Microsoft Entra Multi-Factor Authentication (MFA) は、現代エンタープライズの認証セキュリティの最重要要素です。 Microsoft の統計によれば MFA 強制でアカウント侵害の 99.9% を防止可能。Microsoft は 2024 年から全 Azure Tenant 管理者ロールへの MFA を強制化、一般ユーザーへの MFA も段階的強制化を発表。 本記事では、認証方式選定・Conditional Access 統合・MFA Fatigue 対策・Phishing-resistant MFA を網羅的に整理します。
| 方式 | 推奨度 | セキュリティ | 用途 |
|---|---|---|---|
| Microsoft Authenticator (Push + Number Matching) | ★ 最推奨 | 高 | 全社員標準 |
| FIDO2 セキュリティキー | ★ 最推奨 | 最高 | 特権ロール |
| Windows Hello for Business | ★ 推奨 | 高 | Windows ユーザー |
| Temporary Access Pass (TAP) | 推奨 | 中 | オンボーディング・緊急 |
| Certificate-based Authentication (CBA) | 推奨 | 最高 | 政府・金融 |
| OATH Software Token (TOTP) | 可 | 中 | 3rd party Authenticator |
| OATH Hardware Token | 可 | 中 | レガシー |
| Voice Call | レガシー | 低 | 非推奨 |
| SMS Text | レガシー | 低 (SIM Swap) | 廃止推奨 |
| Security Questions | レガシー | 低 | SSPR のみ |
新規プロジェクトは Microsoft Authenticator + FIDO2 の組み合わせが標準、SMS / Voice は段階的廃止推奨。
Conditional Access での MFA 強制は標準的な実装パターン。
Authentication Strength で MFA の強度を細かく指定可能:
本番運用では『特権ロールには Phishing-resistant MFA・一般ユーザーには Authenticator MFA』のような階層適用が現代的なベストプラクティス。
| 項目 | Per-user MFA (Legacy) | Conditional Access MFA (推奨) |
|---|---|---|
| 管理方式 | ユーザー個別フラグ | ポリシーベース |
| 柔軟性 | 低 (全アプリ一律) | 高 (アプリ別・条件別) |
| 必要ライセンス | Microsoft 365 Business以上 (一部) | Microsoft Entra ID P1 以上 |
| 状態 | 2024 年から段階的廃止 | 現代的標準 |
既存 Per-user MFA は Conditional Access MFA への移行が推奨、Microsoft 公式 Migration Wizard で半自動化可能。
Microsoft Entra ID Free を含むすべてのプランで利用可能な無料 MFA 強制機能 (2019 年導入)。
Microsoft Entra ID P1 以上にアップグレードしたら Conditional Access に移行が推奨パターン。
MFA Fatigue 攻撃 (MFA Bombing) は攻撃者が侵害したパスワードで大量に MFA Push 通知を送り、ユーザーが疲れて誤承認するソーシャルエンジニアリング攻撃。
Microsoft は Number Matching を 2023-05 から全 Tenant で強制有効化、MFA Fatigue 攻撃の有効性は大幅低下。
Phishing-resistant MFA は フィッシング攻撃 (偽の Sign-in 画面で MFA Code を窃取する攻撃) に耐性のある MFA 方式。
これらは『デバイスバウンド秘密鍵』を使用、攻撃者が偽 Sign-in 画面で MFA Response を取得しても秘密鍵にアクセスできないため攻撃不可能。
これらは中間者攻撃 (AiTM・Adversary in the Middle) で突破可能。
| Phase | 期間 | 対象 | 方式 |
|---|---|---|---|
| Phase 1 | 1 ヶ月 | 全管理者ロール | MFA 強制 (Microsoft Authenticator) |
| Phase 2 | 2-3 ヶ月 | パイロットチーム (IT 部門) | Conditional Access MFA Report-only |
| Phase 3 | 3-6 ヶ月 | 全社員 | Conditional Access MFA 強制 (Authenticator) |
| Phase 4 | 6-12 ヶ月 | 特権ロール | Phishing-resistant MFA (FIDO2) 強制 |
| Phase 5 | 12+ ヶ月 | 全社員 | SMS / Voice 廃止・パスワードレス推進 |
Microsoft Entra MFA とは?
Microsoft Entra Multi-Factor Authentication (MFA) は、ユーザー認証時にパスワード + 追加要素 (スマホアプリ・SMS・電話・FIDO2 キー等) を要求する仕組み。Microsoft の統計によれば MFA 強制でアカウント侵害の 99.9% を防止可能、現代エンタープライズの認証セキュリティの最重要要素。Microsoft Entra ID Premium P1 以上で Conditional Access 経由の MFA 強制、または Microsoft 365 全プランで Security Defaults による無料 MFA 強制 (基本のみ)。Microsoft は 2024 年から全 Azure Tenant 管理者ロールへの MFA を強制化、2025 年以降は一般ユーザーへの MFA も段階的強制化を発表。本記事は MFA の認証方式選定・段階展開・運用パターンを網羅的に解説します。
MFA の認証方式の選定は?
Microsoft Entra MFA で利用可能な認証方式 (推奨度高い順): 1) Microsoft Authenticator (Push 通知 + Number Matching・最推奨・無料・最も普及)、2) FIDO2 セキュリティキー (YubiKey 等のハードウェアトークン・最高セキュリティ・特権ロール向け)、3) Windows Hello for Business (生体認証 + TPM・Windows ユーザー向け)、4) Temporary Access Pass (TAP・一時 OTP・オンボーディング向け)、5) Certificate-based Authentication (CBA・スマートカード・政府機関向け)、6) OATH Software Token (RFC 6238 TOTP・Microsoft 以外の Authenticator アプリ対応)、7) OATH Hardware Token (物理 TOTP デバイス)、8) Voice Call (電話音声 OTP・レガシー)、9) SMS Text (SMS OTP・SIM Swap 攻撃に弱い・廃止推奨)、10) Security Questions (秘密の質問・SSPR のみ)。新規プロジェクトは Microsoft Authenticator + FIDO2 の組み合わせが標準、SMS / Voice は段階的廃止推奨です。
Conditional Access での MFA 強制設定は?
Conditional Access での MFA 強制は標準的な実装パターン。代表的なポリシー: 1) 『全ユーザー → 全クラウドアプリ → Grant access with MFA』(全社 MFA 強制)、2) 『管理者ロール → All apps → MFA + Compliant Device』(特権アクセス強化)、3) 『機密 SharePoint Site → MFA + Sign-in Frequency 1 時間』(高セキュリティアプリ)、4) 『Risky Sign-in (Identity Protection) → MFA Re-authentication』(リスクベース)、5) 『Untrusted Country → MFA + Compliant Device』(地理ベース)。Authentication Strength で MFA の強度を細かく指定可能 (Phishing-resistant MFA = FIDO2 + Windows Hello のみ・Passwordless MFA・Multi-factor Authentication 全方式可)。本番運用では Authentication Strength を活用して『特権ロールには Phishing-resistant MFA・一般ユーザーには Authenticator MFA』のような階層適用が現代的なベストプラクティスです。
Per-user MFA と Conditional Access MFA の違いは?
Per-user MFA (Legacy): ユーザー個別に MFA Enable / Disable をフラグ管理・全アプリで一律 MFA 強制・Conditional Access より柔軟性低い・Microsoft は段階的廃止方針 (2024 年から新規 Tenant で非表示化)。Conditional Access MFA (推奨): ポリシーベース・アプリ別・条件別 (場所・デバイス・リスク) で柔軟制御・Microsoft Entra ID Premium P1 以上必要・Authentication Strength で詳細制御可能・現代的標準。判断: Microsoft Entra ID P1 ライセンスありなら Conditional Access MFA 一択、Free / Office 365 のみなら Security Defaults (基本 MFA 強制 + Block Legacy Auth、無料) を使用。既存 Per-user MFA は Conditional Access MFA への移行が推奨、移行手順は Microsoft 公式 Migration Wizard で半自動化可能です。
Security Defaults とは?
Security Defaults は Microsoft Entra ID Free を含むすべてのプランで利用可能な無料 MFA 強制機能 (2019 年導入)。Microsoft 推奨の基本セキュリティ設定をワンクリックで全社適用: 1) 全ユーザーに MFA 登録強制 (14 日以内に Microsoft Authenticator 登録)、2) Privileged Action (Azure Portal アクセス・特権操作) で MFA 必須、3) Legacy Authentication (POP/IMAP/SMTP) を Block、4) すべての管理者ロールへの MFA 強制。新規 Tenant では Security Defaults がデフォルト Enable、無料で基本セキュリティが確保。制約: 1) Conditional Access と併用不可 (Conditional Access 有効化で Security Defaults は自動 Disable)、2) カスタマイズ不可、3) 特定アプリ / ユーザー除外不可。Microsoft Entra ID P1 以上にアップグレードしたら Conditional Access に移行が推奨パターンです。
MFA Fatigue 攻撃の対策は?
MFA Fatigue 攻撃 (MFA Bombing) は攻撃者が侵害したパスワードで大量に MFA Push 通知を送り、ユーザーが疲れて誤承認するソーシャルエンジニアリング攻撃。代表的な対策: 1) Number Matching 強制 (2023 年から Microsoft Authenticator で標準化・Web 画面の 2 桁数字を Authenticator で入力必須・無条件 Yes ボタン押下不可)、2) Additional Context 表示 (Sign-in 元の場所・アプリ・IP アドレスを Authenticator で表示・不審な Sign-in をユーザーが識別)、3) MFA 試行回数制限 (Smart Lockout で大量試行をブロック)、4) Identity Protection でリスク Sign-in 検知 → MFA 失敗時に Block、5) Risk-based Conditional Access で Risky Sign-in は Phishing-resistant MFA (FIDO2) 要求、6) ユーザー教育 (不審な MFA 通知は承認しないトレーニング)。Microsoft は Number Matching を 2023-05 から全 Tenant で強制有効化、MFA Fatigue 攻撃の有効性は大幅低下しました。
Phishing-resistant MFA とは?
Phishing-resistant MFA は フィッシング攻撃 (偽の Sign-in 画面で MFA Code を窃取する攻撃) に耐性のある MFA 方式。Microsoft が認定する Phishing-resistant 方式: 1) FIDO2 セキュリティキー (YubiKey・Feitian 等)、2) Windows Hello for Business (生体認証 + TPM)、3) Certificate-based Authentication (CBA・PIV カード)。これらは『デバイスバウンド秘密鍵』を使用、攻撃者が偽 Sign-in 画面で MFA Response を取得しても秘密鍵にアクセスできないため攻撃不可能。Phishing-vulnerable 方式 (Microsoft Authenticator Push・SMS・Voice・OATH Token) は中間者攻撃 (AiTM・Adversary in the Middle) で突破可能。Authentication Strength で『Phishing-resistant MFA』を必須化することで、特権ロール・機密データアクセスを最高レベル保護可能。米国大統領令 14028 (2021) で連邦政府機関は 2024 年末までに Phishing-resistant MFA 必須化、エンタープライズも追随トレンドです。
関連認定試験は?
SC-300 (Identity and Access Administrator Associate) のドメイン 2 (Authentication 25-30%) で MFA が深く問われる本領域の本命認定。SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略の Identity 柱の中核、MS-102 (Microsoft 365 Administrator Expert) のドメイン 2 で全社展開、AZ-104 (Administrator) で Entra ID 基礎、AZ-305 (Solutions Architect Expert) でアーキテクチャ視点での MFA 設計、SC-200 (Security Operations Analyst) で Identity Protection と MFA イベント分析。Microsoft セキュリティ系認定全般で必須の知識領域、ゼロトラスト戦略の Identity 柱の中核技術として最重要です。
関連記事・技術深掘り
SC-300 完全ガイド|Microsoft Identity and Access Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Identity and Access Administrator Associate (SC-300) の完全ガイド。4 ドメインの出題範囲、Microsoft Entra ID の ユーザー / グループ / アプリ管理、Conditional Access / MFA / PIM / Entra ID Governance の実装、3-4 ヶ月の合格ロードマップ、SC-200 / SC-100 / SC-500 への展開ルートを日本語で網羅。
Microsoft Entra ID パスワードレス認証完全ガイド|Authenticator・FIDO2・Windows Hello・TAP・CBA【2026 年版】
Microsoft Entra ID のパスワードレス認証 5 方式 (Microsoft Authenticator・FIDO2・Windows Hello for Business・Temporary Access Pass・Certificate-based) を完全解説。Number Matching・段階的導入ロードマップ・特権ロール向け FIDO2・関連認定試験 (SC-300 / SC-100 / MS-102) を日本語で網羅。
SC-200 vs SC-300 完全比較|Microsoft Security Operations Analyst vs Identity Administrator の違いと選び方【2026 年版】
Microsoft セキュリティ系 Associate の双璧 SC-200 (Security Operations Analyst) と SC-300 (Identity and Access Administrator) を完全比較。対象ロール・出題範囲・難易度・学習時間・受験料・キャリアパスを表形式で整理。二刀流取得の価値、SC-100 への進化ルートまで日本語で網羅。
MS-102 完全ガイド|Microsoft 365 Administrator Expert 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Microsoft 365 Administrator Expert (MS-102) の完全ガイド。4 ドメインの出題範囲、テナント / Entra ID / Defender XDR / Purview を横断的にカバー、SC-300 / SC-200 との重複と差異、Microsoft 365 Developer Program 活用法、3-4 ヶ月の合格ロードマップ、SC-100 / MD-102 への展開ルートを日本語で網羅。
本記事の技術情報は Microsoft Entra Authentication Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Entra、Windows Hello は Microsoft group of companies の商標です。FIDO2 / WebAuthn は FIDO Alliance / W3C の規格です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...