「MFAを設定してください」と全社アナウンスしたのに、何週間たっても登録していない社員がいる——そんな経験はありませんか?
根性論や繰り返しのメール通知だけでは、残念ながら登録率は頭打ちになります。
本記事では、Microsoft Entra 管理センターのレポート機能を活用して「誰がまだ未登録か」をデータで特定し、ピンポイントで案内を送る方法を解説します。
感情論ではなく、データに基づいてMFA全社義務化を完遂しましょう!
重要:
Microsoft は「Secure Future Initiative (SFI)」の一環として、
管理ポータルや特権アカウントに対する MFA の必須化を段階的に進めています。
特に Azure Portal、Microsoft Entra 管理センター、Intune 管理センターなどの
管理系ポータルでは MFA を前提としたセキュリティ強化が進んでおり、
管理者アカウントには MFA の有効化が強く推奨されています。
組織としても、管理者だけでなく一般ユーザーを含めた
全社的な MFA 導入を進めることが重要です。
参考:MC933540 – Microsoft 365 admin center multifactor authentication enforcement の通知
未登録ユーザーを特定する ― GUIによる確認
まずは管理センターのGUIから現状を把握しましょう。
専門的なスクリプト知識がなくても、数分で未登録者リストを取得できます。
認証方法アクティビティレポートを確認する
- Microsoft Entra 管理センター(https://entra.microsoft.com) にサインインします。必要なロールは「認証ポリシー管理者」以上です。
- 左メニューから 「認証方法」→「アクティビティ」 に移動します。
- 「ユーザー登録の詳細」 タブを選択します。ここには全ユーザーの認証方法登録状況が一覧で表示されます。
- フィルターで 「MFA 対応:いいえ」 を選択すると、MFA に使える認証方法をまだ登録していないユーザーだけを抽出できます。
- 画面上部の 「ダウンロード」 ボタンから CSV としてエクスポートします。このリストが督促対象の名簿になります。
確認できる主な情報
ユーザー名、UPN(メールアドレス)、MFA 対応の有無、パスワードレス対応の有無、登録済みの認証方法の種類(Microsoft Authenticator、電話、FIDO2 キーなど)
「登録とリセットイベント」で動きを追う
「ユーザー登録の詳細」と並んで、「登録とリセットイベント」 タブも活用しましょう。こちらには、いつ誰が MFA 方法を登録・変更・リセットしたかの履歴が表示されます。督促を送った後に登録が増えているかを確認する際に便利です。
PowerShell で未登録者リストを一括取得する
ユーザー数が多い組織では、PowerShell による自動化が欠かせません。
Microsoft Graph PowerShell SDK を使う方法が現在の推奨手順です(旧来の MSOnline モジュールは2025年5月頃に廃止済みのため使用不可です)。
大規模テナントでのタイムアウトについて
ユーザー数が数千人を超える場合、GUI のレポートページはタイムアウトすることがあります。
その場合は PowerShell スクリプトを使うか、Microsoft Learn の公開情報(Microsoft Entra 多要素認証のサインイン イベントの詳細)に記載されている Graph API を活用してください。
登録状況を部署・グループ別に可視化する
「全社で何人未登録か」だけでなく、「どの部署に未登録が集中しているか」 を可視化することで、管理職への働きかけが格段にやりやすくなります。
経営層や部門長に共有すると、「〇〇部署は登録率 60% です」という現実を数字で突きつけることができ、管理職が自発的に部下への声がけをしてくれるようになります。
未登録者へのピンポイント案内を送る
未登録者リストが手に入ったら、次は効果的な案内を送ります。
全員に同じメールを送るのではなく、「あなたがまだ登録していない」 というメッセージにすることが重要ですね。
Microsoft が提供する「登録キャンペーン」機能を活用する
Microsoft Entra ID には、サインイン時に Microsoft Authenticator アプリの登録を促す 「登録キャンペーン」 機能が標準搭載されています。
ユーザーが普段通りにサインインしたタイミングで自動的に登録画面を表示するため、メールを読まないユーザーにも効果的です。
- Entra 管理センターで 「認証方法」→「登録キャンペーン」 に移動します。
- 状態を 「有効」 に設定し、対象ユーザーやグループを指定します。
- 「再通知できる日数」 を設定します(3〜14日)。期限を短くするほど登録が促進されます。
より安全な認証方法への誘導も意識しよう
Microsoft の調査によると、SMS や音声電話による MFA は Microsoft Authenticator アプリと比較して、悪意のある攻撃者を阻止する効果が約 40% 低いとされています。
単に「MFA を登録させる」だけでなく、より安全な Authenticator アプリへの誘導を意識することが重要です。
「登録しないと使えなくする」条件付きアクセスで完遂する
督促を重ねても登録しないユーザーに対しては、最終手段として条件付きアクセスポリシーを使います。
条件付きアクセスは「MFA登録を直接強制する」機能ではありません。
しかし、MFA を要求するポリシーを有効にすると、
未登録ユーザーはサインイン時に
MFA の登録を求められるため、
結果的に登録しないとサービスを利用できない状態になります。
セキュリティの既定値群との関係
テナントで 「セキュリティの既定値群(Security Defaults)」 が有効になっている場合、条件付きアクセスとの併用はできません。
まず現在の設定状態を確認し、どちらを使うかを整理してから進めましょうー
定期的な進捗モニタリングで100%を維持する
一度100%に達しても、新入社員や人事異動でアカウントが追加されるたびに未登録者が生じます。
例えば、以下の運用サイクルを仕組み化することで、継続的に高い登録率を保てます。
| 頻度 | 実施内容 |
|---|---|
| 毎週(自動) | PowerShell スクリプトで未登録ユーザー CSV を生成し、管理者にメール送信 |
| 毎月 | 部署別登録率レポートを管理職に共有 未登録者への個別督促メール送信 |
| 四半期 | 条件付きアクセスポリシーの有効性確認 認証方法ポリシーの見直し |
| 入社・異動時 | オンボーディングフローに MFA 登録を必須ステップとして組み込む |
サインインログで「実際に MFA を使っているか」も確認する
認証方法を登録済みでも、実際のサインインで MFA が適用されていないケースがあります(Windows Hello for Business や PRT (Primary Refresh Token) によるシングルサインオンの場合など)。
念のため、サインインログでも確認しましょう。
Entra 管理センターで 「ID」→「ユーザー」→「サインインログ」 を開き、「認証要件」列でフィルターをかけると、シングルファクター認証でのサインインが残っていないかチェックできます。
参考:Japan Azure Identity Support Blog – ユーザーに期待どおりに MFA が求められない!
まとめ
① 現状を「見える化」する
Entra 管理センターの「ユーザー登録の詳細」と PowerShell スクリプトで、未登録者を名指しで特定する。
② 「知らせる」から「止める」へエスカレートする
登録キャンペーン → 個別督促メール → 条件付きアクセスによるアクセス制限、という段階的なアプローチで抜け漏れをなくす。
③ 仕組みとして継続する
週次・月次のモニタリングを自動化し、新規ユーザーも含めて常に100%を維持できる運用フローを作る。
MFA は「設定してほしいお願い」ではなく、組織としての必須要件です。
データとテクノロジーを活用して、全社員が確実に守られるセキュリティ環境を整えましょう!
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
