Microsoft Entra ID 多要素認証 パスワードレス設定時のトラブル対応 (original) (raw)

Microsoft社が提供するクラウドベースの認証サービス「Microsoft Entra ID」の多要素認証(MFA)に関して、先日認証アプリのパスワードレス設定を検証しました。事前確認不足によりトラブルが発生してしまい、幸い自己解決できましたので、参考まで対処方法を紹介します。

・操作環境:
・OS:Windows 11
・Webブラウザー:Edge
・使用プラン:Microsoft 365 Business Premium(試用版)
・MFA方法:Microsoft Authenticator(スマホアプリ)

試したこと:MS Entra IDの認証アプリのパスワードレス設定を実施した

パスワードレスの検証ということで、以前の記事で設定したMFAにおける認証アプリの認証モードをパスワードレスに変更しました。

Microsoft Entra ID管理画面にアクセスし、[ID>保護>認証方法>ポリシー]より、[Microsoft Authenticator]を選択しました。
※Microsoft Entra管理センター:Microsoft Entra admin center

[認証モード]を[パスワードレス]を変更しました。
なお、[ターゲット]はシステム管理者を含むすべての組織内ユーザーとしていました。

さらに、パスワードレスの動作確認が直ぐできるよう、条件付きアクセスポリシーのサインイン頻度も毎回に変更しました。

Microsoft Entra ID管理画面の[ID>保護>条件付きアクセス>ポリシー]より、以前の記事で作成したMFAのポリシーを選択しました。

[セッション]の設定を選択し、[サインインの頻度]を[毎回]に変更しました。
なお、[ユーザー]はシステム管理者を含むすべての組織内ユーザーとしていました。

発生トラブル:電話番号認証設定が完了せず、管理者でサインイン不可になった

システム管理者のPCより組織のリソースにアクセスすると、電話番号認証の設定を要求されました。
指示に従い設定する(認証アプリを使ったパスコードの設定を行う)と、画面のように[成功]と表示され、[完了]を選択しました。

MFAの設定が完了していない旨のメッセージが表示され、サインインループが発生し、リソースにアクセスできなくなりました。

認証アプリの電話番号認証の設定を確認しました。
デバイス登録済のスマホでないといけないようで、試しに未済のまま[続行]を選択しても設定できませんでした。

公式記事を確認したところ、認証アプリをパスワードレスで使用するには、デバイス登録が必要と記載されていました。
※認証アプリのパスワードレスの前提条件に関する公式記事:Microsoft Authenticator でのパスワードレスのサインイン - Microsoft Entra ID | Microsoft Learn

そもそもシステム管理者でサインインができないため、このスマホを検証用のテナントにデバイス登録することができません。

システム管理者でデバイス登録済の別のスマホがあったため、SIMを一時的に差し替えて設定を完了させるか、最悪Microsoftのオペレーターに電話連絡してMFA周りの設定をリセットしてもらえるか(この記事の最後の方で参考情報を紹介)相談する等、検討しました。

対処方法:管理者でデバイス登録済のPCにWHfBでサインインし、MS Entra IDの設定を元に戻した

公式記事を確認しつつ対処方法を検討する中で、Windows Hello for Business(以降WHfB)による認証を行えば、MFAを通せるのではないかと思い当たりました。
システム管理者で検証用のテナントにデバイス登録済かつWHfB設定済のPCがあるので、試すことにしました。
※WHfBの概要に関する公式記事:Windows Hello for Business の概要 | Microsoft Learn

システム管理者でデバイス登録済のPCにWHfBのPINでサインインしたところ、認証が通りました。ちなみに、この認証は5分位経つと、認証要求が行われ、MFAが完了せずサインインループに陥ってしまいます。認証が通っている間に、最初に試したMS Entra IDの設定変更を元に戻し、再びシステム管理者でサインインできるようになりました。
WHfBによる認証後、5分位経つと認証要求が行われるというのは、公式記事の以下記述によるものと推測します。
※WHfBの認証の仕組みに関する公式記事:Microsoft Entra のパスワードレス サインイン - Microsoft Entra ID | Microsoft Learn

認証アプリでパスワードレスを使用するための条件

認証アプリでパスワードレスを使用するためには、認証アプリ導入済のスマホがそのテナントにデバイス登録されている必要があります。
別のテナントにデバイス登録済のスマホは使用できないため、実質、そのテナントで組織貸与かつ携帯電話番号を保持しているスマホでないと運用に支障が出そうです。
ただし、この記事の最初に紹介した、認証アプリの認証モードの設定を「すべて」(プッシュとパスワードレスの両方とも使用)にしておけば、問題ないかと思います。
また、認証アプリでパスワードレスにしなくても、WHfBでパスワードレスを実現する方がユーザーの操作も楽な気がします。

MFA関連のトラブルにより管理者でサインインできなくなった場合の対処方法(参考)

システム管理者が認証アプリ導入済のスマホを紛失・破損し、テナントにサインインできなくなった場合等、非常手段として参考になれば幸いです。

あるいは、この記事の対処方法で紹介したように、システム管理者でデバイス登録済かつWHfB設定済のPCがあれば、WHfBで認証が通っている間に対応する(スマホの紛失・破損であれば、別のスマホによる認証アプリの設定追加を行う)ことで、オペレーターに電話連絡せずとも自己解決できるかもしれません。

おわりに

検証用のテナントということで、安易に認証アプリのパスワードレスを適用し、詰みかけてしまいました。認証関連は公式記事を事前にきちんと理解して慎重に設定しないといけないなと反省しました。