Azure Multi-Factor Authentication を有効化している一部のユーザーが、2 つ目の認証方法を要求されない

現象

Azure Multi-Factor Authentication を強制することを目的に条件付きアクセス ポリシーを設定しても、2 つ目の ID 識別の認証が一部のユーザーに要求されません。この問題は以下のシナリオにおいて生じます。
  • シナリオ 1: 記憶したデバイスで多要素認証が一時停止している場合

    この場合、管理者は多要素認証用に信頼されたネットワークをセットアップし、[デバイスを記憶させることで多要素認証を一時停止することをユーザーに許可する] オプションを有効化します。
  • シナリオ 2: ユーザーが例外グループのメンバーである場合

    この場合、ユーザーはアプリの例外グループのメンバーです。管理者が当該アプリに対する多要素認証のアクセス ポリシーをセットアップする際、[Except] ボックスを選択することで例外のグループを設定できます。
上記の設定を構成した場合でも、適用中の条件付きアクセス ポリシーにより、ユーザーに 2 つ目の認証方法が要求されることが想定されています。

解決方法

シナリオ 1: 記憶したデバイスで多要素認証が一時停止している場合

以下の手順に従い、トラブルシューティングします。
  1. [Allow users to suspend multi-factor authentication] (多要素認証を一時停止することをユーザーに許可する) オプションが有効化されていることを確認します。
  2. 当該オプションが有効化されている場合、ユーザーに以下のいずれかまたは 2 つ以上を実施してもらいます。
    • ブラウザーのクッキーを削除します。
    • 別のブラウザーを使用します。
    • InPrivate ブラウズ セッションを使用します。

シナリオ 2: ユーザーが例外グループのメンバーである場合

以下のいずれかまたは両方の方法でトラブルシューティングします。
  • 例外グループからユーザーを削除します。
  • 例外グループのリストからグループを削除します。

追加情報

シナリオ 1: 記憶したデバイスで多要素認証が一時停止している場合

このオプションでは、多要素認証により正常に認証されたユーザーは、[Days before a device must re-authenticate] (デバイスを再認証すべき日数) 設定で構成した値に基づき、今後 1 日から 60 日間多要素認証が要求されません。

これは、アプリが [Require multi-factor authentication] (多要素認証を要求する)、[Require multi-factor authentication when not at work] (業務時以外に多要素認証を有効化する)、または [Block access when not at work] (業務時以外にアクセスをブロックする) に設定されている場合、およびユーザーがご利用のデバイスが信頼されたネットワークにない場合でも該当します。

詳細については、「Azure Multi-Factor Authentication の構成」の "記憶されたデバイスとブラウザーに対する Multi-Factor Authentication の一時停止 (パブリック プレビュー)" を参照してください。

シナリオ 2: ユーザーが例外グループのメンバーである場合

例外グループのメンバーであるユーザーに対して、当該ユーザーのユーザー アカウントにおける必要条件は一時的に変更されています。

その他トピックは、Office 365 コミュニティ Web サイトまたは Azure Active Directory フォーラムを参照してください。
プロパティ

文書番号:3124671 - 最終更新日: 2016/01/04 - リビジョン: 1

Office 365, Microsoft Azure Active Directory, Microsoft Azure Cloud Services, Microsoft Intune

フィードバック