多要素認証を導入したら「問い合わせが3倍」になった？サポートコストを抑えるFAQ作成術

多要素認証（MFA: Multi-Factor Authentication）の導入はアカウント乗っ取りリスクを劇的に下げる有効な施策です。

しかし現場ではこんな声が後を絶ちません。

「MFA を展開した翌週、ヘルプデスクへの問い合わせが一気に 3 倍になった」

なぜこうなるのか。
MFA はユーザーにとって初めて体験する「もう一手間」です。ス
マホを機種変更したとき、電波の届かない地下鉄に乗ったとき、あるいは単純に「どこに設定画面があるの？」――こうした疑問が一斉にヘルプデスクへ流れ込みます。

本記事では、MFA 導入時によく寄せられる質問への回答テンプレートと、ユーザー自身が問題を解決できる仕組みの整え方を、知見を交えながら解説します。

まず知っておきたい：Microsoft のセルフサービス ポータル群

Microsoft Entra ID（旧 Azure Active Directory）には、ユーザーが自分自身で認証情報を管理できるポータルが用意されています。
これを社内に周知するだけで問い合わせの多くは自己解決に変わります。

ポータル名	URL	主な用途
マイ サインイン （セキュリティ情報）	https://mysignins.microsoft.com/security-info	認証方法（MFA・パスキーなど）の追加・変更・削除
MFA セットアップ （aka.ms リダイレクト）	https://aka.ms/mfasetup	上記「セキュリティ情報」ページへリダイレクトされる短縮URL
マイ サインイン （サインイン履歴）	https://mysignins.microsoft.com	自分のサインイン履歴確認・不審なログインの報告
マイ アカウント	https://myaccount.microsoft.com	パスワードリセット・デバイス管理など総合ポータル

参考： MFA 認証方法を 変更 / 再登録 / 追加 したい！

よくある質問（FAQ）と回答テンプレート

以下は実際のサポート現場で頻出する質問です。
社内 FAQ ページやナレッジベースにそのまま転用できるよう、ユーザー向けの言葉で記載しています。

Q1. スマートフォンを買い替えました。MFA の設定はどうすればいいですか？

▶ 旧スマホがまだ手元にある場合（MFA 認証ができる状態）

ユーザー本人が自己解決できます。
管理者への連絡は不要です。

1. 旧スマホで https://aka.ms/mfasetup にアクセスし、サインイン・MFA 認証を行う
2. 「セキュリティ情報」画面（https://mysignins.microsoft.com/security-info）が開く
3. [+ サインイン方法の追加] から新しいスマホを登録する
4. 新しいスマホで動作確認できたら、旧スマホの登録を削除する

電話番号を入力する際は
「+81 9012345678」 のように国番号（+81）を付け、ハイフンなしで入力してください。

▶ 旧スマホがない・使えない場合（MFA 認証ができない状態）

管理者（認証管理者・特権認証管理者・グローバル管理者のいずれか）による対処が必要です。

• 方法 A — 多要素認証の再登録の要求:
  Microsoft Entra 管理センター（https://entra.microsoft.com）
  または Azure ポータル（https://portal.azure.com）で事象発生ユーザーを選択し、
  [認証方法] → [多要素認証の再登録を要求する] をクリックする。
  次回サインイン時にユーザーが新たに MFA 方法を設定できるようになる。

• 方法 B — 電話番号の直接登録:
  同じく [認証方法] タブの [+ 認証方法の追加] から管理者が電話番号を直接入力する。

参考：多要素認証 (MFA) のリセット手順 – 2025 年版

参考：Microsoft Entra の多要素認証のユーザー認証方法を管理する

Q2. 圏外・機内モードなど、スマホが使えない場所にいます。サインインできますか？

MFA には複数の認証方法があります。
事前にバックアップ手段を登録しておくことが重要です。

認証方法	電波不要？	概要
Microsoft Authenticator（通知）	要インターネット	プッシュ通知で承認
Microsoft Authenticator（ワンタイムコード）	✅ 不要	アプリ内に 30 秒ごと更新されるコードが表示される
SMS / 音声通話	要電波	電話番号に SMS または音声で通知
FIDO2 セキュリティ キー	✅ 不要	物理キーを USB 等で接続
一時アクセス パス（TAP）	✅ 不要	管理者が発行する期限付きパスコード

対処法（ユーザー向け）:

• Microsoft Authenticator アプリを「ワンタイムコード（TOTP）」モードで使う
  アプリを開くだけでコードが確認でき、電波不要で認証できます。
  設定は https://aka.ms/mfasetup から変更できます。
  
• 別の認証方法をあらかじめ登録しておく
  例えば複数の別端末での Microsoft Authenticator や、職場の固定電話番号なども登録しておくと安心です。
  

対処法（管理者向け）:

ユーザーが一時的にどうしてもサインインできない場合、一時アクセス パス（Temporary Access Pass / TAP） を発行することで MFA をバイパスした一時的なサインインが可能になります。

Temporary Access Pass (TAP) は、既存の MFA 方法の代替として利用できる期限付きの一時認証方法です。

ユーザーは TAP を使用してサインインし、新しい MFA 認証方法を登録できます。

参考：一時アクセス パスを構成してパスワードレス認証方法を登録する

Q3. スマホを紛失・盗難されました。どうすればいいですか？

まずセキュリティの観点から、速やかに IT 管理者へ連絡してください。

管理者は次の対応を取ります。

1. MFA 認証方法のリセット:
   Entra 管理センターで対象ユーザーの [認証方法] → [多要素認証の再登録を要求する] を実行し、不正利用されうる旧デバイスの認証方法を無効化する。
2. 既存セッションの取り消し:
   [サインイン セッションの取り消し]（Revoke Sign-in Sessions） をクリックし、現在アクティブなすべてのセッションを強制ログアウトさせる。
3. 新しいデバイスで再登録:
   ユーザーが新しいデバイスを用意できたら、https://aka.ms/mfasetup から再登録する。

参考：多要素認証 (MFA) のリセット手順 – 2025 年版

Q4. MFA の認証コードを入力したのに「コードが無効」と表示されます

主な原因と対処法は以下の通りです。

原因 1 — スマホの時刻がずれている
TOTP（ワンタイムコード）は時刻同期が前提です。
スマホの時刻設定を「自動（ネットワーク時刻）」にしてください。

原因 2 — コードが期限切れ（30 秒を超えた）
コードは 30 秒ごとに更新されます。
更新直後のコードを入力してください。

原因 3 — 古い登録が残っている
複数デバイスを登録している場合、意図しない古いデバイスのコードを入力している可能性があります。https://mysignins.microsoft.com/security-info で登録状況を確認してください。

Q5. 「マイ サインイン」でサインイン履歴に見覚えのないアクセスがあります

不審なサインインを発見した場合の手順:

1. https://mysignins.microsoft.com を開き、[最近のアクティビティ] を確認する
2. 見覚えのないサインインがあれば [これは私ではありません] をクリックして報告する
3. 速やかに IT 管理者またはヘルプデスクへ連絡する

参考：マイ サインインから職場または学校アカウントのサインイン アクティビティを表示する

Q6. 管理者自身が MFA にサインインできなくなりました

これはサポート現場で最も深刻なケースです。

対処の優先順位:

1. 別のグローバル管理者アカウントがあれば:
   そのアカウントで Entra 管理センターにサインインし、対象管理者の MFA をリセットする。
2. CSP（クラウド ソリューション プロバイダー）経由でライセンスを購入している場合:
   CSP パートナーに連絡し、代理でリセットしてもらう。
3. 上記が不可能な場合:
   Microsoft サポートへ連絡する。
   データセンター側での一時解除を依頼できるが、数営業日かかる場合があり、解除できないケースもある。
   

平時からの予防策として、緊急アクセス アカウント（Break Glass Account）の準備を強く推奨します。

参考：MFA 認証方法を 変更 / 再登録 / 追加 したい！

参考：Microsoft Entra ID で緊急アクセス用管アカウントを管理する

専門家の視点：「マイ サインイン」ページをユーザーに周知して自己解決を促す

なぜ周知が重要なのか

Microsoft Entra が提供するセルフサービス ポータルは機能としては十分に整っています。
しかし多くの組織では、ユーザーがその存在を知らないために管理者へ問い合わせが集中します。

Microsoft の公式情報によれば、ユーザーが自分の ID を管理できるようになると、ダウンタイムとコストのかかるヘルプデスク問い合わせが減少します。

周知すべき 2 つの URL

MFA 関連に絞れば、ユーザーに覚えてもらうべき URL は実質 2 つだけです。

1. https://aka.ms/mfasetup ← MFA 認証方法の登録・変更・追加
2. https://mysignins.microsoft.com ← サインイン履歴の確認・不審なログインの報告

周知の具体的な方法

1. MFA 導入前のメール通知に URL を記載する

展開メールには「困ったときはここへ」として上記 2 つの URL を明記します。

件名：【重要】○月○日より多要素認証（MFA）が必須になります

MFA の設定・変更：https://aka.ms/mfasetup
サインイン確認：https://mysignins.microsoft.com

スマホの機種変更や紛失時は上記の設定ページをまず確認してください。
解決しない場合はヘルプデスク（内線 XXXX）へご連絡ください。

2. 社内ポータル・Teams チャンネルに FAQ を掲載する

本記事の FAQ セクションをそのまま社内 Wiki や SharePoint にコピーして活用してください。
定番の質問に対してユーザーが自分で辿り着ける導線を作ることが重要です。

3. 初回 MFA 登録時に「次のステップ」を案内する

ユーザーが https://aka.ms/mfasetup で初回登録を完了した直後に、バックアップ認証方法の追加を推奨するメッセージを表示・送付することで、後の「使えなくなった」問い合わせを予防できます。

4. 管理者向け：認証方法の登録状況を定期確認する

Microsoft Entra のレポート機能
「Authentication methods registration details」を使うと、
MFA 登録状況を一覧で確認できます。

また「Registration campaign」を使うと、
未登録ユーザーへ MFA 登録を促すことも可能です。

展開後 2〜4 週間を目処に未登録ユーザーへリマインドを送ることで、「そもそも登録していなかった」という問い合わせも事前に防げます。

MFA 認証方法の選択肢と推奨度

Azure MFA サービスでは、スマートフォンを使った MFA が最もユーザーにとって取り組みやすく、Microsoft Authenticator アプリを使った方法が推奨されています。

組織の状況に応じて、認証方法を選定・組み合わせる (FIDO2 セキュリティ キー + Microsoft Authenticator など) ことを推奨します。

まとめ

1. URL を 2 つ周知する — https://aka.ms/mfasetup と https://mysignins.microsoft.com さえ知っていれば、多くのユーザーは自己解決できる。
2. 複数の認証方法を事前に登録させる — バックアップ手段がなければ圏外・機種変更のたびに問い合わせが来る。
3. FAQ を先に公開する — MFA 展開前に社内 Wiki や Teams に FAQ を置くことで、問い合わせが来る前に自己解決を促せる。
4. 緊急時のフロー（管理者向け）を整備する — 管理者自身がロックアウトされる事態に備え、緊急アクセス アカウントを平時から準備する。
5. 定期的に登録状況を確認する — 未登録ユーザーへのリマインドで「いざというとき使えない」問い合わせを予防する。

まずは、周知が必要ですね！

免責事項：Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。