Microsoft Entra ID の多要素認証(MFA)とは? 必要とされる背景や主な認証方法も解説

2026年3月23日更新
2022年6月9日掲載

Microsoft Entra ID の多要素認証(MFA)とは?必要とされる背景や主な認証方法も解説

本記事はSBテクノロジー株式会社(SBT)が執筆・公開した記事を、ソフトバンク株式会社との合併(2026年4月1日付)に伴い転載したものです。文中の「当社」「SBテクノロジー」などの記載ならびにサービス名称などの内容は、初出掲載時点の情報が含まれます。
元記事リンク: https://www.softbanktech.co.jp/special/blog/it-keyword/2022/0039/

近年では、クラウドサービスやSNSなど、Webサービスの利用が増えるにつれ、悪意のある第三者による不正アクセスや情報漏えいなどの被害も増えています。そのような状況の中、有効な方法とされているのが「MFA認証(多要素認証)」です。
MFA認証とは、Webサービスなどにログインする際に、複数の異なる認証要件を要求することにより、セキュリティレベルを高める方法を指します。このブログでは、Microsoft Azure の認証サービスであるクラウド型 Microsoft Entra ID のMFA認証について解説します。

目次

Microsoft Entra ID とは?

ここでは、Microsoft Entra ID(旧Azure AD)の概要とMFA認証の必要性について説明します。

Microsoft Entra ID の概要

Microsoft Entra ID は組織が利用するクラウドアプリのIDを管理する仕組みですが、オンプレミスの Active Directory(以下オンプレ AD)とは根本的に異なります。オンプレ AD はユーザーのID/パスワードを管理し、端末のポリシー制御が行える認証サーバーです。オンプレミスのアプリケーションと連携してKerberos認証を利用してシングルサインオン(SSO)を実現します。一方、Microsoft Entra ID はクラウドのアプリケーションに対してSAMLやOAuthを使ってSSOを提供する仕組みです。

オンプレADと Microsoft Entra ID を連携することで、クラウドサービスであってもオンプレミスとSSOを統合することができます。これによってユーザーは社内へログインするだけでクラウドサービスも追加ログインなしで利用できるようになります。

Microsoft Entra ID 認証にパスワード以外のセキュリティが必要な理由

Microsoft Entra ID に限らず、クラウドサービスの認証はオンプレミスのシステムとは異なり、誰でも認証画面に到達できてしまうため、サイバー攻撃者にとって都合がいい仕組みです。オンプレミス環境であればファイアウォールなどの境界があり、仮にサイバー攻撃者が何らかの方法で認証情報を入手しても、ネットワーク内に侵入しないと組織内へ侵入できなかったものが、クラウド環境だとフィッシングやダークウェブでIDとパスワード(以下、認証情報)を入手してしまえば、組織にログインされてしまうということです。そのため、認証に対してセキュリティの強化が必要であり、そのためのMFA認証を提供しています。

24時間365日体制のMSS「NOZ SECURITY MSS」のサービス詳細はこちら

多要素認証(MFA)とは

ここでは、多要素認証とはどのようなものかを簡単に解説します。

複数の認証要素を使った認証方式

MFA認証を一言で言うと、知識、所持、生体の3つの認証要素のうち2つ以上を使った認証のことです。要素とは「もの」のことです。知識要素は「知っているもの」、所持要素は「持っているもの」、生体要素は「その人の体の一部(として持っているもの)」を指します。このうち2つ以上使う認証をMFA認証といいます。

銀行ATMのキャッシュカード(持っているもの)と暗証番号(知っているもの)と考えるとイメージが湧きやすいでしょう。

マイクロソフト社によれば、多要素認証を使えば不正ログインのリスクを最大99.9%低下させることができるとしています。

Microsoft Entra ID で利用可能なMFA認証要素

Microsoft Entra ID ではパスワード認証に加えて、電話/SMS/アプリによる通知/ハードウェアトークンのコードが利用できます。アプリによる通知は Microsoft Authenticator、スマートフォンなどデバイスによっては生体認証を使うこともできます。
ここでは、Microsoft Azure で用いられる主な多要素認証の方法について解説します。

Windows Hello for Business

「Windows Hello for Business」は、パスワードをPINや生体認証に置き換えてサインインする機能です。認証はデバイスに関連付けられて、生体認証またはPINを使用する新しい種類のユーザー資格情報で構成されます。会社貸与のPC(持っているもの)とPIN(知っているもの)の2要素での認証になります。PKI基盤との連携やSSOにも対応可能です。

Microsoft Authenticator

「Microsoft Authenticator」は、Android/iOS用の無料アプリです。アカウントをひも付けることで、アプリからPINや生体認証を用いてサインインできます。アプリを持っていることを所持要素として Authenticator をパスワードレスにすることもできます。

また、モバイル デバイスに問題が発生した場合やPINを忘れた場合は、SMSなどほかの要素でアカウントにサインインすることも可能です。

FIDO2セキュリティキー

「FIDO2」は、USBデバイスやBluetooth®︎、NFCなどへセキュリティキーを組み込み、それを認証要素として利用する認証方法です。FIDOアライアンスという組織が策定したパスワードレスの国際技術規格です。そのデバイスを所持していること、そしてPINを入力することでMFA認証として利用できます。パスワードをネットワーク上に送信しないため非常に強力な仕組みです。

SMS/音声

「SMS/音声」は、電話番号を入力することで、テキストメッセージや音声にて認証コードを受け取る認証方法です。テキストメッセージを使用した直接認証では、ユーザーがSMSベースの認証を構成して有効にできます。

ただし、近年ではSMSを標的とした攻撃手法も存在するため、よりセキュリティ強度の高い「Microsoft Authenticator」や「FIDO2」の利用が推奨されています。

パスワードポリシー

パスワード認証は、従来から長く用いられている、ID/パスワードによる認証方法です。多要素認証においては「知識情報(知っているもの)」の1要素目として機能します。Microsoft Entra ID には、パスワードの複雑さ、長さ、有効期間などの設定を定義するパスワードポリシーがあり、ユーザー名に使用できる文字と長さを定義するポリシーもあります。

パスワードがポリシーの要件を満たしていない場合、ユーザーに再試行するように求めることも可能です。

24時間365日体制のMSS「NOZ SECURITY MSS」のサービス詳細はこちら

条件付きアクセスと Identity Protection

MFA認証は認証時に本人確認をする仕組みですが、仮にMFA認証をサイバー攻撃者にバイパスされてしまったらどうでしょうか? 仮に、侵入されていなくても認証情報を盗まれていることに気付くことは重要でしょう。MFA認証と連携する Microsoft Entra ID には条件付きアクセス(Conditional Access)と Identity Protection というセキュリティ機能があるのでご紹介します。

条件付きアクセス

Microsoft Entra ID には条件付きアクセスという Microsoft Entra ID への認証時に、条件(割り当て)に該当するユーザーを許可または拒否(追加アクションを要求)することができる機能があります。
条件は以下があります。

設定した条件に合致した場合にブロックするかパスワード変更、MFA認証を要求できます。
例えば、「社内ネットワーク(信頼できる場所)からのアクセスであれば再認証の頻度を下げる」、「海外IPアドレスからのアクセス条件に合致した場合は即座にMFA認証を要求する(海外出張などあり得るため、直ちにブロックはしない)」といった使い方が考えられます。ポリシーは組織に合わせて作り分けられます。

Microsoft Entra ID Identity Protection

Microsoft Entra ID Identity Protection を利用するには有償の Microsoft Entra ID P2 が必要です。この機能は認証時にリスクのあるサインインかをチェックして知らせてくれます。リスクのあるサインインとは、例えば匿名のIPアドレスからのアクセスや、離れた場所から短時間のうちにサインインが行われるなど、複数のルールと機械学習に基づいたセキュリティ基準に違反したサインインのことです。

このリスク度を条件付きアクセスの条件に登録してアクションを要求することができるため、例え認証情報が漏えいしていても認証試行されたときにセキュリティ管理者は気づくことができます。

この Identity Protection は条件付きアクセスの条件として利用できます。不審なサインインがあったときにMFA認証を要求したり、ブロックしたりするポリシーが作成できます。

まとめ

このブログでは、MFA認証を使っての認証セキュリティを強化させるための方法について解説しました。Microsoft Entra ID を用いれば、難しいと考えられがちな多要素認証を比較的容易に導入できます。非常に強力なセキュリティ対策ですので、ぜひ記事を参考に多要素認証を利用した強固なセキュリティを構築してください。

もしセキュリティ構築にお悩みであれば、ソフトバンクにお任せください。Microsoft 365 E5 Security では、MFA認証を中心としたゼロトラストセキュリティを実現し、24時間365日セキュリティ監視をするマネージドセキュリティサービスも提供しています。
セキュリティ構築にお困りの場合は、ぜひお問い合わせください。

24時間365日体制のMSS「NOZ SECURITY MSS」のお問い合わせはこちら
24時間365日体制のMSS「NOZ SECURITY MSS」のサービス詳細はこちら

AIによる記事まとめ

Microsoft Entra ID(旧Azure AD)における多要素認証(MFA)の解説記事です。クラウドサービスは境界防御がなく不正アクセスの標的になりやすいため、知識・所持・生体の3要素のうち2つ以上を組み合わせるMFAが不可欠です。具体的な手法としてAuthenticatorアプリやFIDO2などを挙げ、さらに「条件付きアクセス」等の機能を併用した強固なセキュリティ構築を推奨しています。

※上記まとめは生成AIで作成したものです。誤りや不正確さが含まれる可能性があります。

関連サービス

NOZ SECURITY MSS

NOZ SECURITY MSS

日々高度化・巧妙化するサイバー攻撃を当社SOCからリアルタイムに監視することで、重大なインシデントを防ぎ、お客さまの事業継続を支援します。

https://www.softbank.jp/biz/services/security/noz-security-mss/
Future Stride
ビジネスブログ「Future Stride」編集チーム

ビジネスブログ「Future Stride」では、ビジネスの「今」と「未来」を発信します。

DXや業務改革をはじめとしたみなさまのビジネスに「今」すぐ役立つ最新トレンドを伝えるほか、最先端の技術を用いて「未来」を「今」に引き寄せるさまざまな取り組みにフォーカスを当てることで、すでに到来しつつある新しいビジネスの姿を映し出していきます。

トップに戻る
/common/fragments/sidebar

同じカテゴリーの記事をみる

Tag
セキュリティ
Display
Part