多要素認証(MFA)を使って Microsoft 365 を安全に利用する

Microsoft 365 を始めとするクラウドサービスでは、ユーザー名とパスワードでサインインして利用することが一般的です。しかしパスワードによる認証には以下のような脅威があります。

・パスワードはユーザーが設定するので、弱いパスワード・推測されやすいパスワードが利用される
・パスワードの使い回しにより、別の場所で漏洩したパスワードが攻撃者に利用される
・フィッシングなどによりパスワードが盗み取られる

これは「パスワードを知っていれば本人と認める」というパスワードの原理によるもので、パスワード認証を利用する上で避けられない問題点です。実際に発生しているMicrosoft 365 への侵入・侵害の事例でも、その多くはパスワードが推測されたり、盗み取られたりしたことによるものです。
多要素認証はこのようなパスワード認証の問題点を解消するための仕組みで、Microsoft 365 へのサインインでも利用できます。
この記事では多要素認証と Microsoft 365 での利用方法について解説します。

Microsoft 365 の多要素認証については、以下の記事でも紹介しています。本記事と併せてご覧ください。

多要素認証とは

多要素認証(MFA:Multi-Factor Authentication)とは、ユーザー認証を行う際、以下の3つの要素の内、最低2つの要素を求めることです。

・知識情報
ユーザーが知っている情報。パスワードや PIN

・所持情報
ユーザーが持っている情報。携帯電話やハードウェアキーのように、簡単には複製できない信頼できるデバイスなど

・生体情報
ユーザー自身の指紋や顔など

1段階目の認証で知識情報としてパスワードを求め、2段階目の認証で所持情報または生体情報を求めることが一般的です。

「2段階認証」や「多段階認証」という用語もあります。これはパスワードに加えてもう一つ以上の認証情報を要求することですが、多要素認証と異なり複数の要素を求めません。例えばパスワードに加えて「秘密の質問」を要求する場合、どちらも「知識情報」となるので、多要素認証には該当しません。
多要素認証は知識情報に比べて他者の利用が困難な所持情報・生体情報を必ず利用するので、より安全です。

多要素認証により、弱いパスワードが利用されている場合、パスワードが盗み取られた場合、流出した場合でも、パスワードだけでは認証されないので不正ログインやなりすましを防止する効果があります。

Microsoft 365 の多要素認証

Microsoft 365 ではユーザーの認証に Microsoft Entra ID を利用しています。Entra ID ではサインインに多要素認証を利用することができます。

利用できる認証手段

Entra ID の多要素認証では、1段階目の認証(プライマリ認証)と2段階目の認証(セカンダリ認証)のそれぞれで、以下のような手段が利用できます。

手段 プライマリ認証 セカンダリ認証
パスワード ×
SMS ▲
音声通話 ▲ ×
Microsoft Authenticator パスワードレス × *
Microsoft Authenticator プッシュ通知 ×
Authenticator Lite ×
Passkey (FIDO2)
OATH ソフトウェア トークン(TOTP) ×
Windows Hello for Business
電子証明書

注:主な手段を掲載しています。詳細については以下を参照してください。

▲ の付いている電話(音声・SMS)での多要素認証は推奨されません
* :プライマリ認証に電子証明書が使われている場合に限り、セカンダリ認証に使用可

用語解説

・OATH
ワンタイムパスワードを生成するハードウェアやソフトウェアの国際標準規格です。
準拠したソフトウェアやハードウェアで生成されたワンタイムパスワード(TOTP)をサインイン画面に入力して認証します。

・TOTP
TOTP(Time based One Time Password)は一定の時刻の間だけ有効な一時パスワード(OTP:ワンタイムパスワード)をソフトウェア(Authenticator アプリなど)やハードウェアのトークン(パスワード生成装置)で自動的に生成して利用します。
トークンにアカウントを登録する時に生成される暗号鍵と現在の時刻を利用して OTP を生成するので、ある時刻においてサービスとトークンで生成される OTP は常に一致します。これにより、ユーザーがトークンを所持していることを証明します(所持情報)。
ソフトウェアトークンとして Microsoft Authenticator を利用することができ、Microsoft 365 の他に、AWS アカウント、X(旧 Twitter)アカウント、Facebook アカウント、Google アカウントなどの多要素認証で利用できます。また Google Authenticator などのサードパーティの認証アプリを利用することもできます。

・Microsoft Authenticator パスワードレス
パスワードを使用しない認証方式です。ユーザー名の入力後にパスワード入力画面の代わりに2桁のコードが表示され、それを Microsoft Authenticator アプリに表示される通知画面に入力して承認します。
パスワードレス認証は Entra ID に登録され MDM で管理されているデバイスでのみ利用できます。またデバイスで PIN、パスワード、または生体認証による画面ロックを構成する必要があり、Microsoft Authenticator の利用にはこれらの手段でのロック解除が求められます。
このような要件が設けられており、Microsoft Authenticator パスワードレス認証は単独でデバイスの所持(所有情報)と知識情報(PIN・パスワード)または生体情報の2要素を要求するため、パスワードと他の要素による認証と同等のセキュリティを持つ認証方式です。

Microsoft Authenticator パスワードレス

・Microsoft Authenticator プッシュ通知
Microsoft Authenticator パスワードレスと同様に、Microsoft Authenticator アプリに通知が表示され、サインイン画面に表示されている2桁のコードを入力して承認する方式です。Entra ID に登録されていないデバイスでも利用可能です。
プライマリ認証に使用できないので、通常はパスワードでプライマリ認証した後のセカンダリ認証に使用されます。

Microsoft Authenticator プッシュ通知

・Authenticator Lite
Authenticator Lite は Outlook モバイルアプリで利用できる Microsoft Authenticator の簡易版です。
プッシュ通知と TOTP ソフトウェアトークンとして利用できます。

・Windows Hello for Business
Windows Hello for Business はデバイスに登録されたキーや証明書(つまりデバイスの所持)と、PIN(知識情報)または指紋や顔(生体情報)の2つの要素で認証を行うため、単独で多要素認証とみなされます。
Windows Hello for Business での Entra ID へのサインインは、Entra ID に参加した Windows デバイスで可能となります。

多要素認証を有効にする

Microsoft 365 テナントで多要素認証を有効にする方法は、お持ちの Microsoft 365 ライセンスの種類によって変わります。
どのライセンスでも、「セキュリティの既定値群」を有効にすることで多要素認証を有効にできます。Microsoft Entra ID P1 を含んでいる Microsoft 365 Business Premium ・ Microsoft 365 E3、または Microsoft Entra ID P2 を含んでいる Microsoft 365 E5 をお持ちの場合は、これに加えて「条件付きアクセス」を利用して多要素認証を有効にできます。

この他に「ユーザーごとの多要素認証」の利用も可能ですが、この方法は非推奨です。

それぞれの方法で多要素認証を有効にする手順については、以前の記事で紹介しています。

セキュリティの既定値群

セキュリティの既定値群は、現在のインターネット環境において一般的なパスワードスプレー攻撃、リプレイ攻撃、フィッシングなどのアカウント関連の攻撃から、簡単な手順で組織を保護できるよう構成された、一連のセキュリティ設定です。
セキュリティの既定値群を有効にすると、以下のようなセキュリティ強化の構成が自動的に有効になります。

・すべてのユーザーに対して、多要素認証への登録を必須にする
・管理者に多要素認証の実行を要求する
・必要に応じてユーザーに多要素認証の実行を要求する
・レガシ認証プロトコルをブロックする
・管理センターへのアクセスなどの特権が必要な作業を多要素認証で保護する

セキュリティの既定値群では、すべてのユーザーのすべてのサインインに対して多要素認証を求めることはできませんが、不審なサインインアクティビティ(通常とは異なる場所からのサインインなど)に対して多要素認証を求めることや、管理者のサインインや管理作業のためのサインインに対して多要素認証を求めることができます。
管理者の設定や運用、ユーザーの認証操作のどちらについても比較的容易に利用でき、一般的な脅威からの保護に十分役立つ機能です。
セキュリティの既定値群を有効化できるテナントでは、自動的に有効になっています。
セキュリティの既定値群について、詳しくは以下を参照してください。

条件付きアクセス

条件付きアクセスとは、ユーザーが Microsoft 365 にサインインしてアプリやデータなどのリソースにアクセスする際に、シグナルに応じてアクセスを許可するためにユーザーに求める「要求」を決定する機能です。
シグナルとは下図のようにアクセスする状況で、要求とは多要素認証や組織で管理されているデバイスの利用、登録済みアプリの利用などで、シグナルによってはアクセスの拒否も行われます。

条件付きアクセス

「セキュリティの既定値群」に比べて多要素認証を要求するサインインやアクセスの条件を管理者がきめ細かく構成できるので、組織の実情に沿ったセキュリティと利便性を両立できます。
また「要求」では多要素認証以外に管理されたデバイスでのアクセスを求めることもでき、正規のユーザー以外のなりすましをより確実にブロックすることが可能となります。
条件付きアクセスは複雑で高度なポリシー(アクセスのためのルール)でアクセスを制御できますが、その反面ポリシー設定を誤ると、管理者がロックアウトされてしまう場合もあります。またポリシー内容によっては認証を求めるユーザー側に大きな影響を与える場合もあります。
そのため条件付きアクセスを構成する場合は、いきなりポリシーを適用するのではなく「レポート専用モード」でポリシーをテストし、問題が無いことを確認することをお勧めします。
条件付きアクセスのレポート専用モードについて、詳しくは以下を参照してください。

管理ポータルに必須の多要素認証

以前から告知されていたように、2024年10月15日以降、Microsoft のクラウドサービスの管理を行うポータルサイトへのサインインに多要素認証が必須になりました。
多要素認証が必須となったポータルサイトは以下の通りです。

・Azure Portal
・Microsoft Entra 管理センター
・Microsoft Intune 管理センター

Microsoft 365 管理センターは対象外ですが、Microsoft 365 の管理運用では Microsoft Entra 管理センターや Microsoft Intune 管理センターを利用する場合があるので、Microsoft 365 の管理者も多要素認証の構成が必要となります。
多要素認証でのサインインが必須となるのはこれらの管理ポータルでリソースやポリシー、ユーザー、グループなどの作成、読み取り、更新、削除の操作を実行できるユーザーです。
グローバル管理者でなくともこれらの権限を有するユーザーアカウントは対象となりますが、これらの権限を持たない一般ユーザーの Microsoft 365 サービスの利用には影響しません。
管理ポータルへのアクセスでの必須の多要素認証について、詳しくは以下のページを参照してください。

まとめ

インターネット上のさまざまな脅威に対して、パスワードのみでの認証ではセキュリティを保つことが困難になっています。
パスワードは、適切なパスワードを必要な数だけ作成して覚えておく必要があるため、ユーザーにとっては厄介な存在です。そのため、

・推測されやすい・桁数の少ない、弱いパスワードの利用
・複数のサービスでのパスワードの使い回し
・安易なパスワードの入力による漏洩(フィッシングなど)

といった問題を起こしがちです。
こうしたパスワードの弱点を補うのが多要素認証です。多要素認証を構成して追加の認証要素を求めることで、パスワードに対するさまざまな悪意のある攻撃からアカウント、サービス、データを保護することができます。
Microsoft 365 を安全に利用・活用するためには、多要素認証は避けて通れない機能です。その場合、組織の要件に合わせた柔軟な多要素認証の構成を行うには、条件付きアクセスが利用できる Microsoft Entra ID P1 ・ P2 ライセンスが必要になります。
多要素認証の構成や、条件付きアクセスが利用できるMicrosoft Entra ID P1 を含んでいる Microsoft 365 Business Premium ・ Microsoft 365 E3、または Microsoft Entra ID P2 を含んでいる Microsoft 365 E5の導入については、当社担当営業までお気軽にお問い合わせください。

CSPの記事