多要素認証(MFA)に不具合が生じた場合でも、アカウントがロックアウトされるのを防ぐことができます。
適切なアプリを選定し、多要素認証(MFA)要件を強制する
- 「クラウド アプリまたはアクション」に移動し、「すべてのクラウド アプリ」を選択して、必要なすべてのアプリが網羅されていることを確認してください。
- 「許可」の下にある「アクセスを許可」を選択し、「多要素認証を要求する」にチェックを入れます。その後、「選択」をクリックします。これが多要素認証を強制するための重要な手順です。
ポリシーを有効化してテストする
- 「ポリシーを有効にする」トグルをオンに切り替えてください。または、慎重を期す場合は、「報告のみ」を選択して、全員を即座にロックアウトすることなく、影響を受けるユーザーを確認してください。
- 保存後、可能であれば数日待ってから、「ポリシーの影響を表示」で影響を確認してください。これにより、MFAが正常に適用されたユーザーと、失敗したユーザーまたはスキップされたユーザーが表示され、微調整に役立ちます。
最後のヒント
場合によっては、一部のマシンやブラウザでMFAプロンプトが不安定になることがあります。なぜある日は正常に動作し、次の日は動作しないのかは不明ですが、「マイサインインとセキュリティ情報」でMFAの方法と登録リンクを再確認することをお勧めします。また、ユーザーがロックアウトされたり、MFAを完了できなかったりする場合に備えて、緊急アクセス専用の管理者用アカウントを用意しておくことが重要です。ただし、問題が収まったら、これらのアカウントのMFAを無効にすることを忘れないでください。
まとめ
条件付きアクセスによる多要素認証(MFA)の導入は、労力をかける価値のあるセキュリティ強化策の一つです。これは基本的に、悪意のある攻撃者が突破するのが非常に困難な障壁となり、特に盗まれたパスワードだけに頼る場合には効果的です。管理者アカウントが保護され、事前に慎重なテストが行われていれば、それほど大きな負担にはなりません。ただし、ユーザーを締め出してしまうことを心配する人にとっては、少し神経を使う作業かもしれません。
この情報が、セキュリティ侵害や管理者権限のロックアウトといった悪夢を避ける一助となれば幸いです。時には、すべてを正しく設定するために少し時間をかけるだけで良いのです。そうすれば、その後は安心して過ごせるでしょう。
まとめ
条件付きアクセス ポリシーを使用してすべてのユーザーに MFA を適用することは、Microsoft 365 環境のセキュリティ強化に向けた大きな一歩です。最初は少し難しく感じるかもしれませんが、手順と除外設定やテスト モードの重要性を理解すれば、簡単に設定できるようになります。すべての設定が初回で完璧に動作するとは限りませんが、根気強く取り組めば、セキュリティ体制を大幅に強化できます。
まとめ
- Microsoft Entra管理センターを使用して、新しい条件付きアクセス ポリシーを作成します。
- すべてのユーザーを含めるが、管理者アカウント、特に復旧に使用されるアカウントは除外する。
- すべてのクラウドアプリを対象とし、アクセスに多要素認証(MFA)を必須とする。
- 完全に有効にする前に、「レポート専用」モードでテストしてください。
- 影響を監視し、必要に応じて調整する。
これがMFA導入の効率化に役立つことを願っています。複数の環境で効果があった方法なので、将来的に深刻な情報漏洩を防ぐ一助となれば幸いです。