PowerShellでOffice 365のMFA状態を可視化する方法を徹底解説

PowerShellは、Office 365環境の管理を効率化するための強力なツールです。その中でも、マルチファクタ認証（MFA）の状態を可視化することで、セキュリティの向上に役立ちます。MFAは、IDとパスワードだけに頼らないセキュリティ対策として、企業や組織の安全性を大幅に高めます。しかし、全ユーザーのMFA状態を手動で確認するのは手間がかかり、非効率的です。この記事では、PowerShellを活用してOffice 365のMFA設定状況を簡単に確認し、出力を活用してセキュリティを可視化する方法をわかりやすく解説します。

PowerShellを利用するメリットとセキュリティへの影響

PowerShellを使うことで得られる利点

PowerShellは、スクリプトを用いることで作業を自動化し、大規模な環境でも効率的な管理を可能にします。特に、Office 365の管理において次のようなメリットがあります：

1. 大量データの一括処理

手動操作では時間がかかる複雑な処理も、PowerShellを使えばコマンド1つで実行できます。例えば、全ユーザーのMFA設定状況を一括取得することが可能です。

2. 自動化による効率化

スクリプトを活用することで、定期的なチェックやレポート生成を自動化できます。これにより、管理者の負担を軽減し、ヒューマンエラーを防ぐことができます。

3. 柔軟な出力形式

PowerShellは、取得したデータをCSVやJSON形式でエクスポートする機能を備えています。これにより、外部ツールでの分析や監視システムへの統合が容易です。

セキュリティへの影響

PowerShellを活用したMFA状態の可視化は、セキュリティの強化にも直結します。

1. 脆弱なユーザーを早期特定

MFAが無効なユーザーを迅速に特定することで、不正アクセスのリスクを低減します。

2. セキュリティポリシーの徹底

全ユーザーのMFA状態を定期的に監視し、組織のセキュリティポリシーを確実に適用できます。

PowerShellを活用することで、セキュリティ管理を効率化しながら、組織全体の安全性を高めることが可能です。

必要な準備：Office 365 PowerShellモジュールのインストール

Office 365 PowerShellモジュールの概要

Office 365環境をPowerShellで操作するには、Microsoftが提供するPowerShellモジュールをインストールする必要があります。このモジュールは、Office 365サービスとの接続を可能にし、管理作業を効率化するためのコマンドレットを提供します。

PowerShellモジュールのインストール手順

1. 必要条件の確認

• Windows 10以降またはWindows Server 2016以降を推奨
• PowerShell 5.1以上またはPowerShell Core 7.0以上を使用
• 管理者権限でPowerShellを実行

2. PowerShellギャラリーからモジュールをインストール

以下のコマンドを実行して、必要なモジュールをインストールします：

Install-Module -Name MSOnline -Force
Install-Module -Name ExchangeOnlineManagement -Force

3. モジュールのインポート

インストール後、以下のコマンドでモジュールをインポートします：

Import-Module MSOnline
Import-Module ExchangeOnlineManagement

4. 必要な権限の確認

Office 365環境に接続するには、管理者アカウントが必要です。また、MFAの確認にはAzure AD管理者または全体管理者権限を持つアカウントを使用します。

PowerShellモジュールのセットアップ完了の確認

インストールとインポートが完了したら、以下のコマンドを実行して、セットアップが成功したことを確認します：

Get-Module -ListAvailable MSOnline, ExchangeOnlineManagement

これで、Office 365環境への接続準備が整いました。次のステップでは、MFA状態の確認方法を詳しく解説します。

MFA状態の確認に使用するPowerShellコマンドの基本構文

PowerShellを使用したMFA状態確認の基本的なコマンド

Office 365におけるユーザーのマルチファクタ認証（MFA）の状態を確認するには、PowerShellの特定のコマンドレットを使用します。これにより、ユーザーのMFA設定が有効か無効か、またはどの認証方法が使用されているかを調べることができます。

1. Office 365に接続する

まず、PowerShellからOffice 365に接続する必要があります。以下のコマンドを実行して、管理者アカウントでサインインします：

$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Authentication Basic -AllowRedirection -Credential $UserCredential
Import-PSSession $Session -DisableNameChecking

2. ユーザーのMFA状態を取得する

MFA状態を確認するには、Get-MsolUser コマンドレットを使用します。以下のコマンドで、指定したユーザーのMFA状態を取得できます：

Get-MsolUser -UserPrincipalName <ユーザーのメールアドレス> | Select-Object UserPrincipalName, StrongAuthenticationRequirements

このコマンドは、ユーザーがMFAを有効にしているかどうか、どの認証方法を使用しているかを表示します。

3. 複数ユーザーのMFA状態を一覧で取得

全ユーザーのMFA状態を一覧で取得するには、以下のようにコマンドを実行します：

Get-MsolUser | Select-Object UserPrincipalName, StrongAuthenticationRequirements

これにより、Office 365の全ユーザーのMFA設定を確認することができます。出力される情報には、ユーザー名とMFA設定の詳細が含まれます。

出力内容の解説

出力結果のStrongAuthenticationRequirementsフィールドには、MFAが有効な場合にその設定が表示されます。具体的には、以下のような内容が確認できます：

• 認証方法：ユーザーが設定したMFAの方法（例：携帯電話、アプリの確認、電話通話など）
• 状態：MFAが有効か無効か、または強制されているかどうか

このコマンドを活用することで、ユーザー個別のMFA設定状況を簡単に把握することができます。

スクリプトの実行手順と結果の解釈方法

スクリプトの実行手順

PowerShellスクリプトを実行することで、Office 365環境内のユーザーのMFA状態を確認することができます。以下の手順でスクリプトを実行し、MFAの状態を取得します。

1. PowerShellウィンドウを開く

管理者権限でPowerShellを開きます。これにより、Office 365環境へのアクセス権限が適切に設定されます。

2. 必要なモジュールをインポート

Office 365の管理モジュールをインポートします。以下のコマンドを実行します：

Import-Module MSOnline
Import-Module ExchangeOnlineManagement

3. Office 365にサインイン

Office 365アカウントにサインインするためのコマンドを実行します：

$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Authentication Basic -AllowRedirection -Credential $UserCredential
Import-PSSession $Session -DisableNameChecking

コマンド実行後、ポップアップウィンドウが表示され、管理者アカウントの資格情報を入力します。

4. MFA状態を確認するコマンドを実行

次に、MFA状態を確認するために、ユーザーまたは全ユーザーのMFA設定を取得するコマンドを実行します。例えば、全ユーザーのMFA状態を確認するために以下を実行します：

Get-MsolUser | Select-Object UserPrincipalName, StrongAuthenticationRequirements

5. 結果を確認する

コマンドが正常に実行されると、以下のような情報が表示されます：

• UserPrincipalName：ユーザーのメールアドレス
• StrongAuthenticationRequirements：MFA設定の状態

結果の解釈方法

出力結果には、各ユーザーに関する情報が表示されます。StrongAuthenticationRequirementsフィールドには、ユーザーのMFA設定に関する詳細が含まれます。例えば、以下のような結果が表示されることがあります：

UserPrincipalName         StrongAuthenticationRequirements
------------------        ------------------------------
user1@domain.com          {Enabled}
user2@domain.com          {}
user3@domain.com          {Enabled, RequiringMFA}

• Enabled：ユーザーにMFAが有効化されています。
• 空欄：MFAが設定されていない、または無効です。
• RequiringMFA：MFAが強制されていることを示します。

この情報を基に、セキュリティ対策として必要な対応を行うことができます。

出力結果をCSV形式でエクスポートする方法

CSV形式でデータをエクスポートする理由

MFA状態を確認するコマンドの結果をCSV形式でエクスポートすると、後で簡単に分析したり、他の管理者と共有したりできます。特に多くのユーザーがいる環境では、出力結果を視覚的に管理することが重要です。CSVファイルとして保存すれば、ExcelやGoogle Sheetsなどのツールを使ってさらに分析やフィルタリングが可能です。

CSVエクスポートの実行手順

1. コマンドレットを使ってデータを取得

まず、MFA状態を確認するコマンドを実行し、必要なデータを取得します。例えば、全ユーザーのMFA状態を取得するためには、以下のコマンドを使用します：

Get-MsolUser | Select-Object UserPrincipalName, StrongAuthenticationRequirements

2. データをCSVファイルにエクスポート

データをCSV形式でエクスポートするためには、Export-Csv コマンドレットを使用します。例えば、以下のコマンドを実行すると、結果をMFA_Status_Report.csvというファイル名で保存できます：

Get-MsolUser | Select-Object UserPrincipalName, StrongAuthenticationRequirements | Export-Csv -Path "C:\Path\To\Your\Directory\MFA_Status_Report.csv" -NoTypeInformation

• -Pathオプションで保存先のディレクトリとファイル名を指定します。
• -NoTypeInformationオプションは、CSVファイルに不要な型情報を含めないようにします。

3. エクスポート結果を確認

エクスポートしたCSVファイルは、指定したパスに保存されます。これを開くことで、以下のような内容を確認できます：

エクスポート後の利用方法

CSV形式で出力したデータを利用する方法はさまざまです。例えば、ExcelでMFAが無効なユーザーをフィルタリングして、セキュリティポリシーを強化するための対策を立てることができます。また、定期的にこのレポートをエクスポートし、MFAの設定状況を監視することもできます。

CSV出力により、データの整理や共有が簡単になり、MFA設定の管理がより効率的になります。

MFAが無効なユーザーを特定してリスト化する方法

MFAが無効なユーザーの特定

セキュリティを強化するために、MFAが無効なユーザーを特定することは重要です。PowerShellを使用して、MFAが無効なユーザーを簡単にリスト化する方法を解説します。これにより、MFAを有効化する必要があるユーザーを迅速に把握できます。

無効なMFAユーザーのリスト化手順

1. 全ユーザーのMFA状態を取得

まず、全ユーザーのMFA状態を確認します。以下のコマンドで、全ユーザーのMFA設定を取得します：

Get-MsolUser | Select-Object UserPrincipalName, StrongAuthenticationRequirements

このコマンドは、全ユーザーのメールアドレス（UserPrincipalName）とMFA設定（StrongAuthenticationRequirements）を表示します。

2. MFAが無効なユーザーのフィルタリング

MFAが無効なユーザーを特定するには、StrongAuthenticationRequirementsが空欄または{}のユーザーを抽出します。以下のコマンドを使用して、MFAが無効なユーザーをリスト化します：

Get-MsolUser | Where-Object {($_.StrongAuthenticationRequirements -eq $null) -or ($_.StrongAuthenticationRequirements.Count -eq 0)} | Select-Object UserPrincipalName

このコマンドは、StrongAuthenticationRequirementsが空であるか、MFAが設定されていないユーザーをフィルタリングして表示します。

3. 出力結果の確認

実行すると、MFAが無効なユーザーの一覧が表示されます。例えば、以下のように表示されます：

これにより、MFAが無効なユーザーを簡単に特定することができます。

CSV形式での出力

MFAが無効なユーザーをリスト化した後、その結果をCSVファイルとして保存することもできます。以下のコマンドでCSVファイルにエクスポートできます：

Get-MsolUser | Where-Object {($_.StrongAuthenticationRequirements -eq $null) -or ($_.StrongAuthenticationRequirements.Count -eq 0)} | Select-Object UserPrincipalName | Export-Csv -Path "C:\Path\To\Your\Directory\UsersWithNoMFA.csv" -NoTypeInformation

これにより、MFAが無効なユーザーのリストを後で確認したり、他の管理者と共有したりすることができます。

まとめ

MFAが無効なユーザーを特定することで、セキュリティリスクを減らすために必要な対応を取ることができます。リスト化したユーザーに対して、MFAの有効化を強く推奨し、組織全体のセキュリティを向上させましょう。

セキュリティを向上させるためのMFA設定推奨事項

強化すべきMFA設定のポイント

MFA（マルチファクタ認証）は、パスワードのみを頼りにする認証方法に比べて格段に安全性を向上させます。しかし、MFA設定を適切に行うことが重要です。以下に、組織全体でMFAを適切に設定し、セキュリティを高めるための推奨事項を紹介します。

1. 全ユーザーにMFAを強制する

最も効果的なセキュリティ対策は、全ユーザーに対してMFAを強制することです。管理者は、すべてのユーザーに対してMFAを有効にするポリシーを設定することで、不正アクセスを防ぎます。
Office 365では、Azure Active Directory（Azure AD）を使用して、MFAを全ユーザーに適用することができます。具体的には、Azure AD Conditional Accessポリシーを利用して、特定の条件下でMFAを強制する設定が可能です。

2. MFAの認証方法を多様化する

MFAの認証方法には、携帯電話のSMS、認証アプリ（Microsoft AuthenticatorやGoogle Authenticator）、ハードウェアトークン、指紋認証など、さまざまなオプションがあります。ユーザーの利便性とセキュリティを考慮し、少なくとも2種類以上の認証方法を提供することが推奨されます。特に、認証アプリやFIDO2準拠のセキュリティキーを使用することで、セキュリティレベルを大幅に向上させることができます。

3. MFAの設定を定期的に監視する

MFA設定が適切に行われているかどうかを定期的に監視することは重要です。PowerShellスクリプトを使用して、MFAが無効なユーザーを特定し、その後にMFAの有効化を促すことができます。また、MFAの設定状況をエクスポートして、定期的にレポートを作成することも有効です。

セキュリティポリシーの定期的な見直し

MFAの実装に加え、セキュリティポリシー自体を定期的に見直し、更新することが大切です。たとえば、業務内容の変化や新たな脅威に対応するために、条件付きアクセスのポリシーを見直すことが求められます。条件付きアクセスでは、特定の条件（例えば、外部ネットワークからのアクセスや不審なログイン試行）に基づいてMFAを要求する設定ができます。

まとめ

MFAを有効にすることは、現代のサイバーセキュリティ対策において欠かせない要素です。組織全体でMFAを強制し、適切な認証方法を導入することで、セキュリティを大幅に強化できます。また、設定状況を定期的に監視し、ポリシーを更新することによって、常に高いセキュリティレベルを維持できます。

応用編：自動化スクリプトで定期的な監視を実現

自動化スクリプトによる定期監視の必要性

MFA（マルチファクタ認証）の設定状況を手動で確認するのは、特に大規模な組織では非常に時間がかかり、エラーが発生しやすくなります。そこで、PowerShellスクリプトを使ってMFAの状態確認を自動化し、定期的に実行することで、管理作業を大幅に効率化できます。自動化によって、セキュリティの維持が一貫して行われ、手動による漏れを防ぐことができます。

自動化スクリプトの作成と実行手順

1. 自動化スクリプトの作成

MFA設定を定期的に監視するためのPowerShellスクリプトを作成します。以下は、全ユーザーのMFA状態を確認し、無効なユーザーをリストアップしてCSVファイルにエクスポートする基本的なスクリプト例です：

# PowerShellセッションを開始し、Office 365に接続
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Authentication Basic -AllowRedirection -Credential $UserCredential
Import-PSSession $Session -DisableNameChecking

# MFAが無効なユーザーを取得し、CSV形式で保存
Get-MsolUser | Where-Object {($_.StrongAuthenticationRequirements -eq $null) -or ($_.StrongAuthenticationRequirements.Count -eq 0)} | Select-Object UserPrincipalName | Export-Csv -Path "C:\Path\To\Your\Directory\UsersWithNoMFA.csv" -NoTypeInformation

# セッションを終了
Remove-PSSession $Session

このスクリプトは、全ユーザーのMFA状態を確認し、無効なユーザーをUsersWithNoMFA.csvというファイルにエクスポートします。自動化により、定期的な確認を行わずとも、レポートが常に最新の状態になります。

2. スケジュールされたタスクとして実行

PowerShellスクリプトを定期的に実行するためには、Windowsの「タスクスケジューラ」を利用してスケジュールを設定します。以下は、その手順です：

1. 「スタートメニュー」から「タスクスケジューラ」を検索して起動します。
2. 「タスクの作成」をクリックし、タスクに名前を付けます（例：「MFA状態監視」）。
3. 「トリガー」タブで、タスクを実行する頻度を設定します（例：毎日、毎週など）。
4. 「操作」タブで「プログラムの開始」を選択し、PowerShellスクリプトのパスを指定します。
5. 「条件」タブで、PCがアイドル状態でないときに実行するなどのオプションを設定します。
6. 設定が完了したら、「OK」をクリックしてタスクを保存します。

これにより、指定した頻度で自動的にスクリプトが実行され、結果をCSVファイルに保存します。

自動化監視の利点

1. 作業の効率化

スクリプトを自動化することで、手動での確認作業を省き、時間を大幅に削減できます。管理者はレポートを待つだけで、問題が発生した際にすぐ対応できるようになります。

2. ヒューマンエラーの削減

手動で作業を行う際には、見落としや間違いが発生することがあります。自動化することで、確実にチェックが行われ、エラーを防ぐことができます。

3. 安全なセキュリティ環境の維持

定期的なMFA設定確認を自動化することで、常に最新のセキュリティ状態が保たれ、組織全体の安全性が向上します。

まとめ

MFA設定の監視を自動化することで、管理作業が効率化され、セキュリティが強化されます。PowerShellスクリプトを使用して定期的な監視を実現し、タスクスケジューラを使って自動化することで、組織全体のセキュリティを常に最新の状態に保つことができます。

まとめ

本記事では、PowerShellを利用してOffice 365のマルチファクタ認証（MFA）状態を一覧で取得し、セキュリティを可視化する方法を解説しました。PowerShellを活用することで、手動では難しい大規模な環境でも効率的にMFA設定状況を確認することが可能です。また、無効なMFAユーザーを特定し、CSV形式で出力する方法や、定期的な監視を自動化するスクリプトの作成方法も紹介しました。

MFAはセキュリティ向上に欠かせない要素であり、全ユーザーに対して適切に実施することが重要です。自動化スクリプトを使用することで、監視作業を効率化し、組織全体のセキュリティを継続的に強化できます。定期的なMFA設定の確認と適切な対応により、安全で信頼性の高いOffice 365環境を維持することができます。