Microsoft 365の管理者は、ユーザーから「MFAが使えなくなったのでリセットしてほしい」という依頼を受けることがあります。その際、本人確認を省略して安易にリセットしてしまうと、なりすましによるアカウント乗っ取りのリスクが高まります。本記事では、管理者が本人確認なしでMFAリセットを頼まれた場合に、安全に対応するための具体的な手順と注意点を解説します。正しい判断基準を身につけ、業務を守りながらスムーズな運用を実現しましょう。
【要点】この記事で確認すること
- 最初に見る場所: 依頼元のユーザーが本当に本人かどうかを確認するためのプロセス。管理センターの監査ログや多要素認証の登録状況を確認します。
- 切り分けの軸: 端末側の問題(アプリの不具合、紛失)とアカウント側の問題(MFA設定の破損、ロックアウト)を区別します。また、緊急度が高いかどうかで対応方法を変えます。
- 注意点: 会社PCで管理者権限を安易に使わず、本人確認ができていない場合は一時的な回避策を検討します。また、必ず監査ログを取得し、記録を残します。
ADVERTISEMENT
目次
1. 本人確認なしでMFAリセットを行うリスク
MFAリセットは、ユーザーの認証方法を初期化し、新しいMFAを設定できるようにする操作です。これを悪意のある第三者が依頼した場合、アカウントが乗っ取られ、内部情報漏洩や不正アクセスに発展する恐れがあります。実際、ソーシャルエンジニアリングを利用したなりすまし被害は後を絶ちません。管理者は依頼を受けた際、まずその依頼が正当なものかどうかを厳密に判断する必要があります。
1.1 なりすましの典型的なパターン
- 電話で「MFAが動かないのでリセットしてほしい」と依頼。声だけで判断すると、同僚を装うケースがあります。
- チャットやメールで「緊急なので早くして」と急かす。緊急性を前面に出して確認を省略させようとします。
- 本人のアカウント情報(ユーザー名、部署など)をある程度知っているため、信憑性が高く見えます。
1.2 リセット後に起こり得る被害
- 攻撃者がMFAを自分で設定し、以降は正規ユーザーがログインできなくなる。
- メールやファイルへの不正アクセス、なりすましメール送信、顧客情報の窃取など。
- 監査ログが残るが、リセット行為自体は管理者の操作なので、発見が遅れる可能性があります。
2. 安全な本人確認の手順
依頼を受けたら、以下の手順で本人確認を行います。
- 依頼経路の確認: 電話、メール、チャット、対面のいずれか。対面が最も安全ですが、リモート業務では難しい場合があります。
- 社内プロセスに従う: 事前に決められた「本人確認チェックリスト」があればそれを使用します。なければ、直属の上司への確認や、別の連絡手段で本人に確認を取るなど、複数の確認方法を組み合わせます。
- 社内システムの情報と突き合わせる: 人事データベースやActive Directoryの情報(所属部署、入社日、電話番号など)を照会し、依頼者が知っているはずの情報を質問します。
- 一時的な回避策の提案: 本人確認が完了するまでは、MFAリセットではなく一時的なパスワード発行や、別の認証方法(パスキーなど)を検討します。
- リセット後の確認: リセット後にユーザーが正常にMFAを設定できたか、監査ログに不審な点がないかを確認します。
2.1 本人確認が取れた場合の手順
- 管理センターで該当ユーザーを選択し、「認証方法のリセット」を実行します。
- ユーザーに新しいMFA登録手順を通知します(Microsoft Authenticatorアプリの再設定、テキスト/電話の再登録など)。
- 操作後は必ず監査ログをエクスポートし、誰がいつリセットしたかを記録します。
2.2 本人確認が取れない場合の代替手段
- ユーザーに「別の連絡手段(内線電話や対面)で再度依頼すること」を伝え、リセットを保留します。
- 緊急を要する場合でも、一度保留し、上司またはセキュリティチームの承認を得てからリセットを行います。
- 一時的にMFAをバイパスできる「条件付きアクセスポリシー」を設定する方法もありますが、この場合はリスクが伴うため、限定的な時間のみ適用します。
3. 緊急時の対応方法(やむを得ずリセットする場合)
どうしても本人確認ができないが、ユーザーがシステムにアクセスできないと業務が停止するような緊急事態では、最小限のリスクで対応する必要があります。
| 状況 | 推奨アクション | 注意点 |
|---|---|---|
| 本人確認ができたが、ユーザーがOffice外でリモートワーク中 | 通常のMFAリセット手順 | リセット後すぐにユーザーに新しいMFAを設定させる。完了確認までサポートする。 |
| 本人確認が不完全だが、緊急度が高い(例:取引先との連絡が取れない) | 一時的なパスワード発行 + リセット後の確認 | パスワードの有効期限を短く設定し、MFAリセットは後日改めて本人確認後に行う。 |
| 本人確認ができず、即座の対応が必要 | 上司の承認を得て、監査ログを取得した上で一時的なMFAバイパス | 条件付きアクセスポリシーで「多要素認証を必要としない」を限定時間だけ適用。後日必ず確認する。 |
ADVERTISEMENT
4. 管理センターでの実際の操作手順(Microsoft 365 Admin Center)
ここでは、本人確認が完了した後に行う具体的な管理センター操作を説明します。
4.1 ユーザーのMFA状態を確認する
- 管理センターにログインし、[ユーザー] > [アクティブユーザー] を開きます。
- 該当ユーザーをクリックし、[アカウント] タブの [多要素認証] の状態を確認します。
- 「MFAが有効」か「登録済み」かを確認し、問題の内容を特定します。
4.2 MFAリセットの実行
- ユーザーのプロファイルページで、[多要素認証の管理] を選択します。
- 表示されたダイアログで [ユーザーの多要素認証をリセットする] をクリックします。
- 確認画面が表示されたら [リセット] をクリックします。この操作は元に戻せないため注意が必要です。
- リセット後、ユーザーは次回サインイン時に新しいMFAを登録する必要があることを伝えます。
4.3 監査ログの確認とエクスポート
- 管理センターで [コンプライアンス] > [監査] を開きます。
- 「アクティビティ」に「多要素認証をリセットしました」というイベントが見つかるので、詳細を確認します。
- 必要に応じて監査ログをCSVとしてエクスポートし、証跡として保存します。
5. 失敗しやすいパターンとその対策
実際の現場でよくあるミスと、それを防ぐ方法を紹介します。
- パターン1:電話口の声だけで判断する。 声は録音されていないため、なりすましのリスクが高い。必ずコールバックをかけるか、別の手段で確認します。
- パターン2:メールアドレスが正しいからといって安易にリセットする。 メールアカウント自体が乗っ取られている可能性もあるため、メール以外の確認が必要です。
- パターン3:緊急を装う依頼をそのまま受け入れる。 緊急時こそ落ち着いて手順を踏むことが重要です。上司への報告やセキュリティチームへの連絡を欠かさないでください。
- パターン4:リセット後にユーザーのMFA設定を確認しない。 リセットしたら手放しではなく、ユーザーが新しいMFAを正しく設定できたか確認し、問題があれば再度サポートします。
6. よくある質問
管理者向けによく寄せられる質問をまとめました。
Q1. 本人確認として、社員番号や生年月日を聞くのは安全ですか?
A. それだけでは不十分です。社員番号や生年月日は他の社員にも漏れる可能性があります。可能であれば、内線電話や対面、事前に共有している秘密の質問など複数の要素を組み合わせてください。
Q2. リセットした後、ユーザーが新しいMFAを設定できないと言ってきました。どうすればいいですか?
A. まずはユーザーの端末の状態(Authenticatorアプリのインストール、SMS受信設定など)を確認します。それでも解決しない場合は、別の認証方法(電話、セキュリティキーなど)を提案するか、一時的に条件付きアクセスでMFAを免除するポリシーを作成します。
Q3. 監査ログはどのくらいの期間保存されていますか?
A. Microsoft 365の標準設定では監査ログは90日間保存されます。それ以上必要な場合は、コンプライアンスポータルで保持ポリシーを設定するか、サードパーティのSIEMツールにエクスポートしてください。
Q4. 管理者以外のヘルプデスクスタッフがMFAリセットを実行しても問題ありませんか?
A. 権限を付与する場合は、最小権限の原則に従い、リセット権限のみを割り当てます。また、リセット操作の都度、理由を記録させ、定期的に監査ログを確認する仕組みを導入してください。
Q5. 本人確認なしでMFAリセットしてしまった場合、どう対処すればいいですか?
A. 速やかに該当ユーザーのアカウントを無効化し、パスワードをリセットしてください。そして、直近のサインインログやメールの送信履歴を調査し、不正アクセスがないか確認します。セキュリティインシデントとして報告し、再発防止策を検討します。
7. まとめ
MFAリセットは、ユーザーの利便性とセキュリティのバランスが難しい作業です。本人確認なしでリセットすることは、重大なセキュリティリスクを招くため、決して行わないでください。依頼を受けたら、まずは本人確認のプロセスを確実に実行し、緊急時でも上司やセキュリティチームの承認を得てから対応することが重要です。また、操作後は必ず監査ログを残し、定期的な見直しを行うことで、組織全体のセキュリティレベルを高められます。本記事で紹介した手順を参考に、安全なMFA運用を実践してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順