セキュリティ規定値群にて利用可能な認証方法
セキュリティ既定値群にて利用可能な方法について確認しました(セキュリティ既定値群は条件付きアクセスと併用できないので、条件付きアクセスは利用していない前提となります)
また、2025年10月以降、レガシーMFAポリシー、レガシーSSPRポリシーが非推奨となりますが、それらは利用していない前提(認証方法ポリシーのみ利用している前提)となります。
MFA
セキュリティの既定値群では、① Microsoft Authenticator のプッシュ通知に加えて、②OATH TOTP を 使用してコードを生成するサード パーティ製アプリケーションの利用が可能です。
— 参考情報 ———————————-
Title : 認証方法
URL : https://learn.microsoft.com/ja-jp/entra/fundamentals/security-defaults#authentication-methods
///一部抜粋
セキュリティの既定値群のユーザーは、通知を使用する Microsoft Authenticator アプリを使って多要素認証に登録し、多要素認証を使用する必要があります。 ユーザーは、Microsoft Authenticator アプリからの確認コードを使用できますが、通知オプションを使用した場合にのみ登録できます。 ユーザーは、OATH TOTP を 使用してコードを生成するサード パーティ製アプリケーションを使用することもできます。
———————————————–
上記認証方法を利用するには、認証方法ポリシーにて、有効化の設定が必要です。
また、上記以外の認証方法(SMSなど)を認証方法ポリシーにて有効にしていたとしても、セキュリティ既定値群においては、上記以外の認証方法を利用することはできません。
SSPR
セキュリティ既定値群において、SSPR で制限は適用されません(MFAのように利用可能な認証方法の制限はありません)
また、SSPR で利用できる認証方法は管理者と一般ユーザーで異なります。
管理者と一般ユーザの違いは、特定のロールが割り当てられているか否かの違いです。以下のサイトに記載されているロールが割り当てられているユーザは、管理者となります。
管理者の場合
管理者が SSPR に利用できる方法 (管理者ポリシー) は [Azure Portal] > [Microsoft Entra ID] > [パスワード リセット] > [管理者ポリシー] から確認が可能ですが、これらの認証方法はあらかじめシステムにより定義されており、利用者側で設定を変更することができません。(SSPR の管理者ポリシーは認証方法ポリシーの影響を受けません
一般ユーザの場合
一般ユーザーが SSPR が利用可能な認証方法は認証方法ポリシーで設定を行います。
ただし、この際認証方法ポリシーで有効化したすべての方法が利用できるわけではなく、SSPR で利用可能な認証方法は、下表のうち “セカンダリ認証" に SSPR が含まれる認証方法のみとなります。
— 参考情報 ———————————-
Title : 各認証方法のしくみ
///一部抜粋
| Method | プライマリ認証 | セカンダリ認証 |
| Windows Hello for Business | はい | MFA1 |
| Microsoft Authenticator プッシュ | いいえ | MFA と SSPR |
| Microsoft Authenticator パスワードレス | はい | いいえ2 |
| Microsoft Authenticator パスキー | はい | MFA |
| Authenticator Lite | いいえ | MFA |
| Passkey (FIDO2) | はい | MFA |
| 証明書ベースの認証 (CBA) | はい | MFA |
| ハードウェア OATH トークン (プレビュー) | いいえ | MFA と SSPR |
| ソフトウェア OATH トークン | いいえ | MFA と SSPR |
| 外部認証方法 (プレビュー) | いいえ | MFA |
| 一時アクセス パス (TAP) | はい | MFA |
| SMS (Text) | はい | MFA と SSPR |
| 音声通話 | いいえ | MFA と SSPR3 |
| Password | はい | いいえ |
///一部抜粋
———————————————–