練馬のリフォーム 山口建設の山口です。

遅ればせながら、Microsoft365の導入を検討しています。

弊社ではGoogle Workspaceを導入しているので、GoogleでのOffice系アプリを徹底して導入させたいところですが、やはりそれなりの学習コストや、ITリテラシーの差異による問題が発生してしまうので悩ましいところです。

さて、試しに1ライセンス導入し、運用を検討していた所、Officeインストール後のアカウント認証時に、ID、パスワードだけではなく、2段階認証（多要素認証 / MFA）として、スマホに認証アプリをインストールして認証を行うのが初期設定となっていました。

中小企業のシステム管理者としては、セキュリティが向上するのはいいことですが、初期セットアップ時の運用フローや、全社員のスマホへのアプリ設定などを考慮すると、あまり現実的では有りません。

この多要素認証（MFA）を外すのが少しややこしかったので組織全体のMFAの初期設定を無効とする方法をまとめました。

なお、2024年10月16日以降は、Microsoftの各管理サイト（Microsoft 365 管理センター等）へはMFAを有効にしないと、ログインができなくなっています。（詳細は「Azureやその他の管理ポータルにおける多要素認証の義務化の計画」から参照可能です。）

個別のアカウント毎にMFAを有効にするには「マイアカウント」へアクセスし対応することが可能ですが、この方法もあわせて整理しました。

「Microsoft 365 管理センター」へ管理者権限でアクセスしログインします。

「Microsoft 365 Portal」ではないことに注意が必要です。

ちなみに、ややこしいですが、ローカルPC等へのOfficeのインストール用ファイルはMicrosoft 365 Portalからダウンロードします。

続いて、左側のメニューにおいて、「すべて表示」→「すべての管理センター」→「Microsoft Entra」を選択し、Microsoft Entraへアクセスします。

左側メニューの「概要」→右画面の「プロパティ」→「セキュリティの規定値の管理」において、セキュリティの既定値群を「無効（推奨しません）」と変更します。

これで、セキュリティの既定値として、多要素認証（MFA）が無効となりました。

組織としての初期設定を多要素認証（MFA）を無効と出来ましたが、もちろんアカウント個別で多要素認証（MFA）を有効とすることが可能です。

弊社ではMicrosoftはOfficeぐらいしかMicrosoftの製品・サービスを利用しておらず、メールも、ストレージもMicrosoftサービスを利用していないのでこういった思い切ったことが可能かもしれません。

個別に多要素認証（MFA）を有効とするには、画像のようにMicrosoft Entraにおいて、個別のユーザを選択後、「認証方法」から「アクセス パネル プロファイル」をクリックするか、直接「My Account」へアクセスします。

その後、左側メニューの「セキュリティ情報」→「サインイン方法の追加」→「Microsoft Authenticator」を選択し、画面の指示に従い進めていくと、認証用のQR画像が表示されます。

スマホ側にもMicrosoft Authenticatorをインストールし、セットアップを続けるとQR画像の読み取りが走るので、表示されているQR画像を読み込ませれば、多要素認証（MFA）の個別設定は完了しました。

以上で、多要素認証（MFA）の初期値を無効とする方法と、個別に有効とする方法をご紹介しました。

セキュリティと利便性は、天秤にかけつつ、最適なバランスを見つける、というのは非常に難しいことです。

是非、この記事が皆さんのお役に立てれば幸いです。