Office 365 展開用の多要素認証の計画

多要素認証 (MFA) では、複数の確認方法を使用することが求められ、ユーザーのサインインとトランザクションに加えてもう 1 つのセキュリティ レイヤーを追加する認証方法です。 この方法では、次のうち 2 つ以上の確認方法が必要になります。

  • ランダムに生成されるパス コード

  • 電話

  • スマート カード (仮想または物理)

  • 生体認証デバイス

Office 365 の多要素認証

Office 365 では、多要素認証を使用して厳重なセキュリティを提供します。このセキュリティは Office 365 管理センターで管理されます。 Office 365 のサブスクリプションには Azure Multi-Factor Authentication の次の機能のサブセットが含まれています。

  • エンド ユーザーに対して多要素認証を有効にする、または強制する

  • 第 2 認証要素としてモバイル アプリ (オンラインおよびワンタイム パスワード [OTP]) を使用する

  • 第 2 認証要素として電話を使用する

  • 第 2 認証要素としてショート メッセージ サービス (SMS) のメッセージを使用する

  • ブラウザー以外のクライアント (Microsoft Lync 2013 コミュニケーション ソフトウェアなど) のアプリケーション パスワード

  • 電話認証時の既定の案内応答

追加された機能の一覧については、「バージョンごとの機能の比較」を参照してください。 Azure Multi-Factor Authentication サービスを購入すると、すべての機能をいつでも利用できます。

Office 365 をクラウドのみで展開しているか、シングル サインオンと Active Directory フェデレーション サービス (AD FS) に対応するハイブリッドをセットアップしているかに応じて、利用できる機能のサブセットは異なります。

Office 365 テナントを管理する場所

MFA の第 2 要素のオプション

クラウドのみ

Azure Active Directory MFA (テキストまたは電話)

ハイブリッド セットアップ、オンプレミスで管理

ユーザー ID をオンプレミスで管理する場合、次のような選択肢があります。

  • 物理または仮想スマート カード (AD FS)

  • Azure MFA (AD FS 用モジュール)

  • Azure AD MFA

また、オンプレミスのディレクトリで提供されるその他の MFA ソリューションを使用することもできます。たとえば、Azure AD フェデレーションと互換性のある他の ID プロバイダーは、ID プロバイダーの仕様に従って管理できる異なる MFA ソリューションを提供する場合があります。

次の図は、最新の Windows 版 Office 2013 のデバイス アプリで MFA を使用してユーザーがどのようにサインインするかを示しています。 Office 2013 デバイス アプリは、Active Directory Authentication Library (ADAL) を使用して多要素認証をサポートしています。 Azure AD は、ユーザーがサインインする Web ページをホストします。 ID プロバイダーは、Azure AD の場合も、AD FS などのフェデレーション ID プロバイダーの場合もあります。 フェデレーション ユーザーを認証する場合は、次の手順に従います。

  1. Azure AD では、Office 365 テナントのレコードで示された ID プロバイダーがホストする、サインイン用の Web ページにユーザーをリダイレクトします。 この ID プロバイダーは、ユーザーのサインイン名に指定されたドメインに基づいて決定されます。

  2. ユーザーは、自分のデバイスに表示されたサインイン用の Web ページでサインインを行います。

  3. サインインが正常に完了すると、ID プロバイダーから Azure AD にトークンが返されます。

  4. Azure AD は Office デバイス アプリに JSON Web トークン (JWT) を返し、デバイス アプリは JWT を使用して Office 365 で認証されます。

次の図に詳細を示します。

Office 2013 デバイス アプリ用の先進認証。

ソフトウェア要件

Office 2013 クライアント アプリで MFA を有効にするには、クイック実行ベースのインストールか、MSI ベースのインストールかに基づいて、次のソフトウェアがインストールされている必要があります (以下に記載されているバージョンまたはそれ以降のバージョン)。

Office のインストールがクイック実行または MSI ベースかどうかを判断するには、次を実行します。

  1. Outlook 2013 を起動します。

  2. [ファイル] メニューで [Office アカウント] を選びます。

  3. Outlook 2013 のクイック実行インストールの場合、[更新オプション] アイテムが表示されます。MSI ベースのインストールの場合、[更新オプション] アイテムは表示されません。

    Office 2013 のインストールがクイック実行または MSI ベースの場合に知らせる方法を示す図

クイック実行ベースのインストール

クイック実行ベースのインストールの場合、次のソフトウェアがインストールされている必要があります (以下に記載されているファイル バージョンまたはそれ以降のファイル バージョン)。ファイル バージョンが記載されているバージョンよりも古い場合は、次の手順に従って更新します。

ファイル名

パスをコンピューターにインストールする

ファイル バージョン

MSO.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\MSO.DLL

15.0.4753.1001

CSI.DLL

CSI.DLL C:\Program Files\Microsoft Office 15\root\office15\csi.dll

15.0.4753.1000

Groove.EXE

C:\Program Files\Microsoft Office 15\root\office15\GROOVE.exe

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office 15\root\office15\OUTLOOK.exe

15.0.4753.1002

ADAL.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\ADAL.DLL

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

可変

MSI ベースのインストール

MSI ベースのインストールの場合、次のソフトウェアがインストールされている必要があります (以下に記載されているファイル バージョンまたはそれ以降のファイル バージョン)。ファイル バージョンが記載されているバージョンよりも古い場合は、サポート技術情報の更新記事の列のリンクを使用して更新します。

ファイル名

パスをコンピューターにインストールする

更新プログラムを取得する場所

バージョン

MSO.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\MSO.DLL

KB3085480

15.0.4753.1001

CSI.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Csi.dll

KB3085504

15.0.4753.1000

Groove.exe

C:\Program Files\Microsoft Office\Office15\GROOVE.EXE

KB3085509

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE

KB3085495

15.0.4753.1002

ADAL.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\ADAL.DLL

KB3055000

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

MS14-052

該当しない

MFA を有効にする

MFA を有効にするには、次の手順をすべて実行する必要があります。

  1. クライアントの先進認証を有効にします。

  2. Office 365 用の多要素認証をセットアップします

  3. それぞれのユーザーに MFA を使ったサインイン方法を説明します。2 段階認証で Office 365 にサインインする

重要: 先進認証が有効になっていない Office 2013 が実行されているデバイスをユーザーが使用している場合、ユーザーに対して Azure AD MFA を有効にしても、それらのデバイスではアプリケーション パスワードを使用する必要があります。 アプリケーション パスワード、パスワードを使用するタイミング、場所、方法については、「Azure Multi-Factor Authentication でのアプリケーション パスワード」を参照してください。

よく寄せられる質問 (FAQ)

Wiki の記事「先進認証についてよく寄せられる質問」

既知の問題   

Office 2013 と Office 365 ProPlus の先進認証: 導入前の注意事項

Azure Multi-Factor Authentication のトラブルシューティング   

Azure Multi-Factor Authentication についてよく寄せられる質問」を参照してください。

AD FS を運用している組織のモダン認証によるサインイン問題のトラブルシューティング

代替 ID が機能しない場合の対応策:   

How to use PowerShell to fix duplicate UPN (PowerShell を使用してユーザー プリンシパル名の重複を修正する方法)

ユーザー プリンシパル名の重複を修正するためのスクリプト

クライアント アクセスのフィルタリング:   

Office 2013 と Office 365 ProPlus の先進認証およびクライアント アクセスのフィルタリング ポリシー: 導入前の注意事項

MFA をサポートするアプリ   

Windows

Mac

iOS

Android スマートフォン

Android タブレット

Word 2013、Word 2016、Excel 2013、Excel 2016、PowerPoint 2013、PowerPoint 2016、OneNote 2013、OneNote 2016、Project 2013、Project 2016、Visio 2013、Visio 2016、Lync 2013、Skype for Business の先進認証は、このリリースでサポートされています。

Word 2016 for Mac、Excel 2016 for Mac、PowerPoint 2016 for Mac の先進認証は、このリリースでサポートされています。

Word for iPad、Excel for iPad、PowerPoint for iPad の先進認証は、このリリースでサポートされています。

Word for Android、Excel for Android、PowerPoint for Android の先進認証は、このリリースでサポートされています。

Word for Android、Excel for Android、PowerPoint for Android の先進認証は、このリリースでサポートされています。

Outlook 2013 と Outlook 2016 の先進認証は、このリリースでサポートされています。

Outlook 2016 for Mac の先進認証は、このリリースでサポートされています。

iPad 版 Outlook の先進認証は、このリリースでサポートされています。

LinkedIn ラーニングのショート アイコンです。 Office 365 を初めてお使いの場合は
、LinkedIn ラーニングによって提供された Office 365 管理者および IT プロフェッショナル向けの無料のビデオコースをご覧ください。

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×