Note
本記事は 2020 年に公開したものですが、サポートへのお問い合わせ状況などをふまえ、2023 年 6 月時点での最新の情報にアップデートいたしました。
こんにちは。Azure Identity サポート チームの栗井です。
弊社サポートチームでは、 Azure Active Directory に関して、以下のようなご要望に関するお問い合わせをよくいただきます。
- スマートフォンを買い替えたので、MFA 認証方法を変更したい。
- スマートフォンを紛失したので、MFA 認証方法を再登録したい。
- 社用のスマートフォンに加えて、私用スマートフォンを、MFA 認証方法として追加したい。
このブログでは、こういったご要望に答えるために、MFA の方法を 変更 / 再登録 / 追加 するための方法と手順をご紹介いたします。
読者のターゲット: テナントの管理者。組織内のユーザーが MFA 認証方法の変更 / 再登録 / 追加 が必要となった際にご参照ください。
操作の手順は、以下の場合ごとに異なるため、それぞれ別項目でご説明します。
- 現在登録されているモバイル デバイスで MFA 認証ができる場合 (モバイル デバイスの買い替えや追加など)
- 現在登録されているモバイル デバイスで MFA 認証ができない場合 (モバイル デバイスの紛失や故障など)
現在登録されているモバイル デバイスで、MFA 認証ができる場合
この場合、MFA 認証方法の変更 / 追加は、ユーザー自身の操作のみで行うことができます。管理者側での操作は不要です。ユーザーには以下の方法で、MFA 認証方法の変更 / 追加を行ってもらってください。
MFA 認証方法の変更 / 追加手順
ユーザーに、任意のデバイスで https://aka.ms/mfasetup にアクセスします。サインインと MFA が要求たら、それぞれ認証を行いましょう。
以下の画面 (URL: https://mysignins.microsoft.com/security-info) が表示されます。[+ 方法の追加] を選択してください。画面の表示に従って、新しいモバイル デバイスを、MFA 認証方法として登録しましょう。
現在登録されているモバイル デバイスで、MFA 認証ができない場合
この場合、以下のいずれかの方法によって、管理者がユーザーの MFA 認証方法をリセットもしくは変更ください。
- 管理者による MFA 認証方法のリセット
- 管理者による MFA 認証用電話番号の指定
1. 管理者によるMFA 認証方法のリセット
管理者によって現在の MFA 認証方法をリセットした後、ユーザーが再登録を行う方法です。
特権認証管理者、もしくはグローバル管理者のアカウントで Azure Portal (https://portal.azure.com) へアクセスします。
[すべてのサービス] > [Azure Active Directory] > [ユーザー] に移動します。
ユーザー一覧から、該当ユーザーの行を選択して開きます。
画面左側のメニューから [認証方法] タブを選択します。
[MFA の再登録が必要] を押下します。
管理者によって、ユーザーの MFA 認証方法がリセットされたら、ユーザーは MFA 認証方法を再登録する必要があります。前述の「現在登録されているモバイル デバイスで、MFA 認証ができる場合」の手順に従って、新しいデバイスを MFA 認証方法として登録ください。
2. 管理者が直接 MFA 認証用電話番号を指定
管理者は Azure Portal 上で、ユーザーの MFA 認証のための電話番号を直接指定することができます。以下の流れで操作します。
Azure Portal > [Azure Active Directory] > [ユーザー] > (一覧からユーザーを選択) > [認証方法]
上記ページの [+ 認証方法の追加] から、[電話番号] を選択し、ユーザーのモバイル デバイスの電話番号を追加ください。
Note
電話番号の入力は “+81 8099999999” のように、「国番号の指定が必須」かつ「ハイフン不要」である点にご留意ください。
[方法の選択] で選択可能な [メール] は、MFA ではなく セルフサービス パスワード リセットの連絡先追加のための項目です。ここでは選択しないでください。
次回からは、指定した電話番号に MFA の要求が届くようになります。
例外: テナント管理者の MFA 認証方法をリセットする必要がある場合
MFA 認証方法の再登録には、テナントの管理者による、MFA 認証方法のリセットが必要です。ただし、テナントの管理者自身のモバイル デバイスの紛失および故障などにより、MFA 認証方法の再登録したい場合、上記の手順を進めることができない場合がございます。これは、「Azure Portal、Azure MFA Portal のいずれにも、MFA が必要な設定をしているので、アクセスすることができない!」といった場合です。
このようなときの、対処法をご案内いたします。
1. テナントに管理者が複数存在する場合
MFA 認証方法を再登録する必要がある管理者以外に、別の管理者が存在する場合は、その管理者によって、前述の [管理者による MFA 認証方法のリセット方法] を行います。その後、MFA 認証方法を再登録する必要がある管理者によって、前述の [MFA 認証方法の変更 / 追加手順] の手順を進めます。
2. Azure のサブスクリプションをクラウド ソリューション プロバイダー パートナー (CSP パートナー) からご購入頂いている場合
CSP パートナーのアカウントは、お客様のテナントにアクセスする権限を持っています。CSP パートナーに連絡を取り、お客様のテナントにアクセスができる CSP アカウントによって、前述の [管理者による MFA 認証方法のリセット方法] を行ってもらいましょう。
その後、MFA 認証方法を再登録する必要がある管理者によって、前述の [MFA 認証方法の変更 / 追加手順] を行ってください。
3. 上記 1. と 2. のいずれにも当てはまらない場合
これは、これまでご紹介した方法がいずれも実行不可能場合のみに行っていただく、最終手段です。テナントのすべてのグローバル管理者がサインイン不可能になった場合には、弊社データセンター側で、管理者の MFA を、一時的に解除いたします。解除には、数営業日いただくことになり、場合によっては解除ができない場合もございます。まずは、弊社サポート チームまでお問い合わせいただければと思います。
お問い合わせ時には下記の情報を予めお知らせください。
- テナント名 (~.onmicrosoft.com) またはテナント ID
- グローバル管理者の UPN
- 状況 (何かしら操作をした日時、操作内容など)
また併せて、グローバル管理者ロールを持つユーザーでサインインできない! の記事もご覧ください。Azure Portal にログインできない場合は、https://aka.ms/AzurePortalHelp からリクエストを起票することも検討ください。
参考文献
- 公開情報: Azure Multi-factor Authentication のユーザー設定の管理
- 公開情報: 追加の確認方法を変更する
- サポート ブログ: 多要素認証 (MFA) のリセット手順
サービスの URL
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。