企業や組織でMicrosoft Entra(旧称 Azure Active Directory)を活用する中で、認証方法の選択や設定管理は重要なポイントです。中でも「Email OTP(ワンタイムパスワード)」は手軽に導入できる反面、無効化しようとしても設定画面で保存が灰色のまま進めず困っている管理者が多いのも事実。本記事では、その具体的な対処法とポイントを詳しく解説します。
Azure Entra管理センターにおけるEmail OTPの概要
Azure Entra(従来のAzure Active Directory)は、クラウドベースで企業や組織のユーザー・デバイス・アプリケーションを一元管理する強力なプラットフォームです。その中でも「Email OTP」は、ユーザーのメールアドレスにワンタイムパスワードを送信し、本人認証を行う仕組みを提供します。外部ユーザーとのB2Bコラボレーションシナリオや、簡易な多要素認証方法が必要な場合に有効ですが、セキュリティ要件が高まると、FIDO2キーやソフトウェア/ハードウェアトークンに移行したいというニーズも多くなります。
Email OTPが無効化できない問題とは?
管理センターからEmail OTPをオフにしようとすると、なぜか「保存」ボタンがグレーアウトして押せず、変更が反映されないケースが報告されています。管理者権限を持つユーザーであっても発生し、設定を切り替えようとするたびに詰まってしまうため、「バグなのか?」「特別な手順が必要なのか?」と疑問に思う方が多いのです。実は、これには特定の手順やUIの仕様が関係しており、正しい手順を踏めば大抵の場合は解消できます。
発生しやすい原因
- ターゲットが限定されている: 「すべてのユーザー(All users)」ではなく、特定のグループや一部ユーザーに対してのみEmail OTPを有効/無効にしている場合、変更の保存が正しく反映されないことがある
- UIの不具合または仕様: AzureポータルのUIが未完成または誤動作によって、チェックボックスやダイアログの表示が正しく機能しないことがある
- 同時に他の認証方法を変更しようとしている: FIDO2やMicrosoft Authenticatorなどの設定と同時にEmail OTPをオフに切り替えると、競合が発生して保存がブロックされる場合がある
「Email OTP」を無効化するための具体的手順
「どうしても無効化できない…」とお悩みの方に、まず試していただきたい手順を紹介します。これを実行するだけで、意外にも多くのケースが解決するのでぜひお試しください。
ステップ1:一度すべてのユーザーに対して有効化し、保存する
- Azure Entra管理センターにアクセスし、認証方法の設定画面を開きます。
- 「Email OTP」の項目を選び、ターゲットを「すべてのユーザー(All users)」に切り替えます。
- 「有効(On)」の状態に切り替えた後、「保存」ボタンをクリックします。
- 正常に保存が完了したことを確認します。
この手順は一見遠回りに思えますが、ターゲットを全ユーザーにすることでUIの競合を減らし、一時的に確実に設定を反映させる狙いがあります。
ステップ2:再度Email OTPをオフに切り替え、「I Acknowledge」をチェック
- 再び「Email OTP」の設定画面を開きます。
- 今度は「無効(Off)」を選択し、必要に応じて表示される「I Acknowledge(確認)」のチェックボックスやダイアログで同意を表明します。
- その後「保存」ボタンがクリック可能になっているか確認し、問題なく押せるようであれば保存を実行します。
- 成功すれば、Email OTPが無効化されたことを示す通知が表示されるはずです。
考え方のポイント
- UI画面の表示やチェックボックスが出てこない場合は、一度画面を更新してやり直す
- ターゲットが「All users」以外に戻したい場合は、一度完全にオフにしきってから再設定するとスムーズ
APIスクリプトを利用する方法
上記のUIベースの方法を試してもどうしても反映されない場合、スクリプトを利用して設定を変更する手段もあります。Microsoft GraphやAzure AD Graph(非推奨になりつつある)を経由してポリシーを編集することで、UIの不具合を回避できる可能性があります。
PowerShellでの例
以下はPowerShellでGraph APIを呼び出してEmail OTPを無効化する際の簡易な例です。実際に運用環境で使用する場合は認証方法やバージョンに注意してください。
# AzureAD PowerShellモジュールをインストール(必要に応じて)
Install-Module AzureAD
# サインイン
Connect-AzureAD
# Email OTPポリシーの取得(例示的なサンプルであり実際のパラメータは異なる可能性があります)
$otpPolicy = Get-AzureADPolicy -Filter "DisplayName eq 'EmailOTPPolicy'"
# ポリシーの設定内容を無効化するためのJSONなどを編集
# ここでは仮のJSONデータを用いています
$jsonBody = '{
"DisplayName": "EmailOTPPolicy",
"IsEmailOtpEnabled": false
}'
# ポリシーを更新
Set-AzureADPolicy -Id $otpPolicy.Id -Definition $jsonBodyこのようにGraph APIやPowerShellを使えば、Web UIの動作に依存せず設定を変更できる可能性があります。ただし、ポリシー名やパラメータは組織の環境によって異なるため、公式ドキュメントをよく確認してください。
バグの可能性とMicrosoftサポートへの問い合わせ
もしUI、APIの両面から試しても無効化できない場合は、やはりMicrosoftサポートを利用するのが近道です。サブスクリプションの種類や契約内容によって手続きは異なりますが、「サービスリクエスト」を発行して問題の詳細を伝えると、専任エンジニアによる調査が可能になります。実際の診断では、操作ログやテナント設定の整合性などを確認し、バグか設定不備かを切り分けてくれるため、より専門的な対処が期待できます。
問い合わせ時のポイント
- 事象の再現手順(どこをクリックし、どの設定を変更したか)を明確に整理しておく
- 画面キャプチャやエラーメッセージのスクリーンショットを用意しておく
- 可能なら、PowerShellやGraph APIでの更新ログも提示できるように準備する
サポートチケットを発行するメリット
- 個別事例に沿ったアドバイスを受けられる
- テナント固有の問題やテナントリージョンの問題が切り分けられる
- バグとして公式に認識されれば修正パッチがリリースされる可能性がある
注意点と運用のヒント
Email OTPは簡単に認証を行えるため、すべての組織が即座にオフにして良いとは限りません。セキュリティレベルを高めたい場合は、ソフトウェアトークン(Microsoft Authenticator、Google Authenticatorなど)やハードウェアトークン(FIDO2キー、YubiKeyなど)を用いた強力な多要素認証への切り替えを検討するのが望ましいです。その際、一部のユーザーや来訪者用にEmail OTPを残すという運用もあり得ます。
メール認証と他の認証方式の比較
以下は簡単な比較表です。自組織の要件に合わせて運用ポリシーを策定しましょう。
| 認証方式 | メリット | デメリット |
|---|---|---|
| Email OTP | – 導入コストが低い – ユーザーが使い慣れている | – セキュリティがそこまで高くない – メールの遅延が起こる可能性 |
| ソフトウェアトークン | – 比較的高いセキュリティ – スマホで手軽に利用可能 | – ユーザーのスマホ管理が必要 – スマホを紛失するとリカバリが面倒 |
| ハードウェアトークン | – 物理トークンならではの強固なセキュリティ | – 紛失時の代替手段が必要 – 導入コストや運用負荷が高い |
| FIDO2キー | – PINや生体認証との組み合わせで最強レベル | – 一部環境では互換性やサポートが十分でない場合がある |
新規管理者が陥りがちなポイント
初めてAzure Entraの管理に携わる方は、ポータルのUIが頻繁にアップデートされることを認識しておくと良いでしょう。特に「認証方法」ページは、以前のAzure ADポータルから名前が変わったり、設定項目のレイアウトが改変されたりします。そのため、古いドキュメントに書いてある手順と実際の画面がズレている場合があります。
また、ターゲットを「All users」ではなく、一部のグループやテナント外部のユーザーだけに限定しようとすると、保存時に競合する設定がある場合に警告すら表示されず保存が失敗する、という現象も確認されています。こうした場合は、まず全ユーザーに対する設定を整理したうえで、一部ユーザー向けに例外設定を行うのがトラブルを減らすコツです。
ポリシーの段階的導入のすすめ
- テストテナントで先行確認: 本番環境とまったく同じ設定のテストテナントを用意し、小規模ユーザーで検証する
- 全ユーザー対象のポリシーを先に整備: デフォルトとなるポリシーを明確にし、Email OTPの有効・無効をハッキリさせる
- 例外や部分適用を設定: 部門や海外拠点など、一部ユーザー向けに特別な認証方法を用意する
まとめ
「Email OTP」の無効化がうまくいかず、グレーアウトのまま保存が押せないという問題は、Azure Entra管理センターの特有の仕様やUIの挙動が原因で発生しがちです。しかし、本記事で紹介した手順を踏めば、大半のケースで解決が期待できます。それでもなお問題が解決しない場合は、APIスクリプトによる設定変更やMicrosoftサポートへの問い合わせを検討しましょう。メール認証にこだわらず、FIDO2やハードウェアトークンを併用するなど、状況に応じた認証方式の最適化を図ることが重要です。セキュリティレベルを高めつつ、運用の柔軟性を維持するためにも、こまめに最新のドキュメントを確認してポータルUIの変更点に追従し続けることが求められます。
コメント