【Microsoft 365】退職者のMFA端末が残っている時の認証方法削除と引き継ぎ注意点

退職者のMicrosoft 365アカウントを適切に管理することは、企業のセキュリティを維持するうえで欠かせません。特に、退職者が使用していた多要素認証(MFA)の端末情報が残ったままになると、第三者による不正アクセスのリスクが高まります。本記事では、退職者のMFA端末を削除する方法と、その際に注意すべきデータ引き継ぎのポイントについて詳しく解説します。実際の操作手順から管理者が知っておくべき設定まで、現場で役立つ情報をまとめました。

退職者のMFA端末が残っていると何が問題か

退職者のMFA端末(スマートフォンやハードウェアトークンなど)がMicrosoft 365上に残っていると、その端末を使ってアカウントにアクセスできる可能性があります。たとえ退職者本人が悪意を持っていなくても、端末を紛失したり、家族が使用したりするケースも考えられます。また、退職後にアカウントが乗っ取られるリスクを防ぐためにも、速やかに認証方法を削除すべきです。

さらに、MFA端末が残っていることで、管理者がアカウントのパスワードリセットを行っても、セカンドファクターが有効なままであるため、本当に削除されたか確認しづらくなります。結果として、意図しないアクセス経路が残り、情報漏洩の原因になりかねません。

退職者のMFA認証方法を削除する具体的な手順

退職者のMFA認証方法を削除するには、Microsoft 365管理センターまたはMicrosoft Entra管理センターを使用します。以下の手順では、管理者が対象ユーザーの認証方法を直接削除する方法を説明します。

管理者がMFA端末情報を削除する(管理センター)

1. Microsoft 365管理センター(admin.microsoft.com)に管理者アカウントでサインインします。
2. 左メニューから「ユーザー」→「アクティブユーザー」を選択し、退職者のユーザー名をクリックします。
3. 表示されたユーザー詳細画面で「アカウント」タブを開き、「セキュリティ情報」セクションまでスクロールします。
4. 「セキュリティ情報の管理」をクリックすると、登録されている認証方法(電話、メール、Microsoft Authenticatorアプリなど)が一覧表示されます。
5. 削除したい認証方法の右側にある「削除」アイコン(ゴミ箱)をクリックし、確認ダイアログで「削除」を選択します。
6. すべての不要な認証方法を削除したら、画面を閉じて変更を保存します。ユーザーが退職済みの場合は、アカウント自体の削除も検討します。

なお、対象ユーザーが既に退社しており、代理でアクセス権限がない場合は、グローバル管理者またはユーザー管理者の権限が必要です。必要に応じて、上位管理者に依頼してください。

条件付きアクセスを用いた無効化(補足)

MFA端末を直接削除する代わりに、条件付きアクセスポリシーで退職者アカウントのサインインをブロックする方法もあります。ただし、この方法では認証情報そのものは残るため、後日別の設定ミスでブロックが解除されるリスクがあります。確実な対策としては、認証方法そのものを削除することを推奨します。

退職者アカウントのデータ引き継ぎとMFAの関係

MFA端末を削除する前に、退職者のメールボックスやOneDriveのデータを別のユーザーに引き継ぐ必要があります。特に、メールの自動転送設定や共有メールボックス化などの対応が求められます。以下に、引き継ぎ作業の流れをまとめます。

引き継ぎ項目	手順	MFA端末削除のタイミング
メールボックス	Exchange管理センターで共有メールボックスに変換、または別のユーザーにフルアクセス権を付与	変換後、退職者アカウントのライセンスを削除する前
OneDrive	OneDrive管理センターで別のユーザーにアクセス権を追加、またはファイルをダウンロード	アクセス権委任後、認証方法を削除
Teamsデータ	Teams管理センターでデータエクスポート、またはチームのメンバーシップを調整	引き継ぎ完了後、アカウント削除と同時に認証方法も削除

引き継ぎが完了するまでは、MFA端末を削除すると退職者がアクセスできなくなり、データを取り出せなくなる恐れがあります。逆に、引き継ぎ後に端末を残したままにすると、退職者アカウントが外部から狙われるリスクが高まります。適切なタイミングで削除しましょう。

よくある失敗パターンと対処法

退職者のMFA端末削除作業では、以下のような失敗がよく発生します。事前に把握しておくことで、トラブルを回避できます。

• 誤って現役社員のMFA端末を削除してしまう:ユーザー名が似ている場合に起こりやすい。管理者は削除前にユーザー名と表示名を二重確認し、必要なら組織図と照合してください。
• MFA端末を削除した後、退職者のメールが受信できなくなる:共有メールボックス化していない場合は、直ちにメールフローが停止します。事前に転送設定や共有化を実施してください。
• 削除した認証方法が再び表示される:ユーザーが別の端末から再登録した可能性があります。アカウントを完全に無効化または削除するまでは、定期的にセキュリティ情報をチェックしましょう。

これらの失敗を防ぐために、作業手順をチェックリスト化し、ダブルチェック体制を敷くことをおすすめします。

管理者が事前に確認すべき設定

MFA端末の削除作業に入る前に、以下の設定を確認しておくとスムーズです。

• ユーザーのライセンス状態:ライセンスが割り当てられたままなら、削除後に自動的に新しい認証が要求されることがあります。ライセンスは引き継ぎ完了後に解放してください。
• 条件付きアクセスポリシー:退職者アカウントに適用されているポリシーを確認し、不要なら削除または変更します。
• 監査ログ:削除前に監査ログを有効にし、誰がいつ認証方法を変更したかを記録できるようにします。削除作業自体の追跡にも役立ちます。

管理者権限を持たない一般ユーザーは、これらの設定を自分で変更しないでください。必ずIT部門または管理者に依頼しましょう。

よくある質問(FAQ)

Q1. 退職者が自分でMFA端末を削除することはできますか?
A. 退職者は自身のアカウントにサインインできなくなっている場合が多いため、管理者しか削除できません。サインイン可能な場合は、退職者自身がセキュリティ情報を編集することも可能ですが、セキュリティリスクを考慮し、管理者が行うべきです。

Q2. MFA端末を削除しても、退職者のOneDriveファイルは残りますか?
A. はい、認証方法の削除はアカウントの削除ではないため、OneDriveのファイルは引き続きアクセス可能です。ただし、アカウントが無効化されるまでは、適切なアクセス権限を持つ他のユーザーがアクセスできます。

Q3. 退職者のMFA端末を削除したあと、別の端末から認証を求められた場合はどうすればいいですか?
A. 削除後もアカウントが有効であれば、退職者は再登録できません。管理者が新たに認証方法を追加する必要がありますが、退職者本人しか操作できないため、通常はアカウント削除が現実的です。

まとめ

退職者のMFA端末を適切に削除することは、企業のセキュリティを維持するために重要です。削除作業はデータ引き継ぎと並行して行い、タイミングを誤らないように注意しましょう。管理者は、ユーザーのセキュリティ情報を直接編集することで確実に認証方法を削除できます。また、作業前には条件付きアクセスやライセンス状態を確認し、監査ログを有効にすることをおすすめします。退職者アカウントの管理を徹底し、セキュリティインシデントを未然に防ぎましょう。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。