不正サインインを防ぐ！Microsoft 365の多要素認証と注意したいこと

• ★ この記事は5～6分くらいで読めます。

みなさんこんにちは、Microsoft 365 相談センターの五味です。
先日プライベートのiPhoneを機種変更したのですが、うっかり2ファクタ認証を設定して（させられて...笑）しまいました。

私の場合、"他のAppleデバイス"であるMacbookは常時携行してないため、2ファクタ認証されるとものすごく困るということで泣く泣く解除したのですが（ちなみに解除は通算3回目です...）、しかしセキュリティ的には、2ファクタ認証ってとても大事なんですよね。
確かに面倒臭さはどうしてもあるのですが、こうした認証方式が有効であれば、IDとパスワードが万が一漏れてしまっても、不正にサインインされることはなくなります。

最近はセキュリティ向上のために、こうした多要素認証を取り入れるサービスが多くなっていると感じています。
特にビジネスにおいては、在宅勤務などオフィス以外の場所で働くことも増えた昨今、セキュリティの担保のためにぜひとも導入したい機能ではないでしょうか？

そこで今回の記事では、IT管理者の方向けに【　Microsoft 365の多要素認証(MFA)　】　についてご紹介します。

そもそも、「多要素認証(MFA)」とは？

「多要素認証」を理解する前に知りたい "認証" の方法

「多要素認証」(Multi-Factor Authentication、通称"MFA"とも言いますね)を理解する前に、まずどうやってシステム側が今ログインしようとしている人物をユーザー本人であるか判断するのか、その手段を説明しましょう。認証するには、下記の3つのどれかを利用して行っています。（業界ではこれらを"認証の3要素"と呼称するみたいです）

①知識情報（Something You Know, "SYK"）

主に暗証番号やパスワード、ワンタイムパスワード、秘密のの質問など、本人でしか知らない情報がこれにが当てはまります。簡単に設定できて最も手軽ですが、パスワードを他人に知られた時点で認証の要素として成り立たなくなる他、本人の記憶による情報でもあるので、忘れたら再発行手続きが必要というのが欠点でもあります。

②所持情報（Something You Have, "SYH"）

本人しか所持していない情報やモノを指します。例えば免許証情報やICカード、携帯電話などですね。登録してある携帯電話のSMSに番号が届くようなセキュリティトークンもこれにあたります。これらは盗まれたり紛失してしまったりすると認証の要素として成り立たなくなってしまうという欠点があります。

③生体情報（Something You Are, "SYA"）

顔認証や静脈、虹彩、声紋の認証といった、本人の生体情報を元に認証する方法です。知識情報や所持情報と異なり盗むことは難しいものの、誤認識される可能性がある点や万が一漏洩した場合に安全性を回復することが著しく難しい（生体情報は不変のため）という欠点もあります。

正確には少し違う「多要素認証」と「多段階認証」

多要素認証の話をしていると、「他段階認証」なんてキーワードもよく聞かれますが、実際には少し定義が異なります。 このあたりの違いも、これを気に理解しておきましょう！

多要素認証

上記のように、認証の3要素はそれぞれメリット／デメリットがあるので、異なる要素の認証を複数組み合わせた認証のことを多要素認証と言います。
例えばID/パスワード(知識情報)と顔認証(生体情報)でログインさせるような仕組みをとっていたら、それは多要素認証を利用しているということになります。

多段階認証

これに対して多段階認証とは、文字通り（同じ方法であれ、異なる方法であれ）認証を複数回に分けて行うことを指します。
多要素認証で2回に分けて認証していればこれも多段階認証(2段階認証)と言えます。

Microsoft 365へのアクセスを多要素認証／2段階認証方式にしたいなら

Microsoft 365にはMFA機能がついています

Microsoft 365（Office 365）にも、ユーザーのサインインを二段階で、複数の要素を利用して認証する機能があります。
Microsoft 365の有料プランをご契約いただければ、MFA機能（Azure Multi-Factor Authenticationの無料バージョン）が利用できますよ。

MFA機能がついてくるプラン

以下のMicrosoft 365のプランで、MFA機能をご利用いただけます。

• Microsoft 365 Apps for business
• Microsoft 365 Business Basic
• Microsoft 365 Business Standard
• Microsoft 365 Business Premium
• Microsoft 365 E3
• Microsoft 365 E5
• Microsoft 365 F3

プラン・価格を確認する

Microsoft 365のMFAの認証要素

多要素認証を設定すると、ユーザーがサインインするとき、まずID/Passwordを入力するよう求められます。
その後に下記のような認証方法を利用して二段階目の認証（第2認証要素）が行われます。

• モバイル アプリ (オンラインおよびワンタイム パスワード [OTP])
• 電話
• ショートメッセージサービス（SMS）
• webブラウザ以外のクライアントのアプリケーション（Outlookなど）パスワード
• 電話認証時の規定の案内応答

但し、Office 365の多要素認証機能を「より高度に管理したい」という場合には、Azure AD Premium Plan 1以上のライセンスが追加で必要になります。

多要素認証／2段階認証 を利用する場合、事前に注意すること

セキュリティを高めるのに便利なMFA機能ですが、利用前には事前に下記をご確認ください。

1. 各社員が携帯電話 (スマートフォン含む) を持っているかどうか
2. Microsoft 365導入後に利用するOfficeの種類とバージョン

先述の通り、Microsoft 365（Office 365）におけるログイン強化機能「多要素認証（2段階認証）」の2段階目の認証では、各ユーザーは電話、ショートメッセージサービス (SMS) 、もしくはモバイルアプリ (スマートフォンのみ) を利用して認証します。そのため、MFA機能のご利用には、各社員が携帯電話を持っていることが前提となります。

また、ご利用いただくOfficeのバージョンによっては、Office 365と接続 (Office 365に対してのサインイン) の際に多要素認証の利用ができない可能性があります。
多要素認証の利用ができないOfficeの場合、別途そのOfficeからOffice 365への接続のために「アプリパスワード」という特殊なパスワードを作成する必要があります。アプリパスワードを使えば多要素認証の利用ができないOfficeからでもOffice 365への接続はできますが、Office 365のアカウントとアプリパスワードだけでOffice 365へサインインできるため、事実上多要素認証とはなりません。
さらに、ユーザーはブラウザからOffice 365へサインインする際に利用する通常のパスワードと、アプリパスワードの2種類のパスワードを記憶しておく必要があり、ユーザーの負担が増えてしまいます。

まとめ

いかがでしたか？
今回は、IT管理者の方向けに【　Microsoft 365の多要素認証(MFA)　】　についてご紹介しました。

この他、法人でのMicrosoft 365導入時（導入前）のご相談は、Microsoft 365相談センターまでお気軽にお問い合わせください。
Microsoft 365の専任スタッフが皆さまからのお問い合わせやご相談に丁寧に回答いたします。

• ※ 導入後のお問い合わせは、販売店さま、もしくは購入後の問い合わせ窓口までお願いいたします。

それではまた、次回のブログでお会いいたしましょう！