認証方法ポリシーでは、ユーザーが [マイ セキュリティ情報] ページにアクセスして、優先する MFA メソッドを設定するときに使用できるオプションを定義します。
注:
次の構成ガイダンスでは、Microsoft Entra テナントが従来の MFA/SSPR ポリシー設定から統合認証方法ポリシーに移行されていることを前提としています。 移行を完了 するには、認証方法ポリシーに移行する方法に関する ガイドを使用します。
成熟度レベル 1 の場合、Microsoft では、パスワードレスを有効にし、 登録キャンペーン などの機能を利用して、強力な認証方法をユーザーに有効にすることをお勧めします。
次の手順を使用して、特定の成熟度レベルの認証方法を構成します。
- Microsoft Entra管理センター>管理センター Microsoft Entraブラウザー。
- [ Protection>Authentication methods>Policies] を選択します。
- 次の表をガイドとして使用して、必要な成熟度レベルの認証方法を構成します。
次の表は、成熟度レベルごとに使用できる認証方法の概要を示しています。
| 認証方法 | 成熟度レベル 1 | 成熟度レベル 2 & 3 |
|---|---|---|
| 証明書ベースの認証 (多要素) |
|
|
| FIDO2 セキュリティ キー |
|
|
| 一時アクセス パス (TAP)1 |
|
|
| Microsoft Authenticator アプリ |
|
|
| ハードウェア OATH トークン |
|
|
| サード パーティ製ソフトウェア OATH トークン |
|
|
| SMS |
|
|
| 音声通話 |
|
|
| 証明書ベースの認証 (単一要素) |
|
|
| EMAIL OTP |
|
|
重要
- TAP はフィッシングに対する耐性のある認証方法ではありません。ただし、許可された認証方法を設定するには、ユーザーのアクセスをブートストラップする必要があります。
- TAP の使用に関する一般的なシナリオには、構成された認証方法がない新しいスターターが含まれます。 すべての認証方法へのアクセスを失ったユーザー。
- ヘルプ デスクのスタッフは、一時アクセス パスを発行するときに、ユーザーの ID を適切に確認する必要があります。