Microsoft Authenticator バックアップ iPhone

iPhone 12 の季節がやってきました。機種変更をすると何かとばたばたするのですがその一つが多要素認証で利用している Microsoft Authenticator。

Microsoft Authenticator は、iPhone の場合 iCloud バックアップって機能があるので何も設定がいらなそうですが、組織アカウントの一部は 操作が必要 と表示され、QR コードを再度読み込まないと利用ができません。

この再設定方法をメモしておきます。

設定方法

まず以下の自分のログインしたいアカウントで URL にアクセスします。複数ある場合は Chrome のシークレットウィンドウや Microsoft Edge の InPrivate ウインドウで表示した方がよいです。

• https://myaccount.microsoft.com/

アクセスしたら右上の自分のアイコンをクリックして設定したいアカウントか、そして組織かを確認します。組織の切り替え をクリックすると、この画面がどの組織の設定かを確認できます。

細かく書こうとしたらめちゃ文が長くなったしめんどくさくなったので雑に書きますが、この画面で職場アカウント以外のアカウントに切り替えることができんケースがあります。
その場合はまず組織を切り替えます。その際にどのユーザーでって聞かれるので変更すればよいです。それも難しければ最初に書きましたがシークレットウインドウ系で入りなおしましょう。

アカウントと組織が正しいことが確認出来たら左のメニューの セキュリティ情報 > 方法の追加 をクリックします。

こんな画面がでます。追加をクリックします。

iPhone に Authenticator がインストール済みですよね。では 次へ をクリックします。

この次に QR コードが表示されます。それを Microsoft Authenticator でスキャンします。そして次の画面に進みます。以下の画面に遷移して、Authenticator に承認依頼の通知が飛びます。

承認すると以下の画面になって設定完了です。

ふむ、めんどうですが仕方ないですね。

勤務先の Office 365 アカウントや各種 SaaS アカウントの二要素認証のために Microsoft Authenticator を使っていて、バックアップを有効にしたときの覚え書き。

やり方や注意事項

Back up and recover accounts with the Microsoft Authenticator app - Azure AD | Microsoft Docs

iCloud アカウントについて

• 個人所有の Microsoft アカウントが必要
• iOS の場合、 iCloud をバックアップ保存用ストレージとして使うので iCloud アカウントも必要、とある
• これは Microsoft Authenticator アプリをインストールしている iOS 端末（iPhone）でログインしている iCloud アカウントを指す
• つまり Microsoft Authenticator アプリ内から iCloud アカウントにログインしたりはしない。というかどの iCloud アカウントを使うか選ぶ余地は無い
• バックアップを有効化するために個人所有の Microsoft アカウントを追加したらほかに何もせずバックアップが有効になった
• iPhone の設定から iCloud ストレージ利用状況を確認すると、 Microsoft Authenticator がストレージを使っていることがわかる

個人所有の Microsoft アカウントのワンタイムトークンについて

• バックアップのために個人所有の Microsoft アカウントを Microsoft Authenticator アプリに追加すると、そのアカウント用のワンタイムトークンも表示される
• しかし個人所有の Microsoft アカウントの二要素認証は他の 2FA アプリ（Authy）に登録済みだった
• Authy と Microsoft Authenticator で、表示されるワンタイムトークンが違う
• Authy は6桁の数字
• Microsoft Authenticator は8桁の数字
• これについて上記ページに記載があった。結論、どちらも有効らしい

After you finish your recovery, you might notice that your personal Microsoft account verification codes in the Microsoft Authenticator app are different between your old and new phones. The codes are different because each device has its own unique credential, but both are valid and work while signing in using the associated phone.

• この説明を読むと、複数の端末にそれぞれ Microsoft Authenticator アプリがあって表示される番号が違う場合を指していそう
• 異なるアプリを使っている場合も両方有効なのか、桁数が違う場合も両方有効なのかは、明言されてはいない
• もし片方ダメでも両方試せば良いので問題ない
• 逆に言うと、両方とも消さずに残しておくほうがよい

仕事はもちろん弊家族テナントでも Microsoft 365 の多要素認証で Microsoft Authenticator を利用しています。仕事は社給の iPhone にアプリを入れてるけど、弊家族テナントの方はもちろん個人の iPhone に入れています。その個人の iPhone をこないだ iPhone X から iPhone 12 mini に機種変しました。機種変するとデータなど諸々の移行が面倒ですよね。最近はだいぶ色々と楽になってきたけど、だいたい毎回何かしら移行し忘れて…という事をしています。今回注意したのは Apple Watch でモバイル Suica を利用できるようにしていたのでそれをちゃんとした手順で移行しなければいけない点。これは色々と調べながらなんとかできました。そしてこれ、 Microsoft Authenticator ですね。これもちゃんと移行しないと。

という事で、今回はイマイチ良くわからない状態でスマホの機種変にあたり Microsoft Authenticator の移行をしてみた備忘録を残します。（っていうか「 Microsoft Authenticator 」って単語覚えるの大変…）

※あくまでも僕が試みた備忘録なので正しい移行方法の紹介ではありません。

■ 移行前の旧 iPhone の操作

とりあえず旧 iPhone で Microsoft Authenticator アプリを開いて設定を見てみました。すると「 iCloud バックアップ」なる設定項目があったんですね。これは無料で登録できる Microsoft アカウントが必要のようです。とりあえず設定しました。

▼ iCloud バックアップ

■ iPhone のデータ移行

ここは割愛しますが移行しました。今は iCloud を経由しなくても移行できちゃうんですね。

■新 iPhone での操作

移行完了した新 iPhone で Microsoft Authenticator を開くと、

▼下部「回復の開始」をタップ

▼ iCloud バックアップから回復されたけど

一番上の Microsoft 365 のアカウントは「操作が必要」とありました。

▼更にタップするとこんな感じ

「組織から提供されたQRコードをスキャンしてください」との事。で、そのQRコードはどうやって提供されるの？って話ですよね。

■ Microsoft 365 上での操作

ここからは iPhone の操作ではなくPCでの操作です。 Microsoft 365 にサインインしたら、

▼画面右上のプロフ画像をクリックし「アカウントを表示」をクリック

▼マイアカウントが表示されたら「セキュリティ情報」の「更新情報 >」をクリック

▼セキュリティ情報ページ

ここにすでに旧 iPhone である iPhone X の Microsoft Authenticator も存在していました。ここから「+方法の追加」をクリックします。

▼「方法を追加します」で「認証アプリ」を選択して追加

▼すでに Microsoft Authenticator はインストールされているので「次へ」

▼ここもスマホ上の操作の説明なので「次へ」

▼QRコードをスキャンします

出た！これが組織から提供されたQRコードってヤツですね。

■新 iPhone からの操作

▼さっきの続きでこの画面だと思うので「操作が必要」ってところをタップします

で、ごめんなさい。この次のスクショ撮るの忘れていました。ただ、案内に従って上述のQRコードを読み取る操作でした。ちゃんと読み取ると、

▼「承認」をタップ

これで新 iPhone で Microsoft Authenticator を利用した多要素認証が引き続き利用できるわけです。

■またPC側

▼新 iPhone 側で承認をするとこんな画面に

▼一覧画面に戻ると新 iPhone が追加されています

旧 iPhone は削除しましょう。

という手順で僕は Microsoft Authenticator を移行して今は問題なく利用できています。

振り返ると iCloud バックアップはしなくても良さそうですね（ただ Microsoft 365 以外のサービスで Microsoft Authenticator を利用した多要素認証をしている場合は、 iCloud バックアップはしておくと良いとは思います）。そして移行というよりは、新 iPhone をデバイスとして Microsoft 365 側に新たに追加するという手順になりますね。つまり、旧デバイス側で移行手順的なものはなくても、新デバイスにアプリを追加して、 Microsoft 365 のアカウント追加をすれば良さそうです。

そして、おそらく企業で Microsoft 365 を導入して多要素認証を導入しているとなると従業員に機種変ごとにこれをやってもらう方法ではないと思います。そこらへんは僕も全然得意じゃないのですが、以下の Microsoft Docs のページを参照してください。僕もそのうち機会があれば弊家族テナントで実施してみようと思っています（が、そう思って2年くらい経過してる…）。

Microsoft 365 の多要素認証
https://docs.microsoft.com/ja-jp/microsoft-365/admin/security-and-compliance/multi-factor-authentication-microsoft-365