【検証】条件付きアクセスで「すべてのユーザーに多要素認証（MFA）」を強制してみました！ | yjk365

【検証】条件付きアクセスで「すべてのユーザーに多要素認証（MFA）」を強制してみました！

2025.08.05

こんにちは！市川です！
社内で管理しているMicrosoft Entraの多要素認証（MFA）設定が、ユーザーごとに「ID＋パスワードのみ」や「ID＋パスワード＋アプリ認証」など認証方法がバラバラになっていませんか？
ユーザーごとに多要素認証（MFA）を設定していると、新入社員が入るたびに個別設定が必要になったりと、設定漏れが発生しやすくなります。

そこで今回は、条件付きアクセスで「すべてのユーザーに多要素認証（MFA）」の要求を強制し、ユーザー側の挙動を検証してみました！
これにより、すべてのユーザーに対して一括でMFAを強制でき、後から追加された社員なども自動的に対象となるため、設定漏れや個別設定の手間を防ぐことができます！ぜひご参考ください！

※注意※
条件付きアクセスでMFAを適用する際は、ユーザーごとのMFAは無効（disabled）にしてください。詳細はこちら

◎Microsoft公式でも、ユーザーごとの多要素認証（MFA）は非推奨であり、条件付きアクセスによる多要素認証（MFA）の適用が推奨されています◎
Microsoft公式情報：Microsoft Entra ID でユーザーごとの MFA をオフにする – Microsoft Entra ID | Microsoft Learn

目次

1．ユーザーごとの多要素認証（MFA）を無効にする
2．条件付きアクセスの設定
3．設定後の挙動
　-MFA適用前のサインイン
　-ゲストユーザー側の挙動
　-まとめ

1．ユーザーごとの多要素認証（MFA）を無効にする

条件付きアクセスでMFAの管理をする前に、ユーザーごとのMFAを「無効」にする必要があります。「有効」のままだと、設定が競合してしまい、うまく適用しないことがあります。
※Microsoft Learnでも「条件付きアクセスを使用する場合は、ユーザーごとのMFAを無効にすることを推奨」と明記されています。
ユーザーごとの多要素認証を有効にする – Microsoft Entra ID | Microsoft Learn

それでは、ユーザーごとのMFAを確認していきます。

1．Microsoft 365 管理センターを開き、「ID」をクリックします。

2．「ユーザー」のタブより「すべてのユーザー」をクリックします。

3．「・・・」から「ユーザーごとの MFA」をクリックします。

4．ここで、対象ユーザーのMFAを無効（disabled）にします。

5．ユーザーのMFAが無効であることを確認できました。

2．条件付きアクセスの設定

次に、すべてのユーザーにMFAを要求するために、条件付きアクセスポリシーを作成します。

1．「保護」のタブより「条件付きアクセス」をクリックします。

2．「テンプレートから新しいポリシーを作成」をクリックします。

3．「すべてのユーザーに多要素認証を要求する」を選択し、「レビューと作成」をクリックします。

4．「ポリシーの状態」を「オン」に変更します。

5．割り当てには「すべてのユーザー」、対象リソースには「すべてのクラウドアプリ」が含まれています。
※ロックアウトを防ぐために、ポリシーを作成したユーザーは除外するよう構成されています。

6．「作成」をクリックします。

7．ポリシーが正常に作成されました。

3．設定後の挙動

条件付きアクセス設定後、どのような挙動になるのか検証していきます。
※まとめにも結果を記載しています。

1．Office 365 にサインインします。「サインイン」をクリックします。

2．ユーザーIDを入力し「次へ」をクリックします。

3．パスワードを入力し「サインイン」をクリックします。

4．初回アクセス時のみ、多要素認証が求められました。SMSや、Microsoft Authenticator のアプリを使用して認証を行います。

5．認証が成功し、サインインすることができました。

6．次に、Teamsのアプリを起動します。

7．Teamsを起動するも、特に多要素認証は求められませんでした。

8．次に、Outlookのアプリを起動します。

9．Outlookでも同様に、多要素認証は求められませんでした。

10．WordやExcelも、多要素認証は求められませんでした。

11．ブラウザのTeamsやOutlookでも同様です。

MFA適用前のサインイン

MFAが適用される前の挙動です。

1．Office 365 にサインインします。「サインイン」をクリックします。

2．ユーザーIDを入力し「次へ」をクリックします。

3．パスワードを入力し「サインイン」をクリックします。

4．特に追加の認証は求めらず、IDとパスワードのみでサインインすることができました。

ゲストユーザー側の挙動

条件付きアクセスのMFA設定は、”ゲストユーザー”にも適用されます。
例えば、Teamsのチームにゲストとして参加している場合、ゲストユーザーは認証をしてサインインしなおす必要があります。

1．MFAが設定されたクライアントのチームに、「注意マーク」が表示されます。

2．「アカウントをセキュリティで保護しましょう」と表示されるので、「次へ」をクリックします。

3．「次へ」をクリックします。
※別の認証方法を選択することも可能です。

4．QRコードが表示されるので、Microsoft Authenticator のアプリで読み取り、「次へ」をクリックします。

5．画面に表示された番号を、Microsoft Authenticator のアプリに入力します。

6．認証後、「次へ」をクリックします。

7．「完了」をクリックします。

8．認証が完了し、チームにサインインできました。

まとめ

条件付きアクセスで、すべてのユーザーにMFAを要求した結果・・・

① Office 365 にサインインするときだけ多要素認証が求められる！
※初回アクセス時のみ（１度認証したあとは、サインアウトをしても、その後認証は求められませんでした。）

② ゲストユーザーの場合、Teamsのチームにアクセスするときに多要素認証を求められる！

③ デスクトップアプリのTeams・Outlook・Word・Excelにアクセスするときは、多要素認証は求められない！

④ ブラウザ版のTeams・Outlook・Word・Excelにアクセスするときは、多要素認証は求められない！

その他お困りごとも動画で解説！