Microsoft 365の多要素認証を設定する方法は？ 不正アクセスを防ぐセキュリティ対策

多要素認証（Multi-Factor Authentication、MFA）は、デジタル認証システムのひとつで、本人確認を行うために複数の異なる認証手段を組み合わせる手法です。
例えば、パスワード入力だけでなく、複数の異なる手段も用いて、アクセスしようとしているユーザーが本人であるか、真偽を確認する認証をします。

パスワードには、単純で推測可能なものが設定されると第三者に解読されてしまったり、ハッキングにより盗み出されたりするリスクがあります。このため、パスワードに加え、2つ以上の認証手段を用いることでなりすましを排除し、セキュリティの強化が可能となります。
では、多要素認証には何があるのか、具体的に解説します。

多要素認証のプロセスは、知識要素、所有要素、そして生体要素の3つのカテゴリーに分けられ、これらは「認証の3要素」と呼ばれています。

• 知識要素：本人しか知り得ない情報（例：パスワード、PIN［個人識別番号］など）
• 所有要素：本人しか所有していないもの（例：スマホ、セキュリティトークンなど）
• 生体要素：本人の生体、生物学的特徴の情報（例：指紋、顔認識、虹彩認識など）

例えば、多くの銀行のATMではお金を引き出す場合、キャッシュカード（所有要素）とPIN（知識要素）が必要になっています。これは2要素認証（2FA）の例です。
同様に多くのオンラインサービスでも現在、パスワード（知識要素）の他に、スマホに送られる一時コード（所有要素）の入力を求めるなど、多要素認証を導入しています。
このため、たとえパスワードが盗まれたとしても、2つ目の認証要素がなければアカウントへのアクセスはできず、不正を防ぐことになるのです。

多要素認証に似ている用語として、「多段階認証」があります。両者の違いを十分に理解されているでしょうか。

前項で解説したように、多要素認証とは本人確認を行うために、複数の手段を組み合わせる認証手法を指します。
一方の多段階認証とは、ユーザーがシステムにログインする際に、複数のステップ、段階を経る認証方法を指します。例えばパスワード入力後、次のステップとして、メールで送られてきた一時コードを入力するというのが多段階認証です。

多段階認証では2つの「知識要素」が用いられることが多く、一方の多要素認証では、パスワード（知識要素）とスマホへの一時コードの受信（所有要素）、または顔認識（生体要素）のように、異なる要素が組み合わされています。

Microsoft 365のセキュリティ強化ツールについてご紹介している資料をご用意しております。ぜひご覧ください。
Microsoft 365 を守るセキュリティツール

セキュリティを強化する多要素認証ですが、アクセスするまで苦労する、認証ミスを繰り返すなど、ユーザー自身にとって使い勝手が悪くなっては意味がありません。そのため、セキュリティを高めながらも、ユーザーが利用しやすい認証要素を用いるべきでしょう。
では、多くのビジネスユーザーが利用しているMicrosoft 365の多要素認証の手段はどうなっているのでしょうか。主な認証方法を紹介します。

事前に登録した電話番号にSMS送信されるワンタイムコードを使用し、認証が行われます。

登録した電話番号に自動的に発信される電話を受け、その電話で指示されるアクションを行うことで認証します。

マイクロソフト社が提供するアプリ「Microsoft Authenticator」は、ログイン時に2段階認証を行うためのツールです。アプリから通知を受け取り、これを確認するだけでログインを完了できます。また、コードを手動で入力する認証方法もあります。これは特にネット接続が不安定な場合や、通知を受け取ることができない場合に便利です。

事前にApp StoreまたはGoogle Playストアからスマホに、Microsoft Authenticatorアプリをインストールして、Microsoftアカウントとパスワードを登録しておく必要があります。

Windows Helloはパスワードを入力せず、顔認識、指紋認識、またはPINを使用してサインイン可能な認証システムです。この方法は、特にWindows 10デバイスを使用している場合に便利ですが、利用しているデバイスが顔認識、指紋認識機能に対応していることが必要です。

Microsoft 365に備わるセキュリティ機能などについてご紹介した記事をご用意しております。ぜひご覧ください。
Microsoft 365のセキュリティ対策と具体的な機能を解説

企業や学校といった組織において、Microsoft 365のセキュリティを高めるための必須項目として、多要素認証を導入することができます。その設定方法を解説します。

組織の管理者が、アカウントのセキュリティを強化する多要素認証を有効化する手順を解説します。

1. 「Microsoft 365管理センター」を開く
2. 「ユーザー」の中から「アクティブなユーザー」（今現在使われているアカウント）を選択
3. 「多要素認証」を選択
4. どのアカウントをセキュリティ強化するか対象ユーザーを選択し、その後「有効にする」をクリック
5. 「多要素認証を有効にする方法の概要」という画面が出てきたら、「multi-factor authを有効にする」を選択

前項で説明した手順で、管理者がユーザーアカウントに多要素認証を適用することで、ユーザーがMicrosoft 365へログインした際に、他の認証手段を追加できます。

その一例として、Microsoft Authenticatorアプリを使用した認証手順を解説します。
先ほど「Microsoft Authenticatorを使うには？」で解説したように、アプリをスマホへダウンロードしておきましょう。

1. ログイン時に「詳細情報が必要」のメッセージが表示されたら、「次へ」を選択。「追加のセキュリティ確認」の画面で「モバイルアプリ」を選び、「確認のため通知を受け取る」にチェックを入れ、「セットアップ」をクリック
2. 次に、PC画面に表示されるQRコードをスマホで開いているMicrosoft Authenticatorアプリで読み取る。読み取り方法は、「＋」ボタンをタップし、「職場または学校アカウント」を選択した後、QRコードをスキャンする
3. スキャンが完了したら、PC画面で「次へ」をクリック。Microsoft Authenticatorアプリへの通知が届いたら、「承認」をタップ
4. 最後に、PC画面でMicrosoft Authenticatorアプリへアクセスが不可能になった場合の代替セキュリティを入力し、「次へ」をクリック。最後に「完了」をクリックで設定完了

Microsoft 365のセキュリティに関する記事をご用意しております。ぜひご確認ください。
▼Exchange Online（Microsoft 365 のメール機能)にセキュリティリスクが？ その理由と解決方法を紹介

続いて、個人用のMicrosoftアカウントに多要素認証を設定する手順を解説します。

個人アカウントの場合は、Microsoftアカウントに任意の認証情報を追加して、自身で2段階認証を有効化すると設定されます。

ここでは、一例としてSMSでコードを受信する認証の設定方法を紹介します。

1. Microsoft 365ポータルにログイン
2. 画面右上のアカウントマネージャーから「Microsoftアカウント」を選ぶ。ここで「セキュリティ」をクリックし、「追加のセキュリティオプション」に進む
3. 「サインインまたは確認の新しい方法を追加」をクリック。認証方法を選択するため、「その他のオプションを表示」をクリックし、「コードのSMS送信」を選ぶ
4. 「電話番号の追加」の画面が表示されたら、「日本（+81）」を選択し、電話番号の最初の「0」を除いた番号を入力後、「次へ」をクリック
5. SMSで受け取ったコードを指定された欄に入力し、「次へ」をクリック。これで認証コードの送信先として電話番号が登録される。次に、2段階認証を有効化する

続いて、2段階認証の有効化する手順について解説します。

1. Microsoft 365ポータル内のMicrosoftアカウント画面から「セキュリティ」へ進み、「追加のセキュリティオプション」を選択
2. 「2段階認証」セクションの中から「有効にする」をクリック
3. 「2段階認証のセットアップ」画面に表示される情報を確認し、「次へ」を選択。指示に従って設定を進め、最後に「完了」をクリック

Microsoft 365のセキュリティを高める多要素認証について解説してきました。
多要素認証で不正ログイン対策は行えるものの、ウイルスやサイバー攻撃の手段なども進化し続けており、依然としてMicrosoft 365にはセキュリティリスクが残ります。
この脅威に立ち向かうにはMicrosoft 365のセキュリティ機能を活用するだけでなく、他の手段を検討する必要があるでしょう。

そこで、Microsoft 365のセキュリティを一段階強化するための具体な手段について紹介します。

Microsoft 365は、様々なセキュリティ機能を備えていますが、さらに不正アクセスを排除するため、いくつかのサードパーティ製品・ツールを導入することも有効です。
ここではおすすめできる具体的な製品・サービスを紹介します。

Microsoft 365のセキュリティリスクを排除するHENNGE One（ヘンゲワン）はアクセス制御やメールセキュリティに幅広く対応しているなど、リモートワークにも最適なクラウドセキュリティツールです。特にMicrosoftの標準機能にないセキュリティ強化機能をHENNGE Oneでカバーすることが可能です。
HENNGE Oneについて詳しくはこちらをご覧ください。

GMOトラスト・ログインとは、業務で使用するアプリや社内システムのID/パスワード管理、またその各アプリへのシングルサインオン（SSO）ができる無料のクラウドサービスです。GMOトラスト・ログインの有償オプションを利用することで、ログイン時の多要素認証やアクセス制限をシングルサインオンで実現できます。
GMOトラスト・ログインについて詳しくはこちらをご覧ください。

Microsoft 365のセキュリティをさらに強化するためには、専門業者に依頼することも有効です。

専門業者に依頼すると、次のようなメリットがあります。

• 最新のセキュリティ対策を導入できる
• セキュリティ体制を定期的に監査できる
• 万が一のセキュリティインシデントに備えることができる

テクバンは、セキュリティ脅威の進化に常に目を向け、最新のセキュリティ対策をお客様へご提案しています。「セキュリティリスクが心配だ」「何から手を付けて、どう対策を打ったらわからない」という組織の方は、お気軽にご相談ください。丁寧なヒアリングから、お客様に合ったセキュリティ・ソリューションをご提案いたします。

テクバンのセキュリティ対策支援とは？

※本記事の内容は2023年6月時点のものです。Microsoftの仕様や利用環境は変更する場合があります。