ビジネスで運用しているMicrosoft 365のアカウントにおいて、2段階認証を導入したものの、Authenticatorアプリのコードが入力できずログインが完了しない――こうした状況に陥ると困ってしまいますよね。特に管理者アカウントの場合、社内システムへのアクセスや運用にも影響が出るため、迅速な対応が必要です。本記事では、具体的なトラブル事例と解決策、さらには今後同様のトラブルを回避するための注意点などを詳しく解説します。
onmicrosoftビジネスアカウントの2段階認証で起こりがちなトラブル
Microsoft 365のビジネスアカウントで多いのが、管理者アカウントに2段階認証を設定していたものの、いざ端末を機種変更したりAuthenticatorアプリを再インストールしたりすると、肝心の2段階認証コードが取得できずアクセス不能になってしまうケースです。特に「admin@〇〇〇.onmicrosoft.com」のようなテナント管理用アカウントは、通常の個人用Microsoftアカウントと異なり、自治的に設定をリセットしづらい状況があります。実際に次のような問題がよく報告されています。
- Google Authenticatorを利用していたが、機種変更やアプリ削除によりアカウント情報が紛失
- バックアップコードを用意しておらず、電話番号認証やメール認証も設定していない
- リカバリ用メールアドレスは設定しているが、2段階認証をスキップできずにログインを完了できない
これらのトラブルは、ビジネスに直結する管理機能を扱うアカウントだからこそ、早急に解決したいところです。
管理者アカウントがロックされるとどうなる?
管理者アカウントにログインできなくなると、以下のようにシステム全体に影響が及ぶ可能性があります。
- サブアカウントの権限管理やパスワード再設定ができない
- Microsoft 365管理センターやAzure ADの設定変更ができない
- ライセンスの追加・削除、課金情報の管理などがストップする
こうしたリスクがあるため、企業や組織としては「万が一のトラブル」に対して複数の対処手段を用意しておくことが不可欠です。
2段階認証を解除・リセットする唯一の方法とは
ユーザー自身で2段階認証の設定をスキップしたり、強制的に無効化したりするのは、Microsoft 365の仕組み上不可能に近いのが現実です。フォーラムやコミュニティの情報を探しても、一般ユーザーにはその権限が与えられていないことが明らかです。では、どうすれば良いのでしょうか?
Microsoft Data Protectionチームへの連絡
最も確実かつ正攻法なのが、Microsoftのサポート窓口、特に「Data Protectionチーム」に連絡を取り、2段階認証のリセット・スキップ対応を依頼することです。
具体的には、以下のURLから国・地域別のMicrosoft 365のサポート電話番号を確認し、サポートへ連絡します。
Data Protectionチームは、ユーザーが正当な所有者であると確認できれば、2段階認証の強制リセットを行う権限を持っています。問い合わせ時は、アカウントの所有者であることを示すために、以下の情報を準備しておくとスムーズです。
- テナントID
- 登録しているリカバリ用メールアドレス
- 契約しているMicrosoft 365プランの情報
- アカウントを開設した際の詳細(請求情報・登録時のクレジットカード情報など)
問い合わせ時のポイント
- 音声ガイダンスをしっかり聞き、管理者アカウントの2段階認証に関するサポート希望である旨を伝える
- リセットにはアカウントの正当性証明が必要となるため、身元確認手順に協力する
- サポートスタッフから求められる情報(契約IDや会社名など)を正確に伝える
2段階認証トラブルを防ぐためにできる対策
一度リセットやスキップ対応をしてもらったとしても、再び同じ状況に陥ることは避けたいものです。予防策として、以下の設定をぜひ検討してみてください。
バックアップコードの発行・管理
Microsoft 365では、2段階認証を設定した際にバックアップコードを生成できます。これを安全な場所(オフラインで暗号化したファイルや金庫など)に保管しておくと、Authenticatorアプリにアクセスできない場合でも認証を突破することが可能です。
以下のようにバックアップコードを取得する手順の例を示します。
1. Microsoft 365管理センターにアクセス
2. [ユーザー] → [アクティブなユーザー] → 対象ユーザー選択
3. [セキュリティ情報](もしくは[認証方法])の設定ページへ移動
4. バックアップコードを表示または生成
5. コードを安全な場所に保管実際の操作メニュー名はバージョンや環境によって若干異なる場合がありますが、大まかな流れは同じです。
複数の認証方法を併用
Authenticatorアプリだけでなく、他の手段も併用することで安全性と利便性を高めます。例えば、以下の複数手段を用意しておけば、どれか1つが使えなくなっても対応可能です。
- 電話番号認証(SMSや音声通話)
- 別のデバイスのAuthenticatorアプリ
- セキュリティキー(FIDO2対応デバイスなど)
- バックアップコード
多要素認証における「組み合わせ」の考え方
多要素認証(MFA)は、最低2種類の異なる認証要素を組み合わせることでセキュリティを強化します。そのため、以下の表のように「何を持っているか」「何を知っているか」「何者であるか(生体情報)」など、異なる分類から2種類以上を選ぶのが原則です。
| 分類 | 例 |
|---|---|
| 知識(Something you know) | パスワード、PINコード |
| 所持(Something you have) | スマホ、セキュリティキー、トークン |
| 特性(Something you are) | 指紋認証、顔認証 |
AuthenticatorアプリのTOTP(Time-based One-Time Password)は「所持」に該当しますが、バックアップを取ることで「もしスマホが使えない」というリスクを軽減できます。
機種変更やアプリ再インストール時の注意点
多くの方が見落としがちなのが、スマートフォンの機種変更やリセット、またはアプリの再インストールのタイミングです。Google AuthenticatorやMicrosoft Authenticatorの場合、初期化や再インストールを行うと、登録されていたアカウント情報が消えてしまいがちです。
アプリ移行時の手順と注意
例えば、Microsoft Authenticatorアプリの機能には、クラウドバックアップが存在します。Microsoftアカウントでサインインしてバックアップを取っていれば、新しい端末にアプリをインストールした際に復元が可能です。一方で、Google Authenticatorは以前までクラウドバックアップが標準機能になっていなかったため、QRコードのエクスポートや画面キャプチャなどで手動バックアップを行う必要がありました。
機種変更前には、必ず下記のような手順を確認し、移行を済ませてから古い端末を処分するようにしましょう。
1. 新しい端末に認証アプリをインストール
2. 古い端末で認証アプリのバックアップ設定を有効にする
(Microsoft Authenticatorの場合、Microsoftアカウントでログインしバックアップを有効化)
3. 新端末の認証アプリでバックアップデータを復元
4. 2段階認証の動作確認
5. 古い端末のアプリをアンインストール、または初期化複数管理者アカウントの運用が安全策
組織でMicrosoft 365を利用している場合、管理者アカウントを1つだけにすると、そこがロックされた際に対応が難しくなります。そこで、「グローバル管理者」ロールを持つアカウントを複数用意しておくのが一般的なセキュリティのベストプラクティスです。
「ブレークグラス」アカウントの用意
Microsoft 365やAzure Active Directoryの推奨設定として、緊急時に使うための「ブレークグラス」アカウントを作成する方法があります。以下のようにMFAを無効化した特別アカウントを作り、必要最小限の権限だけ付与しておきます。
- 管理者アカウントがMFAを含むセキュリティ設定でロックされた場合の緊急手段
- 通常は使用しない(毎日運用に使うわけではない)
もちろんセキュリティリスクは増えるため、定期的にパスワードを変更する、監査ログをチェックするなどの対策も併せて実施します。
「自力での2段階認証解除」以外の回避策はあるのか
結論からいうと、Microsoft 365の管理アカウントにおいては、ユーザー自身のみで2段階認証を完全解除・リセットする方法は極めて限られています。
ただし、他の管理者アカウントやディレクター権限を持つアカウントが存在する場合、Azure Active Directoryの「認証方法」設定画面から当該ユーザーのMFA登録を一度消去し、再度設定し直すことができます。もし組織に他の管理者権限を持つメンバーがいるなら、この手を試してみるのも1つの方法です。
Data Protectionチームへの問い合わせ手順とヒアリング内容
Data Protectionチームに問い合わせる際は、なるべく詳しい状況を伝えると対応がスムーズです。例えば、次の項目を予めまとめておくと安心です。
- アカウントの詳細
- onmicrosoft.comドメインのメールアドレス
- Azure AD側のユーザーIDやオブジェクトID
- 直面している問題
- 2段階認証のコードを取得できない経緯(端末故障やアプリ削除など)
- リセットを希望する理由(業務停止リスクなど)
- 契約情報・本人確認情報
- Microsoft 365のサブスクリプションID
- 請求書番号やクレジットカード情報の下4桁など
- 紐づけている法人名義や組織名、担当者情報
サポートセンターではこれらを手掛かりに、本人確認作業を行います。正当性が確認されれば、アカウントの2段階認証設定を初期化または一時的にスキップし、改めてログインできるようにしてもらえます。
問い合わせ後の流れ
通常は以下の流れとなります。
- ユーザー(問い合わせ者)がサポートに連絡し、本人確認手順を完了
- MicrosoftがアカウントのMFA設定をリセット(または一時的にスキップ)
- ユーザーは改めてパスワードと新しい認証設定でログイン
- 新しい端末やアプリにAuthenticator情報を再設定し、MFAを再度有効化
トラブルから復旧した後に、再度MFAを設定することを忘れないようにしましょう。MFAをオフにしっぱなしにするとセキュリティリスクが高まります。
今後のために:AuthenticatorアプリやGoogle Authenticatorのバックアップ運用
今後同じ問題が発生しないように、Authenticatorアプリのバックアップ機能を活用することが強く推奨されます。機種変更やアプリ再インストール時には、以下の点を必ずチェックしておきましょう。
- Microsoft Authenticatorの場合、クラウドバックアップを有効化し、Microsoftアカウントでサインインしてバックアップを作成
- Google Authenticatorの場合、QRコードのエクスポートや手動バックアップツールを活用
- 2段階認証を新しく導入する際には、必ずバックアップコードを生成して安全に保管
- 可能なら別のデバイス(タブレットやサブスマホ)にもAuthenticatorアプリをインストールし、同じアカウントを登録
まとめ
Microsoft 365のonmicrosoftビジネスアカウントで2段階認証を利用していると、Authenticatorアプリのトラブルでログイン不能に陥るケースは珍しくありません。その際、自力でのスキップや解除は事実上困難であり、Data ProtectionチームなどMicrosoft公式サポートへの連絡が最短の解決策です。
また、今回のトラブルを教訓とし、バックアップコードの活用や複数の認証方法の併用など、MFAの導入・運用を慎重に行うことが大切です。機種変更前に十分なバックアップを取る、緊急用の管理者アカウントを用意するなどの事前対策が、組織の安定運用を支えるでしょう。
コメント