「すみません!スマホを家に忘れてきてしまって……Microsoft Authenticator が使えなくて Teams にログインできないんですが、どうすれば……」
MFA(多要素認証)が必須の環境では、スマートフォンを忘れただけで業務が完全にストップしてしまいます。
かといって、セキュリティのためにあえて導入した MFA を「今日だけ例外」として無効化するわけにもいきません。
そんな緊急事態に颯爽と対応できる管理者の切り札が、一時アクセスパス(Temporary Access Pass / TAP) です。
一時アクセスパス(TAP)とは?
TAP は、Microsoft Entra ID(旧 Azure AD)が提供する時間制限付きパスコードです。
管理者がユーザーに対して発行し、一定時間(デフォルトは1時間、最大30日)だけ有効な「緊急用ワンタイムパスワード」として機能します。
Microsoft の公式ドキュメント(Configure a Temporary Access Pass in Microsoft Entra ID)によると、TAP には以下の特徴があります。
- 強力な認証資格情報として扱われる:
TAP は Microsoft Entra ID において「強力な認証方法(Strong Authentication)」として扱われます。
条件付きアクセスや認証強度ポリシーの構成によっては、多要素認証(MFA)要件を満たす認証方法として使用できます。 - 1回限りの使用と複数回使用の選択が可能:
セキュリティポリシーに応じて設定できます。 - 有効期間を細かく設定できる:
有効期間はポリシーで定義され、最短10分から最長43,200分(30日)まで設定可能です。
発行時の既定値はテナントのポリシー設定に依存します。 - 開始日時の予約設定が可能:
翌日入社の新入社員のために事前発行するといった使い方もできます。
Japan Azure Identity Support Blog: 一時アクセス パスによるセキュアな認証方式の展開
TAP で何ができる?
TAP を使うと、ユーザーは以下のことが可能になります。
緊急アクセス(今回のメインユース)
- MFA デバイスを持っていない状態でサインインし、業務を再開できる
認証方法の再登録
- サインイン後、https://aka.ms/mysecurityinfo にアクセスして、新しい Microsoft Authenticator やパスキー(FIDO2 セキュリティキー)を登録できる
Windows Hello for Business のセットアップ
- 新しい PC に TAP でサインインし、Windows Hello for Business をセットアップできる
新入社員のオンボーディング
- 初日からパスワードレスで業務を開始させることができる
事前準備:TAP ポリシーを有効にする
TAP を使うには、まず組織のポリシーで有効化する必要があります。
この設定は 認証ポリシー管理者 以上のロールが必要です。
手順
- Microsoft Entra 管理センター(https://entra.microsoft.com)にサインインする
- 左メニューから [認証方法] → [ポリシー] を選択
- 認証方法の一覧から [一時アクセスパス] をクリック
- [有効にする] を「はい」に切り替え、対象ユーザーまたはグループを選択
- [構成] タブで以下の既定値を設定して [保存]
| 設定項目 | 推奨値 | 説明 |
|---|---|---|
| 最小有効期間 | 60 分 | TAP の最小有効期間 |
| 最大有効期間 | 480 分(8時間) | 通常の業務日をカバー |
| 既定の有効期間 | 60 分 | 発行時のデフォルト値 |
| 1回限りの使用 | いいえ(状況に応じて) | 複数回のサインインや登録作業が必要な場合は「いいえ」 |
| 最小パスコード長 | 8 文字 | セキュリティ強度の観点から推奨 |
注意:
TAP ポリシーを「すべてのユーザー」に適用すると、攻撃リスクが広がります。特定のグループ(例:IT ヘルプデスク対応者)のみを対象にするか、運用フローを整備した上でのポリシー設計を推奨します。
実際の対応手順:山田さんのケース
TAP ポリシーが有効化されていれば、
スマホを家に忘れてきてしまったジェニファーさんへの対応は 約 2 分 で完了します。
管理者側の操作(所要時間:約2分)
必要なロール: グローバル管理者、特権認証管理者、または認証管理者
- Microsoft Entra 管理センター(https://entra.microsoft.com)にアクセス
- [ID] → [ユーザー] → [すべてのユーザー] を選択
- ジェニファーさんのアカウントを検索して開く
- 左メニューの [認証方法] をクリック
- 上部の [+認証方法の追加] を選択
- ドロップダウンから [一時アクセスパス] を選択
- 以下を設定して [追加] をクリック
| 項目 | 設定 |
|---|---|
| 遅延開始時刻 チェックなし | 今すぐ(または任意の開始日時) |
| アクティブ化期間 | 480分(業務終了まで) |
| 一時使用 | いいえ(複数回サインインが必要なため) |
- 発行されたパスコード(例:9xKp2mR4)を
安全な方法でジェニファーさんに伝える(電話や別の確認済みメールなど)
重要: このパスコードは画面を閉じると二度と確認できません。
発行直後に必ずメモまたはコピーしてください。
ユーザー側の操作(ジェニファーさん)
- ブラウザで https://office.com などにアクセスし、ユーザー名を入力
- サインイン画面で「サインイン オプション」を選択し、「一時アクセスパス」を選んで、管理者から受け取ったパスコードを入力します。
- 業務を再開!
セキュリティを維持しながら発行するためのベストプラクティス
TAP は便利な一方、不正発行されると攻撃者に悪用されるリスクがあります。
以下のガイドラインを組織で徹底してください。
本人確認の徹底
TAP を発行する前に、必ず電話や対面などの手段で本人確認を行ってください。
メールだけで依頼を受け付けるのは危険です。
有効期間は必要最低限に
「とりあえず 24 時間」ではなく、実際に必要な時間だけ設定します。
業務時間内のみであれば 8 時間程度が適切です。
1回限りの使用を検討する
認証方法の再登録が目的であれば「1回限りの使用」設定が最もセキュアです。
発行後の監査ログ確認
Microsoft Entra 管理センターの [監査ログ] で TAP の発行・使用状況を定期的に確認し、不審な発行がないかモニタリングします。
使用済みの TAP は削除する
TAP は有効期限到達または使用(1回限り設定時)で自動的に無効になります。
必要に応じて管理者またはユーザーが手動で削除することも可能です。
PowerShell でも発行できる
ヘルプデスク担当者が大量の TAP を発行する必要がある場合や、オンボーディングプロセスを自動化したい場合は、Microsoft Graph PowerShell を使った発行も可能です。
ライセンス要件
TAP 機能を利用するには、ライセンスが必要です。
TAP の利用には Microsoft Entra ID P1 以上が必要です。
Microsoft 365 Business Premium、Microsoft 365 E3 / E5 には Entra ID P1(またはP2)が含まれるため利用可能です。
まとめ
「スマホを忘れた!」という日常的なトラブルに対して、TAP を活用することで以下を両立できます。
- 業務継続性: ユーザーは数分以内に業務を再開できる
- セキュリティ維持: MFA の例外を認めることなく、強力な認証資格情報として TAP が機能する
- 管理の容易さ: 管理センターからわずか数クリックで発行・削除・監査が可能
さらに TAP は、スマホ忘れ対応だけでなく、新入社員のオンボーディングや MFA デバイス紛失時のアカウントリカバリー、パスワードレス認証への移行シナリオにも広く活用できます。
まだ TAP を運用に組み込んでいない組織は、今日から認証ポリシーを確認して、緊急事態への備えを整えておきましょう。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
