Microsoft 365の多要素認証(MFA)が導入されている企業では、Microsoft Authenticatorアプリの利用が推奨されることが多いです。しかし、「自分のスマートフォンを仕事の認証に使いたくない」と感じる方も少なくありません。プライベート端末を業務に紐づけることへの抵抗感や、紛失リスク、バッテリー消費などの懸念が背景にあります。本記事では、個人スマホを使わずにMFAを運用するための会社支給端末や代替手段について、具体的な確認手順と実務的な判断基準を解説します。
【要点】この記事で確認すること
- 最初に見る場所: 会社のITポリシーやセキュリティガイドライン。個人スマホの使用が強制されていないか、代替手段が明示されているかを確認します。
- 切り分けの軸: 「端末側(会社支給スマホの有無)」と「認証方式側(アプリ以外の選択肢)」の2軸で検討します。会社支給スマホがある場合はそれを、ない場合はスマホ不要の方式を候補にします。
- 注意点: 会社PCの設定やサードパーティ製アプリの導入は管理者の許可が必要です。勝手に変更せず、必ず情報システム部門に相談してください。
ADVERTISEMENT
目次
なぜ個人スマホを使いたくないのか – 理由と背景
多要素認証で個人スマホの利用を避けたい理由は人それぞれですが、主なものを挙げます。
プライバシーと業務の境界
自分のスマートフォンに仕事用のアカウントを登録すると、会社が端末の管理権限を持つ可能性があります。Microsoft Authenticator自体はパスワードや証明書を管理しますが、MDM(モバイルデバイス管理)と連携する場合、個人のデータにアクセスされる懸念があります。また、休日に業務連絡が届くなど、オン・オフの切り替えが難しくなることも理由です。
セキュリティリスク
個人スマホはウイルス対策が不十分だったり、公共Wi-Fiを使用したりする機会が多いです。また、端末を紛失した場合、仕事のアカウントが悪用されるリスクがあります。会社によっては、紛失時の報告義務やリモートワイプのリスクを避けたいという心理も働きます。
バッテリーやデータ容量の負担
Microsoft Authenticatorは通知の受信や定期的な同期を行うため、バッテリー消費が気になる方もいます。また、会社のポリシーでアプリの自動更新が強制される場合、モバイルデータ通信量が増える可能性もあります。
会社支給端末でMicrosoft Authenticatorを利用する方法
最もシンプルな解決策は、会社から支給されたスマートフォンやタブレットを使用することです。会社支給端末があれば、個人の端末に仕事のアカウントを紐づける必要がなく、プライバシーも保たれます。以下に、会社支給端末にMicrosoft Authenticatorを設定する手順を紹介します。
- 会社支給端末のOS(iOSまたはAndroid)に対応したMicrosoft Authenticatorアプリを、公式ストアからインストールします。会社がMDMでアプリの配信を制御している場合は、ポータルサイトやセルフサービスから入手します。
- アプリを開き、画面の指示に従ってMicrosoft 365の職場アカウント(例: user@company.com)を追加します。通常はQRコードを読み取る方式ですが、会社の登録画面から手動入力も可能です。
- 許可を求められたら、「通知の送信」や「カメラへのアクセス」を有効にします。これにより、プッシュ通知を使った迅速な承認が可能になります。
- 多要素認証の登録が完了したら、別の端末でサインインを試し、認証が正しく動作するか確認します。特に、会社支給端末が常に手元にない場合(共有端末など)でも問題なく使用できるかをテストします。
- 端末のパスコードや生体認証(指紋、顔認証)を設定し、アプリ自体へのアクセスを保護します。これにより、端末を紛失しても第三者に悪用されるリスクを低減できます。
会社支給端末がない場合や、そもそもスマートフォンの支給がない企業も多いです。その場合は、スマートフォンを使わない代替認証手段を検討します。
スマホ不要の代替認証手段とその選び方
Microsoft 365の多要素認証では、Microsoft Authenticator以外にも様々な方式が利用できます。スマホを使いたくない場合、以下の選択肢があります。
FIDO2セキュリティキー(物理トークン)
USB-AやUSB-C、NFC対応のハードウェアキーです。PCに挿すかタッチするだけで認証が完了します。パスワード不要のパスワードレス認証にも対応しており、セキュリティレベルは非常に高いです。ただし、紛失に注意する必要があり、代替キーの準備が推奨されます。
Windows Hello(顔認証・指紋認証・PIN)
会社のWindows PCに内蔵されたカメラや指紋リーダーを使う方式です。多要素認証の中で「デバイス認証」として利用できます。ただし、会社PCがWindows Helloに対応していることが前提で、管理者側でポリシーが有効になっている必要があります。
TOTP(時間ベースのワンタイムパスワード)対応ハードウェアトークン
RSA SecurIDやGoogle Authenticator互換の小型トークンなど、30秒ごとに数字が変わるデバイスです。スマホ版Authenticatorと同様の仕組みですが、専用ハードウェアなのでスマホ不要です。企業によっては支給されるケースもあります。
SMSまたは音声通話
最も古典的な方式ですが、スマホが必須です(ただし会社支給のフィーチャーフォンでも可)。ただし、SMSはSIMスワップ攻撃などのリスクがあり、現在は推奨されていません。Microsoftも既定ではオフにしている場合があります。
ADVERTISEMENT
各認証方式の比較表
| 方式 | スマホ不要 | セキュリティ | コスト(企業負担) | 注意点 |
|---|---|---|---|---|
| 会社支給スマホ+Authenticator | ○(端末が必要) | 高い | 中~高(端末代+通信費) | プライバシーは確保されるが、端末管理の手間あり |
| FIDO2セキュリティキー | ◎ | 非常に高い | 低~中(1個数千円) | 紛失対策として予備キーが必要 |
| Windows Hello | ◎ | 高い | 追加費用なし | 対応PCが必要。リモートワークで別の端末を使う場合に不便 |
| TOTPハードウェアトークン | ◎ | 中~高 | 低~中(1個千~数千円) | 製造終了の機種あり、管理者の設定が必要 |
| SMS / 音声通話 | △(電話回線が必要) | 低い | 低 | 推奨されない。固定電話でも可能だが、屋外では使えない |
管理者に相談する前に – 確認すべきことと伝えるポイント
個人スマホを使いたくないと感じたら、まず情報システム部門やIT管理者に相談します。その際、以下の情報を整理しておくとスムーズです。
- 現在の状況: あなたがどのような端末で業務を行っているか(会社PCの機種、スマホの有無など)。
- 希望する代替手段: FIDO2キーやWindows Helloなど、上記で紹介したいずれかの方式を具体的に挙げます。ただし、会社で導入可能かどうかは管理者の判断に委ねられます。
- ポリシーの確認: 会社のセキュリティポリシーで「個人スマホの使用禁止」や「スマホ認証必須」といった記載がないか事前に確認しておきます。ポリシーに反しない範囲で代替案を提示できます。
- 予算と運用の相談: 会社支給スマホやFIDO2キーの購入には予算が必要です。可能であれば、自分が所属する部署の管理者を通じて依頼すると動きやすいです。
管理者からは「スタッフの希望を聞いて検討する」「すでに代替手段が用意されている」などの回答が得られるでしょう。逆に「個人スマホしか選択肢がない」と言われた場合は、プライバシーやリスクについて再度話し合う必要があります。
よくある質問と失敗パターン
「個人スマホにAuthenticatorを入れた後に後悔した」という声
よくある失敗は、退職や異動の際に個人スマホからアカウントを削除するのを忘れてしまうことです。後任者がその端末を手にした場合、会社のデータにアクセスされるリスクがあります。また、アプリのバックアップがクラウドに保存されている場合、アンインストール後もデータが残る可能性があります。このような事態を防ぐためにも、会社支給端末や代替手段を最初から選ぶのが安全です。
「スマホなしで認証できると聞いたが、設定方法がわからない」
管理者側で許可していない方式は、ユーザーが自己判断で設定できません。例えば、Windows Helloを有効にするには、Azure ADのポリシーで「Windows Hello for Business」が有効になっている必要があります。また、FIDO2キーを利用するには、Azure ADでキーの登録が許可されている必要があります。まずは管理者に問い合わせてください。
「SMS認証を希望したが、届かない」
SMS認証はキャリアの状況や国際ローミングなどで届かないケースがあります。また、電話会社によってはSMSの到達遅延が発生します。信頼性の問題から、MicrosoftはSMSを推奨していません。どうしてもスマホを使いたくない場合は、SMS以外の方法を模索しましょう。
まとめ
Microsoft Authenticatorにおける多要素認証で個人スマホを使いたくない場合、会社支給端末の活用やFIDO2キー、Windows Helloなど複数の代替手段が存在します。最初に会社のポリシーを確認し、管理者と相談しながら最適な方法を選びましょう。スマホ不要の方式はセキュリティ面でも優れている場合が多く、積極的に導入を検討する価値があります。個人端末と業務端末を分けることは、プライバシー保護と情報漏洩防止の両面で効果的です。ぜひ本記事を参考に、快適で安全な認証環境を構築してください。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築