次の方法で共有

Microsoft Entra ID の認証方法 - セキュリティに関する質問

セキュリティの質問は、サインイン イベント中に認証方法として使用されません。 代わりに、セルフサービス パスワード リセット (SSPR) プロセス中にセキュリティの質問を使用して、ユーザーを確認できます。 管理者アカウントでは、SSPR の検証方法としてセキュリティの質問を使用することはできません。

Important

レガシ ポリシーの廃止: 2025 年 9 月 30 日に、レガシ多要素認証とセルフサービス パスワード リセット ポリシーは非推奨になります。 設定は、セキュリティの質問をサポートしていない先進認証方法ポリシーに移行します。 レガシ ポータルでセキュリティの質問を引き続き使用している組織は、最新の認証ポータルに移行し、非推奨およびサポートされていない状態での運用を回避するために、より強力な認証方法に移行することを強くお勧めします。

セキュリティの問題は、重大なセキュリティの脆弱性を導入するため、認証戦略から排除する必要があります。 回答は、多くの場合、推測可能で、サイト間で再利用されるか、オープンソース インテリジェンス (OSINT) を介して検出できます。 脅威アクターは、ユーザーを列挙またはフィッシングして、可能性の高い応答 (家族名、学校、場所) を取得し、パスワード リセット フローをトリガーして、より強力な認証方法をバイパスできます。 脅威アクターは、(特に多要素認証のないアカウントで) パスワードを正常にリセットすると、有効な資格情報を取得し、永続的なセッションを確立し、追加の認証方法を登録し、転送規則を追加し、機密データを流出させます。

セキュリティの質問を引き続き使用するビジネス上の理由がある組織もあるかもしれませんが、知識ベースの認証に固有のセキュリティ上の弱点があるため、この方法は強くお勧めしません。

ユーザーが SSPR に登録すると、使用する認証方法を選択するように求められます。 セキュリティの質問を使用することを選択した場合は、表示される一連の質問を選択して、その回答を入力します。

セキュリティに関する質問の認証方法とオプションを示す Microsoft Entra 管理センターのスクリーンショット

手記

セキュリティの質問は、ディレクトリ内のユーザー オブジェクトにプライベートかつ安全に保存され、登録時にのみユーザーが回答できます。 管理者がユーザーの質問や回答を読んだり変更したりする方法はありません。

セキュリティの質問は、他のユーザーの質問に対する回答を知っている人もいるため、他の方法よりも安全性が低い場合があります。 SSPR でセキュリティの質問を使用する場合は、別の方法と共に使用することをお勧めします。 ユーザーは、SSPR プロセス中に Microsoft Authenticator アプリまたは電話認証を使用して ID を確認し、電話または登録されたデバイスがない場合にのみセキュリティの質問を選択するように求められます。

定義済みの質問

次の定義済みのセキュリティの質問は、SSPR での検証方法として使用できます。 これらのセキュリティの質問はすべて、ユーザーのブラウザー ロケールに基づいて、Microsoft 365 言語の完全なセットに翻訳およびローカライズされます。

  • 最初の配偶者/パートナーと出会った都市は何ですか?
  • 両親はどの都市で会いましたか。
  • 最寄りの兄弟はどの都市に住んでいますか?
  • お父さんが生まれた都市は何ですか?
  • あなたの最初の仕事は何の都市でしたか?
  • お母さんが生まれた都市は?
  • 2000年の新年にはどのような都市にいましたか?
  • 高校のお気に入りの先生の姓は何ですか?
  • 申請したが、出席しなかった大学の名前は何ですか?
  • 初めての結婚披露宴を開催した場所の名前は何ですか?
  • お父さんのミドルネームは?
  • あなたの好きな食べ物は何ですか?
  • 母方のおばあちゃんの姓は何ですか?
  • お母さんのミドルネームは?
  • 最年長の兄弟の誕生日の月と年は何ですか? (例: 1985 年 11 月)
  • 最も古い兄弟のミドル ネームは何ですか?
  • 父方の祖父の名前と姓は何ですか?
  • 一番若い兄弟のミドルネームは?
  • 6年生は何の学校に通いましたか?
  • 幼なじみの名と姓は何でしたか?
  • あなたの最初の恋人の名前と名字は何でしたか?
  • お気に入りの小学校の先生の姓は何でしたか?
  • あなたの最初の車やバイクのメーカーとモデルは何でしたか?
  • 最初に通った学校の名前は何でしたか?
  • あなたが生まれた病院の名前は何でしたか?
  • 最初の子供時代の家の通りの名前は何でしたか?
  • 子供の頃のヒーローの名前は何でしたか?
  • お気に入りのぬいぐるみの名前は何でしたか?
  • 最初のペットの名前は何でしたか?
  • 子供の頃のニックネームは何でしたか?
  • 高校で好きなスポーツは何でしたか?
  • 最初の仕事は何でしたか?
  • 子供の頃の電話番号の最後の 4 桁は何でしたか?
  • 若い頃、あなたは成長したときに何になりたいと思っていましたか?
  • あなたが今まで会った中で最も有名な人は誰ですか?

カスタム セキュリティに関する質問

柔軟性を高めるために、独自のカスタム セキュリティの質問を定義できます。 カスタム セキュリティの質問の最大長は 200 文字です。

カスタム セキュリティの質問は、既定のセキュリティの質問と同様に自動的にローカライズされません。 すべてのカスタム質問は、ユーザーのブラウザーロケールが異なる場合でも、管理ユーザー インターフェイスに入力されたのと同じ言語で表示されます。 ローカライズされた質問が必要な場合は、定義済みの質問を使用する必要があります。

セキュリティの質問の要件

既定とカスタムの両方のセキュリティの質問には、次の要件と制限事項が適用されます。

  • 回答の最小文字数制限は 3 文字です。
  • 最大応答文字の制限は 40 文字です。
  • ユーザーが同じ質問に複数回回答することはできません。
  • ユーザーは、複数の質問に対して同じ回答を提供することはできません。
  • 任意の文字セットを使用して、Unicode 文字を含む質問と回答を定義できます。
  • 定義された質問の数は、登録に必要な質問の数以上である必要があります。

次の手順

開始するには、セルフサービス パスワード リセット (SSPR)の チュートリアルを参照してください。

SSPR の概念の詳細については、「Microsoft Entra のセルフサービス パスワード リセットのしくみを参照してください。

Microsoft Graph REST APIを使用した認証方法の構成の詳細について説明します。

  • Last updated on