【Microsoft 365】管理者アカウントにMFAを設定する時の紛失対策と代替手段

Microsoft 365の管理者アカウントに多要素認証(MFA)を設定することは、セキュリティ向上のために不可欠です。しかし、管理者がMFAで使用しているスマートフォンを紛失したり、認証アプリが使えなくなったりすると、管理者自身がアカウントにログインできなくなるリスクがあります。このような事態を防ぐためには、事前に適切な紛失対策と代替手段を準備しておくことが重要です。本記事では、管理者アカウントにMFAを設定する際に必ず確認すべきバックアップ方法や緊急時の復旧手順を、実務に即して詳しく解説します。

管理者アカウントにMFAの代替手段が必要な理由

Microsoft 365では、管理者アカウントに対してMFAを強制するセキュリティ規定(既定のセキュリティや条件付きアクセス)が推奨されています。MFAを有効にすると、通常はスマートフォンの認証アプリ(Microsoft Authenticatorなど)やSMS、電話呼び出しでワンタイムコードを受け取ります。しかし、管理者が普段使用している端末を紛失したり、認証アプリのデータが消去されたりすると、コードを受け取れずにログインができなくなります。このような事態は特に特権の高いグローバル管理者にとって深刻で、テナント全体の管理が停止する恐れもあります。事前に代替認証方法(例えば、別のスマートフォン、ハードウェアトークン、アプリパスワードなど)を設定しておくことで、ログイン不能に陥るリスクを大幅に減らせます。また、緊急時に使用できる「緊急アクセスアカウント」を用意しておくことも、実運用上は重要な対策となります。

MFAの代替認証方法の種類と比較

管理者アカウントで設定できるMFAの代替方法は複数あります。それぞれの特徴を理解し、自社の運用に合った組み合わせを選びましょう。以下の表は代表的な代替方法を比較したものです。

代替方法	利点	欠点	推奨用途
Microsoft Authenticator(クラウドバックアップ)	スマホ変更時もバックアップから復元可能	バックアップを事前に有効にしておく必要あり	プライマリ端末と併用
SMS / 電話呼び出し	特別なアプリ不要、別の電話番号で受信可能	SIMスワップや電話回線障害に弱い	緊急時のセカンダリ手段
アプリパスワード	MFA非対応アプリの認証に使える	管理者アカウントでは非推奨(セキュリティ低下)	レガシーアプリのみ、限定的に
ハードウェアトークン(OATH TOTP)	物理的に安全、インターネット不要	追加の端末購入費用、紛失リスク	高セキュリティ環境向け
FIDO2 セキュリティキー	フィッシング耐性が高い、物理キー	対応ブラウザ・OSの制限、初期設定の手間	管理者アカウントの堅牢な保護

この中で最も推奨される組み合わせは、Microsoft Authenticatorにクラウドバックアップを設定した上で、SMSまたは電話をセカンダリとして追加することです。さらに、可能であればFIDO2セキュリティキーを併用すると、万が一の端末紛失時にも安全にログインできます。

管理者アカウントに代替認証方法を設定する手順

ここからは、実際に管理者アカウントに代替のMFA方法を追加する具体的な手順を説明します。以下の手順はグローバル管理者権限を持つユーザーが自分のアカウントを操作することを想定しています。

1. WebブラウザでMicrosoft 365管理センター(https://admin.microsoft.com)に、グローバル管理者アカウントでログインします。
2. 左側のナビゲーションから「ユーザー」→「アクティブユーザー」を選択し、自分のアカウントを一覧からクリックします。
3. アカウントの詳細画面が表示されたら、「アカウント設定」セクションの「MFAの管理」をクリックします。※条件付きアクセスでMFAを制御している場合は、ここから「自動的にロールアウトされた設定」ではなく、ポリシーの変更が必要です。詳しくは次のセクションを参照してください。
4. 「多要素認証」画面が開いたら、自分のアカウントが一覧に表示されています。アカウント名をクリックして選択し、「管理」をクリックします。
5. 「ユーザー設定」タブに切り替え、現在設定されている認証手段を確認します。必要に応じて「追加のセキュリティ確認」の横にある「編集」リンクをクリックします。
6. ここで新しい認証方法を追加できます。たとえば「電話(SMSまたは電話呼び出し)」を追加する場合、電話番号を入力し、確認コードを受信して設定を完了します。Microsoft Authenticatorの場合は、アプリをインストールし、QRコードをスキャンして紐付けます。
7. すべての設定が完了したら、「保存」をクリックします。その後、実際にサインアウトして再ログインし、複数の認証オプションが表示されることを確認します。

この手順により、管理者アカウントにスマホ以外の認証手段が追加されました。ただし、上記の「MFAの管理」画面は従来のMFAレガシー設定であり、条件付きアクセスを使用している場合の設定方法は異なります。その点は次のセクションでカバーします。

条件付きアクセスを使用している場合の代替手段設定

Microsoft 365の推奨セキュリティ構成では、条件付きアクセスポリシーを使って特定のロール(グローバル管理者など)にMFAを要求することが一般的です。この場合、ユーザー個別のMFA設定(レガシーMFA)は無効化されているか、上書きされることがあります。条件付きアクセス環境で代替手段を設定する方法を以下に説明します。

1. セキュリティ情報ページで代替方法を登録する

Microsoft Entra ID(旧Azure AD)の多要素認証は、ユーザー自身の「セキュリティ情報」ページで管理します。管理者アカウントでも、https://mysignins.microsoft.com/security-info にアクセスし、ここで認証方法を追加できます。方法は次の通りです。

1. 管理者アカウントで上記URLにアクセスし、サインインします。
2. 「+ サインイン方法の追加」をクリックし、表示されるリストから追加したい認証方法(例:「電話」、「認証アプリ」、「ハードウェアトークン」)を選択します。
3. 画面の指示に従って設定を完了します。通常、優先順位を変更することも可能です。
4. 複数の方法を追加しておけば、最初の方法が使えない場合に別の方法で認証できるようになります。

2. PowerShellで代替の認証強度を設定する

さらに高度な設定として、条件付きアクセスポリシーで「認証強度」を利用すると、特定の方法(例:FIDO2のみ)を強制できます。ただし、この場合は代替手段として別の認証強度を許可するポリシーを追加するか、緊急アクセスアカウントを別途準備する必要があります。PowerShellモジュール(Microsoft Graph)を使用することで、代替手段の設定をスクリプト化できます。以下は一例です。

Connect-MgGraph -Scopes UserAuthenticationMethod.ReadWrite.All
Get-MgUserAuthenticationMethod -UserId admin@contoso.com | Format-List

出力を確認し、不足している方法があれば追加するスクリプトを実行します。ただし、直接スクリプトを実行する前にテスト環境で検証することをお勧めします。

管理者アカウントがロックされた場合の緊急復旧手段

万が一、設定していた代替手段も使えずに管理者アカウントがロックされた場合の復旧手順を説明します。幸い、Microsoft 365にはいくつかの救済策が用意されています。

他のグローバル管理者によるパスワードリセットとMFAリセット

テナント内に別のグローバル管理者が存在する場合、そのアカウントで管理センターにログインし、ロックされた管理者のパスワードをリセットできます。さらに、MFAの設定を削除(MFAを無効化)することも可能です。手順は以下の通りです。

1. 別のグローバル管理者で管理センター(admin.microsoft.com)にサインインします。
2. 「ユーザー」→「アクティブユーザー」に移動し、ロックされた管理者アカウントを選択します。
3. 「パスワードのリセット」をクリックし、仮パスワードを発行します。この際、「このユーザーに次回サインイン時にパスワードの変更を許可する」を有効にします。
4. 次に、同じアカウントの「MFAの管理」画面を開き、該当ユーザーの「ユーザー設定」で「管理者が指定した電話番号による認証が必要」のような設定を一時的に無効にするか、設定を削除します。
5. ロックされた管理者は、新しいパスワードでサインインし、再度MFAを設定します。

緊急アクセスアカウント(ブレイクグラスアカウント)の利用

事前に緊急アクセスアカウントを用意しておくことは、管理者ロックアウトの最善の対策です。このアカウントは通常MFAを要求しないか、物理的に隔離された方法(例えば、別の場所に保管したハードウェアトークン)でのみ認証できるように設定します。注意点として、このアカウントは定期的にパスワードを更新し、使用記録を監査する必要があります。具体的な設定手順は長くなるため、別の記事で詳しく解説されています。

Microsoftサポートへの連絡

他のグローバル管理者がおらず、緊急アクセスアカウントもない場合、Microsoftサポートに電話またはオンラインで問い合わせるしかありません。サポートではテナントの所有権を確認するための厳格な本人確認手続き(ドメインの所有証明、会社登録情報の提出など)が必要になります。復旧までに時間がかかることを想定し、事前に連絡先や必要な書類を整理しておきましょう。

失敗パターンとその対策

実際の現場でよく発生する失敗例をいくつか挙げ、どのように回避すべきかを説明します。

• 失敗パターン1: 代替手段を設定せずにMFAを有効化
  管理者が自分のスマホだけを認証手段として登録し、SMSや別端末を追加しないまま運用を開始。ある日スマホを紛失してログイン不能に。対策としては、初期設定時に必ず2つ以上の手段を登録することです。社内ルールとして、MFA設定時には「電話番号(別回線)」または「ハードウェアトークン」を追加するよう強制しましょう。
• 失敗パターン2: 条件付きアクセスポリシーによる厳格化で選択肢が少ない
  条件付きアクセスで「Microsoft Authenticatorのみ許可」と設定した場合、ユーザーが代替手段を追加できず、スマホ紛失時に復旧が困難になります。対策として、条件付きアクセスの認証強度を「MFA (すべての手段を許可)」にするか、緊急アクセスアカウント用の例外ポリシーを作成しておきましょう。
• 失敗パターン3: アプリパスワードの濫用
  一部の管理者は、互換性の問題を理由にアプリパスワードを多用しますが、これはセキュリティリスクを高めます。また、アプリパスワードはMFAを迂回するため、本来の多要素認証の効果を弱めます。対策として、アプリパスワードは可能な限り使用せず、モダン認証に対応したアプリに移行することを推奨します。
• 失敗パターン4: 緊急アクセスアカウントの運用放置
  緊急アクセスアカウントを一度作成してその後パスワードを更新せず、使われずに放置されると、いざというときにパスワードが不明で使えない、またはセキュリティ侵害のリスクになります。対策として、このアカウントのパスワードは定期的(90日ごと)に変更し、利用ログを監視することを習慣化してください。

よくある質問(FAQ)

管理者アカウントのMFAに関して、よく寄せられる質問に回答します。

• Q: 管理者アカウントのMFAにSMSを使うのは安全ですか?
  A: SMSはSIMスワップ攻撃や回線障害のリスクがあるため、単独の認証方法としては推奨されません。あくまでバックアップ手段として使用し、プライマリはMicrosoft AuthenticatorやFIDO2キーにすべきです。
• Q: 管理者アカウントのMFAを無効化しても問題ありませんか?
  A: セキュリティ上の大きなリスクです。管理者アカウントが侵害されるとテナント全体が危険にさらされます。MFAを無効化する代わりに、堅牢な代替手段(ハードウェアキーなど)を設定してください。
• Q: 緊急アクセスアカウントにMFAは不要ですか?
  A: 通常の緊急アクセスアカウントはMFAを免除しても構いませんが、その代わりに極めて強力なパスワードとアクセス制限(使用場所の制限など)が必要です。可能であれば、物理セキュリティキーを用いたMFAを設定することをお勧めします。
• Q: 複数の管理者で同じスマホを共有してMFAを設定してもいいですか?
  A: 絶対に避けてください。管理者ごとに個別の認証手段を持たせるべきです。共有端末でMFAを設定すると、他人がその端末を操作した際に管理者全員の認証情報が漏洩する危険があります。

まとめ

管理者アカウントのMFA設定は、セキュリティ強化に必須ですが、同時にロックアウトリスクも伴います。そのリスクを軽減するには、複数の代替認証方法(Authenticatorのバックアップ、SMS、ハードウェアトークンなど)を設定し、緊急アクセスアカウントを事前に用意しておくことが重要です。また、条件付きアクセスを使用している場合は、ポリシーで代替手段を制限しすぎないように注意しましょう。万が一ロックアウトされた場合に備えて、他のグローバル管理者による復旧手順を共有しておくことも有効です。本記事で紹介した対策を導入し、管理者アカウントの可用性とセキュリティを両立させてください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。