Office 365やAzureの管理者アカウントで多要素認証(MFA)が利用できますが、多要素の1つとしてMicrosoft Authenticatorアプリが利用できます。 さてそんな風に便利にAuthenticatorを使ってたのはいいですが機種変更やデバイスが壊れて新しくなったなど不慮の事故の際はどうしたらいいでしょうか。最近のAuthenticatorアプリはバックアップと復元機能が付いているのでそちらを使うといいでしょう。 一般的なMFAを利用する(コードを入力するような)サービスであれば特に問題なく復元できますが、MicrosoftアカウントやAzure AD(組織)アカウントの場合はもうひと手間必要です。
Microsoft AuthenticatorアプリをiOSやAndroid上で構成すると単にMFA用のコードを表示するだけではなく、対応していればPush通知で知らせてくれるのでいちいちコードを入力しなくても承認/却下するだけですごくお手軽です。
Microsoftアカウントの場合はAuthenticatorアプリから再度サインインすればOKですが、Azure ADアカウント(組織アカウント)の場合はQRコードを再度読み込んでと言われます。さてどこから?ということでだいぶ探しましたが以下のリンクにある追加のセキュリティ確認のページから行えます。
Authenticatorアプリの設定ボタンをクリックすれば再度QRコードが表示されて構成できる状態(Authenticatorアプリの追加をする)になるので画面に従って処理しましょう。(古い端末は「認証アプリ」の一覧から削除すればよいかと)
まとめ
以前は一度MFAの設定を削除して再度構成するしかないと思ってました。(そうするとアプリパスワードもリセットされて超面倒くさい)
これで何かあっても復旧が楽ですね。
※要は追加のセキュリティ確認ページのメモを書きたかっただけです
私は、2 段階認証のサインインには、Microsoft Authenticator を使用しています。
現在の Authenticator はバックアップをサポートしていますので、バックアップをリストアすることで登録された内容をリストアすることができますが、Azure AD の組織アカウントについては、QR コードを再スキャンして回復する作業が必要となります。
MS 系のアカウントでは、組織アカウントと Microsoft アカウントを使用しており、Microsoft アカウントについてはアプリ内で再認証できるのですが、組織アカウントについては現状 QR コードの再スキャンが必要となるので、毎回どうやってやるのか思い出しているんですよね…。
端末を入れ替えるたびに回復操作の方法を忘れてしまうので、メモを残しておきたいと思います。
Microsoft Authenticator の QR コードの再スキャン
組織アカウントについては、公式のドキュメントとしては、次の内容を起点として思い出せそうでした。
マイ アカウント ポータルで、仕事または学校アカウントの組織を管理する
アプリに仕事用または学校アカウントをMicrosoft Authenticatorする
Microsoft アカウントは Authenticator アプリから回復できますが、情報としては次の内容を参考にできるかと。
Microsoft アカウントの 2 段階認証を有効または無効にする
Microsoft アカウントで 2 段階認証を使用する方法
再スキャンの方法ですが、//myaccount.microsoft.com/ にアクセスし、「セキュリティ情報」から、//mysignins.microsoft.com/security-info に遷移するか、最初からセキュリティ情報の URL にアクセスをします。
セキュリティ情報をの画面に遷移したら、「方法の追加」をクリックし、
「認証アプリ」を選択し「追加」をクリックしセットアップを進めていくことで、QR コードが表示されますので、コードが表示されたら、新しい端末の Microsoft Authenticator で QR コードを読み取ればアカウントの回復は完了です。
組織アカウントを複数の組織で使用している場合には、//myaccount.microsoft.com/ の右上の組織のアイコンをクリックし、該当のアカウントでアクセスしている組織を切り替えます。
あとは、「セキュリティ情報」から設定する方法は、自組織の場合と同じです。
機種変更前のスマートフォンと新規のスマートフォンが手元にありますか? いいえ。
または、機種変更前のスマートフォン以外の承認操作ができるタブレット等と新規のスマートフォンが手元にありますか? はい。
2段階認証の承認ができる状態であるため、ご利用者自身で新規のスマートフォンを承認用の端末として追加することが可能です。下記の手順「新規スマートフォンで2段階認証の承認ができるようにする」をご参照ください。
2段階認証の承認ができないため、設定をリセットしますので学園情報センターにご連絡ください。設定がリセットされた後、Office365ログイン方法を参照し、改めて2段階認証の設定をしてください。
新規スマートフォンで2段階認証の承認ができるようにする
(1)Office365にログインした状態で、アカウントマネージャーを押します。
ご自身の写真を設定済みの場合は、写真を押すことになります。
(2)アカウントを表示を押します。
(3)左メニューにあるセキュリティ情報を押します。
(4)方法の追加を押します。
(5)認証アプリを選択します。
(6)追加を押します。
(7)最初にアプリを取得しますと表示されるので次へを押します。
別途、機種変更した新規スマートフォンにAuthenticatorアプリを用意しておきます。
(8)アカウントのセットアップと表示されるので次へを押します。
(9)QRコードをスキャンしますと表示されるので新規スマートフォンのAuthenticatorアプリでQRコードをスキャンします。
- iOSの例
(10)事前に準備した新規スマートフォンのAuthenticatorアプリを押します。
(11)パスコードやFaceID等でAuthenticatorアプリのロックを解除します。
(12)右上の+を押します。
(13)職場または学校アカウントを押します。
(14)QRコードをスキャンを押します。
(15)PC画面上のQRコードをスキャンします。
(16)QRコードが正常に読み込まれると、Authenticatorアプリ上にアカウントが追加されます。
(17)PC画面のQRコードをスキャンしますの次へを押します。
(18)試してみましょうと表示され、新規スマートフォンに承認について通知されます。
(19)パスコードやFaceID等でAuthenticatorアプリのロックを解除します。
(20)サインインを承認しますか?と表示されるので承認を押します。
(21)通知が承認されましたと表示されるので次へを押します。
(22)Microsoft Authenticatorアプリが正常に登録されましたと表示されます。
Microsoft Authenticatorが新たに追加されたことを確認します。
(23)機種変更前のスマートフォンのMicrosoft Authenticatorの削除を押します。
(24)認証アプリの削除と表示されるのでOKを押します。
(25)機種変更前のスマートフォンのMicrosoft Authenticatorが削除されたことを確認します。