【Teams】Teamsで多要素認証を必須にしてアカウント乗っ取りを防ぐ設定手順

Microsoft Teamsを安全に利用するためには、不正アクセス対策が不可欠です。特に、アカウント乗っ取りは深刻な情報漏洩や業務停止につながる可能性があります。Teams会議への参加やファイル共有など、日常的な業務で頻繁に利用されるからこそ、セキュリティ対策は万全にしたいものです。この記事では、Teamsで多要素認証(MFA)を必須にするための具体的な設定手順を解説します。これにより、アカウント乗っ取りのリスクを大幅に低減し、より安全にTeamsを利用できるようになります。

Teamsアカウント乗っ取りを防ぐ多要素認証の重要性

アカウント乗っ取りは、パスワードの漏洩や推測によって引き起こされることが多いです。特に、パスワードが使い回されていたり、単純なパスワードを使用していたりすると、攻撃者に狙われやすくなります。Microsoft Teamsは、ビジネスコミュニケーションの中心となるプラットフォームであり、機密情報へのアクセス権を持つことも少なくありません。そのため、Teamsアカウントが乗っ取られると、業務に必要な情報が盗まれたり、組織の評判が傷ついたりする可能性があります。

多要素認証(MFA)は、パスワードだけでなく、SMSコード、認証アプリ、生体認証など、複数の異なる種類の認証要素を組み合わせて本人確認を行う仕組みです。これにより、たとえパスワードが漏洩したとしても、他の認証要素がなければ不正ログインを防ぐことができます。TeamsでMFAを必須にすることで、アカウントのセキュリティレベルを飛躍的に向上させ、アカウント乗っ取りのリスクを最小限に抑えることが可能になります。

多要素認証設定の前提条件と管理者権限

Microsoft Teamsの多要素認証(MFA)設定は、Microsoft 365の管理機能を通じて行われます。具体的には、Azure Active Directory(Azure AD)の機能を利用します。そのため、この設定を行うには、Azure ADまたはMicrosoft 365のグローバル管理者権限、あるいはセキュリティ管理者権限が必要です。

また、多要素認証をユーザーに要求するには、ユーザーがMFAに対応した認証方法を設定している必要があります。これには、Microsoft Authenticatorアプリのインストールや、電話番号の登録などが含まれます。設定を行う前に、対象となるユーザーにこれらの準備を促すことが重要です。組織によっては、Microsoft 365のライセンスにMFA機能が含まれていない場合や、特定のライセンスが必要となる場合があります。ご利用のMicrosoft 365ライセンス体系をご確認ください。

Teamsで多要素認証を必須にする設定手順

Microsoft Teamsで多要素認証(MFA)を必須にするには、Azure Active Directory(Azure AD)の条件付きアクセスポリシーを作成します。このポリシーにより、特定の条件(例: Teamsへのサインイン)を満たす場合に、MFAの実行を要求できます。

1. Microsoft 365 管理センターへのサインイン
   Webブラウザを開き、Microsoft 365 管理センター (admin.microsoft.com) にアクセスします。
   グローバル管理者またはセキュリティ管理者アカウントでサインインしてください。
2. Azure Active Directory 管理センターへの移動
   管理センターの左側ナビゲーションメニューから「すべてのアプリを表示」を選択します。
   次に、「Azure Active Directory」を選択してAzure AD管理センターに移動します。
3. 条件付きアクセスポリシーの選択
   Azure AD管理センターの左側メニューで、「保護」セクションを展開し、「条件付きアクセス」を選択します。
4. 新しいポリシーの作成
   「ポリシー」画面の上部にある「+ 新しいポリシー」ボタンをクリックします。
5. ポリシー名の入力
   「名前」フィールドに、ポリシーの内容がわかる名前を入力します。例: 「Teams MFA強制ポリシー」
6. 割り当て(対象ユーザー)の設定
   「割り当て」セクションで、「ユーザーとグループ」をクリックします。
   「含める」タブで、「すべてのユーザー」を選択するか、特定のユーザーまたはグループを選択します。
   特定のユーザーやグループにのみ適用したい場合は、「ユーザーとグループを選択」を選び、対象を追加してください。
   「除外」タブで、MFAを適用したくないユーザー(例: 緊急時の管理者アカウント)がいれば、それらを選択して除外設定を行います。
   設定が終わったら、「完了」をクリックします。
7. ターゲットリソース(クラウドアプリ)の設定
   「ターゲットリソース」セクションで、「クラウドアプリまたは操作」を選択します。
   「クラウドアプリ」を選択し、「アプリを選択」をクリックします。
   アプリの一覧から「Microsoft Teams」を検索し、チェックを入れて選択します。
   「選択」をクリックして閉じます。
8. 条件の設定
   「条件」セクションで、「デバイスプラットフォーム」、「場所」、「クライアントアプリケーション」、「デバイスの状態」などを必要に応じて設定します。
   今回はTeamsへのサインインを対象とするため、特別な条件設定は必須ではありませんが、より詳細な制御を行いたい場合はここで設定します。
   例: 特定の場所からのサインインのみMFAを要求するなど。
   設定が不要な場合は、このセクションはスキップできます。
9. アクセス許可(制御)の設定
   「アクセス許可」セクションで、「セッション」をクリックします。
   「アクセスの許可」を選択し、その下で「多要素認証を要求する」にチェックを入れます。
   「選択」をクリックして閉じます。
10. ポリシーの有効化
    「ポリシーを有効にする」を「オン」に設定します。
    設定内容を確認し、問題がなければ「作成」ボタンをクリックしてポリシーを保存します。

これで、指定したユーザーがTeamsにサインインする際に、MFAが要求されるようになります。初めてTeamsにサインインするユーザーや、MFA設定が未完了のユーザーは、追加の認証手順を求められます。

新しいTeams(v2)と従来TeamsにおけるMFA設定の違い

Microsoft Teamsの新しいバージョン(v2)でも、多要素認証(MFA)の設定方法は基本的に変わりません。MFAは、Teamsアプリケーション自体の機能ではなく、Microsoft 365の基盤となるAzure Active Directory(Azure AD)のセキュリティ機能によって制御されています。

したがって、新しいTeams (v2) であっても、上記で説明したAzure ADの条件付きアクセスポリシーを設定することで、MFAを必須にすることができます。新しいTeamsインターフェースの見た目や一部機能の変更があっても、認証メカニズムは共通のままです。管理者は、Azure AD管理センターで設定を行うことで、新しいTeamsを含むMicrosoft 365の各サービス全体で一貫したセキュリティポリシーを適用できます。

新しいOutlookと従来OutlookにおけるMFA設定の違い

Microsoft Outlookについても、Teamsと同様に、多要素認証(MFA)はAzure Active Directory(Azure AD)によって管理されています。新しいOutlook(プレビュー版または一般提供版)であっても、MFA設定の基本的な考え方や手順に違いはありません。

Azure ADで作成した条件付きアクセスポリシーは、Teamsだけでなく、Outlook(デスクトップ版、Web版、モバイル版すべて)や、その他のMicrosoft 365サービスにも適用されます。新しいOutlookにサインインする際にも、条件付きアクセスポリシーでMFAが要求されていれば、追加の認証ステップが求められます。管理者は、Azure AD管理センターでの一元的な設定により、組織全体のセキュリティを強化できます。

Mac版・モバイル版Teams/OutlookでのMFA利用

Azure ADで設定された多要素認証(MFA)ポリシーは、プラットフォームに依存しません。そのため、Mac版Teams、iOS版Teams、Android版Teams、Mac版Outlook、iOS版Outlook、Android版Outlookのいずれを利用している場合でも、MFAの要求は適用されます。

ユーザーは、TeamsやOutlookにサインインする際に、PC版と同様に、登録済みの認証方法(認証アプリのコード入力、SMS認証コードの入力、プッシュ通知の承認など)を使用して本人確認を行う必要があります。モバイルデバイスでは、Microsoft Authenticatorアプリからのプッシュ通知承認が、最もスムーズなMFA体験を提供することが多いです。組織のセキュリティポリシーに従い、各プラットフォームでMFAが正しく機能することを確認してください。

MFA設定でよくあるトラブルと対処法

ユーザーがMFAを完了できない

原因: ユーザーがMFA用の認証方法(例: Microsoft Authenticatorアプリ、電話番号)を正しく設定していない、または認証アプリが最新の状態でない可能性があります。また、ネットワーク接続の問題で認証コードが届かない場合もあります。

対処法:

1. ユーザーへの確認依頼
   対象ユーザーに、Microsoft 365アカウントのセキュリティ情報(mfa.microsoft.com で確認可能)にサインインし、MFA設定が完了しているか確認してもらいます。
2. 認証アプリの再設定
   Microsoft Authenticatorアプリを利用している場合は、一度アカウントを削除し、再度追加して設定し直すよう指示します。
3. 電話番号の確認
   SMS認証を利用している場合は、登録されている電話番号が正しいか、SMSを受信できる状態かを確認してもらいます。
4. ネットワーク接続の確認
   ユーザーのデバイスがインターネットに接続されているか確認します。
5. 管理者による一時パスワードの発行
   上記で解決しない場合、管理者はAzure AD管理センターでユーザーのMFAをリセットし、一時パスワードを発行して、再設定を促すことができます。

特定のデバイスやアプリでMFAが要求されない

原因: 条件付きアクセスポリシーの設定が意図通りでない、または「クライアントアプリケーション」の条件で、MFAを要求したいアプリが含まれていない可能性があります。また、古いバージョンのTeamsやOutlookを利用している場合、最新の認証プロトコルに対応していないことも考えられます。

対処法:

1. 条件付きアクセスポリシーの確認
   Azure AD管理センターで、対象のポリシー設定を確認します。「クラウドアプリまたは操作」で「Microsoft Teams」や「Office 365」などが正しく選択されているか確認します。
2. クライアントアプリケーションの設定
   「条件」セクションの「クライアントアプリケーション」で、「モバイルアプリとデスクトップクライアント」や「ブラウザー」などが適切に選択されているか確認します。場合によっては、「すべてのクライアントアプリケーション」を選択することで、すべての環境でMFAを要求できます。
3. Teams/Outlookのアップデート
   ユーザーに、TeamsやOutlookのアプリケーションを最新バージョンにアップデートしてもらいます。
4. 条件付きアクセスポリシーのテスト
   「What If」ツールを使用して、特定のユーザーがポリシーの影響を受けるかテストします。

MFA設定後、Teams会議への参加ができない

原因: MFA設定がTeams会議の参加に必要な権限をブロックしている、または会議参加に関連する別の条件付きアクセスポリシーが干渉している可能性があります。また、Teams会議の招待者が外部ユーザーで、そのユーザーのMFA設定が組織のポリシーと競合している場合も考えられます。

対処法:

1. Teams会議参加に関するポリシーの確認
   Teams会議への参加に特化した条件付きアクセスポリシーがないか確認します。もしあれば、MFA要求が適切に設定されているか確認します。
2. 「Office 365」クラウドアプリの確認
   Teamsは「Office 365」クラウドアプリの一部としても扱われるため、このアプリに対するポリシー設定も確認してください。
3. 外部ユーザーへの確認依頼
   外部ユーザーが会議に参加できない場合、そのユーザーの組織のMFA設定や、組織間の連携設定(フェデレーションなど)を確認してもらう必要があります。
4. MFAリセットの検討
   問題が解決しない場合、一時的に対象ユーザーのMFAを無効化またはリセットし、会議参加が可能になるか確認します。その後、再度MFA設定を慎重に行います。

組織ポリシー・テナント設定による影響

Microsoft TeamsやOutlookにおける多要素認証(MFA)の設定は、Azure Active Directory(Azure AD)のテナント設定に大きく依存します。組織のMicrosoft 365テナントで、MFAに関する様々な設定が行われている可能性があります。

例えば、Azure AD Premium P1またはP2ライセンスがない場合、条件付きアクセスポリシーを作成・適用することができません。また、MFAの登録を必須とする「登録ポリシー」や、特定の条件下でのMFAを必須とする「条件付きアクセス」など、複数のMFA関連ポリシーが競合している可能性もあります。これらのポリシーがどのように組み合わされているかによって、ユーザーがMFAを求められるタイミングや方法が変化します。

管理者は、Azure AD管理センターの「MFA」設定画面や「条件付きアクセス」画面で、組織全体のMFAポリシーを確認・管理する必要があります。意図しないMFAの挙動が見られる場合は、これらの設定の競合や、ライセンスの制約がないか慎重に調査することが重要です。

まとめ

本記事では、Microsoft TeamsおよびOutlookのアカウント乗っ取りを防ぐために、Azure Active Directoryの条件付きアクセスポリシーを利用して多要素認証(MFA)を必須にする設定手順を解説しました。この設定により、パスワードだけでなく、追加の認証要素を要求することで、不正アクセスからアカウントを保護できます。

まずは、Azure AD管理センターで「条件付きアクセスポリシー」を作成し、対象ユーザーと「Microsoft Teams」を割り当て、「多要素認証を要求する」設定を有効化してください。設定後は、ユーザーがTeamsやOutlookにサインインする際にMFAが要求されるようになります。MFA設定で問題が発生した場合は、ユーザーの認証方法の確認や、ポリシー設定の見直しを行ってください。組織全体のセキュリティ強化のために、MFAの導入は非常に効果的です。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。