Microsoft 二要素認証 2026:MSA と Entra ID、そして認証要素の階層
すぐに認証コードを取得?今すぐ認証の旅を開始
2026 年の Microsoft 2FA はもはや「オンにすれば安全」ではありません。セキュリティ保証がまったく異なる認証要素の階層であり、アカウント種別 (個人 MSA か 職場・学校 Entra ID か) によって、利用できる要素・誰が制御するか・そもそも SMS-Act の番号が当てはまるかが決まります。本ガイドではその層を解きほぐし、2026 年に何が推奨され、何が廃止されつつあり、SMS 認証がどこに残るのかを示します。
2026 年の大きな転換: Microsoft は個人アカウントの SMS を廃止中
Microsoft は個人 Microsoft アカウントのセキュリティ / 2FA 手段としての SMS を削除し始め、「SMS ベースの認証は現在、詐欺の主要な発生源である」と率直に述べています。広く報じられた予定によると、新規個人アカウントは 2025 年 5 月ごろから SMS をセキュリティ手段として追加できなくなり、既存の SMS 要素は 2026 年 5 月以降に削除され、パスキーと Authenticator アプリへ置き換えられます。SMS は アカウント作成時 と リスク発動時のチェックポイント には引き続き現れ (ここで SMS-Act の実在キャリア番号が機能します)、しかし長期的に維持する要素ではありません。登録後すぐに Authenticator かパスキーを設定してください。(出典)
2 つのアカウント種別 — なぜ重要か
Microsoft は 2 つの並行する ID システムを維持しています。
| 観点 | 個人 Microsoft アカウント (MSA) | 職場または学校 (Entra ID) |
|---|---|---|
| ドメイン例 | name@outlook.com、name@hotmail.com | name@yourcompany.com |
| 用途 | Outlook.com、Xbox、OneDrive 個人版、Skype、MSA 連携の Windows | Microsoft 365 Business/E3/E5、Azure、Intune、Teams |
| セルフサービス登録 | 可 (メール + 電話があれば誰でも) | 不可 — テナント管理者がプロビジョニング |
| 2FA 制御 | ユーザーが account.microsoft.com のセキュリティで選択 | 管理者が条件付きアクセスで強制 |
| サインアップで SMS-Act 適用? | 可 — 一時番号で MSA の OTP を受信 | 不可 — 電話欄は管理者がプロビジョニング |
| 復旧の流れ | ユーザー管理: メール + 代替電話 + 回復コード | テナント管理: ヘルプデスクのリセットまたは SSPR ポリシー |
| 2026 の既定 2FA | 任意 (強く推奨) | 必須 (テナント全体でセキュリティ既定値が有効) |
これが最も多い混乱の元です。 「Microsoft 2FA SMS 認証」という検索は、MSA の流れ (SMS-Act が機能する) と Entra ID の流れ (機能しない) を混同しています。トラブルシュートの前に必ずアカウント種別を確認してください。
2026 年の Microsoft 2FA 要素階層
Microsoft は現在、要素をセキュリティ強度で順位づけしています。2026 年のスタックを、最も強いものから弱いものへ並べると次のとおりです。
| 階層 | 要素 | フィッシング耐性 | 備考 |
|---|---|---|---|
| 1 | パスキー (WebAuthn、端末バインド) | 高 | Windows Hello・iOS 17+・Android 14+ で既定。パスワードレス |
| 2 | FIDO2 セキュリティキー (YubiKey 5C、Feitian) | 高 | USB-A / USB-C / NFC。ユーザー検証対応 |
| 3 | Microsoft Authenticator (プッシュ + 番号一致) | 高 | 2023 年 5 月以降、Entra ID の既定 |
| 4 | Windows Hello for Business (PIN + TPM) | 中〜高 | 端末バインド。管理対象の Windows のみ |
| 5 | OATH ハードウェアトークン (Token2、Feitian) | 中 | 時刻ベースのコード。オフライン |
| 6 | TOTP (Google Authenticator、Authy、1Password) | 中 | OATH と同じプロトコルだがソフトウェア |
| 7 | メール OTP | 低〜中 | メールが侵害されると脆弱 |
| 8 | SMS OTP | 低 | レガシーの流れでは許容。SIM スワップに露出 |
| 9 | 音声 OTP | 低 | SMS と同じ脅威面。フォールバックのみ |
Microsoft は Entra ID で 7〜9 階層を段階的に廃止しています。2023 年 5 月の発表で単純なワンタップ承認が削除され、番号一致が強制されました。2024 年 9 月の発表で管理者が SMS / 音声を主要要素として完全に無効化できるようになりました。2026 年までに、ほとんどのエンタープライズテナントは SMS を「フォールバックのみ」に設定し、Authenticator + パスキーを主要スタックにしています。
個人 MSA アカウントではユーザーが引き続き完全に選べますが、アカウント作成画面は SMS より先に Authenticator を提案するようになりました。
なぜ Microsoft は SMS より Authenticator を推すのか
Microsoft 脅威インテリジェンスが公表したブロック率です (2024 年データ、2026 年も維持)。
| 手段 | 自動化攻撃をブロックする割合 |
|---|---|
| パスワードのみ | 0% |
| SMS 2FA | 99.2% |
| Authenticator プッシュ (番号一致あり) | 99.99% |
| FIDO2 / パスキー | 99.99% 超 (フィッシング耐性) |
SMS の差は次の理由で生じます。
- SIM スワップ攻撃 — FBI は 2024 年に米国で 2.6 億ドル超の被害を報告。攻撃者がキャリアを説得して番号を移管させます。
- SS7 プロトコルの脆弱性 — 特に国際ルートでの伝送中の SMS 傍受。
- フィッシングキット — Evilginx2 のような最新の AitM (中間者) フレームワークが SMS コードをリアルタイムに捕捉。
- キャリア配信の失敗 — 一部の国では A2P SMS の配信率が体系的に 90% を下回り、ユーザーがロックアウトされて 2FA ポリシーの弱体化につながります。
Authenticator は 4 つすべてを回避します。シークレットが端末のセキュアエンクレーブから出ず、プッシュ承認は端末ハードウェアにバインドされ、番号一致がワンタップ疲労を断ち、オフラインで動作します。
なぜ VoIP 番号はそもそも登録できないのか
SMS がまだ受け入れられる場面 (アカウント作成、リスクチャレンジ) でも、Microsoft は 実在の携帯キャリア 番号のみを受け入れます。サポート文書には「VoIP 番号はサインインや認証コード受信の手段として追加できません。携帯電話番号を追加してください」と明記されています。Entra ID の電話番号不正対策スコアリングは VoIP サービス (Google Voice、Twilio)・無料オンライン SMS サイト・データセンター経由の番号をフラグ立てし、コードを無言で破棄します。SMS-Act の番号は実在キャリアから来て HLR / 番号真正性チェックを通過するため、VoIP 番号が失敗するサインアップステップでもコードを受信できます。そのコードでアカウントを作成し、ただちに Authenticator / パスキーへ移行してください。(出典)
個人 MSA:ステップ・バイ・ステップの 2FA 設定
これはユーザーが制御する流れです。SMS-Act の番号は初回の電話認証ステップを完了できます。
ステップ 1 — MSA を作成またはアクセス
account.microsoft.comを開いてサインイン (またはメール + 電話で新規作成 — SMS-Act の番号がここで機能します)。- セキュリティ →詳細セキュリティオプション をクリック。
- 「本人確認の方法」セクションを確認。
ステップ 2 — Microsoft Authenticator を追加 (推奨の主要要素)
- スマホに App Store / Play Store から Microsoft Authenticator をインストール。
account.microsoft.comのセキュリティページで 新しいサインインまたは確認の方法を追加 →アプリを使用 をクリック。- Microsoft Authenticator を使いたくない場合は 別の Authenticator アプリをセットアップ をクリック、または QR コードの流れに従う。
- Authenticator で QR コードをスキャンし、アプリに表示される 6 桁の確認コードを入力。
- 最後に表示される回復コードを保存 — 一度しか表示されません。
注記 (2025 年の変更): Microsoft Authenticator は 2025 年にパスワードマネージャーとしての動作を停止しました。自動入力は 2025 年 7〜8 月ごろに廃止され、保存済みパスワードは Microsoft Edge へ移動しました。これは 2FA には 影響しません。Authenticator は引き続き TOTP コードを生成し、プッシュ承認を処理し、パスキーを保存します。ここでは純粋に認証アプリとして使うため、その機能は変わりません。
ステップ 3 — 2 段階認証を有効化
- セキュリティページに戻り、2 段階認証 までスクロールして オン をクリック。
- Authenticator のコードで確認。
- これ以降、信頼されていない端末からのログインごとに第 2 要素が求められます。
ステップ 4 — バックアップ要素を追加
| バックアップ手段 | 推奨? | 理由 |
|---|---|---|
| FIDO2 セキュリティキー | はい | 最強のバックアップ。オフラインで動作 |
| 代替メールへのメール OTP | はい | 安価・簡単・どの端末でも動作 |
| 自分の実在の携帯への SMS OTP | はい (ただし仮想番号は不可) | 最後の手段のフォールバック |
| 仮想番号への SMS OTP | いいえ | 一時番号の利用が終了し、復旧できない |
| TOTP アプリ (Google Authenticator) | はい | Microsoft Authenticator から独立 |
ステップ 5 — パスキーをバインド (2026 年のベストプラクティス)
- 新しいサインインまたは確認の方法を追加 →パスキーを使用 をクリック。
- OS のプロンプトに従う: Windows 11 の Windows Hello、iPhone の Face ID、Android の指紋、またはハードウェアキー。
- パスキーはその端末でパスワードを完全に置き換えます。サインインは「端末そのもの = 持っているもの」と「生体認証 / PIN = あなた自身 / 知っているもの」を 1 つのフィッシング耐性のある資格情報に統合します。
職場または学校 (Entra ID):管理者の視点
Entra ID では、要素を選ぶのはユーザーではなく管理者です。2026 年の IT 管理者は通常、次を構成します。
認証方法ポリシー
Entra 管理センター →認証方法 →ポリシー で、次を有効化します。
- Microsoft Authenticator (番号一致 + GPS 位置 + アプリ名表示)
- FIDO2 セキュリティキー
- パスキー
- 任意: Windows Hello、OATH ハードウェアトークン
- 無効化または「セカンダリのみ」に設定: SMS、音声、メール
条件付きアクセスポリシー
2026 年の一般的なベースラインポリシー:
- 全ユーザーに MFA を要求 — すべてのサインインで第 2 要素。
- レガシー認証をブロック — IMAP/POP3 の基本認証バイパスを排除。
- 準拠デバイスを要求 — サインイン前に Intune のデバイス準拠を強制。
- サインインリスクベースの MFA — Identity Protection が不可能な移動や見慣れないサインインをフラグし、ステップアップ MFA へ。
- 管理者にフィッシング耐性 MFA を要求 — グローバル管理者ロールはパスキーまたは FIDO2 のみ。
セルフサービスパスワードリセット (SSPR)
管理者は、ユーザーが自分でパスワードをリセットする際に使える要素を設定します。通常は:
- Authenticator + メール + セキュリティの質問 (レガシー)
- または Authenticator + メール + 電話 (電話はユーザーの実在の携帯で、管理者がプロビジョニングするか、オンボーディング時にユーザーが登録)
SMS-Act の仮想番号は Entra ID アカウントの SSPR 電話として 登録できません。電話欄が形式を受け付けても、一時番号の利用は終了し、後でユーザーが復旧を必要としたときに SSPR の流れが失敗します。
よくある問題と解決
| 症状 | 原因 | 対処 |
|---|---|---|
| 正しく入力したのに Authenticator コードが「正しくない」 | 端末の時刻ずれ | スマホ → 設定 → 日付と時刻 → 自動設定にする |
| プッシュ通知が届かなくなった | アプリのバックグラウンドデータが停止 | Authenticator のバックグラウンド動作を許可 + バッテリー例外 |
| MSA で「アカウントを確認できませんでした」のループ | 新しい端末 + 信頼できる復旧手段なし | 印刷した回復コードを使うか、30 日のアカウント復旧フォームを起動 |
| 実在の米国番号に SMS コードが届かない | Microsoft ショートコードへのキャリアフィルタ | Authenticator に切替。不可なら音声 OTP を要求 |
| Authenticator とスマホを紛失 | 信頼できる端末から再登録 | FIDO2 キーまたは回復コードを使用。なければ復旧フォーム (3〜30 日) |
| 5 回の誤コードで Entra ID アカウントがロック | スマートロックアウト (既定 10 分のクールダウン) | 10 分待つかテナント管理者に連絡 |
Microsoft 2FA スタックでの SMS-Act の位置づけ
当てはまるのはただ 1 か所、初回の MSA サインアップ電話認証です。
| シナリオ | SMS-Act 適用? |
|---|---|
| 新規の Outlook.com / Xbox MSA をゼロから作成 | 可 |
| Xbox 子ども用アカウントの年齢ゲートを確認 | 不可 — 年齢確認に支払い方法が必要 |
| 既存 MSA に SMS を 2FA 要素として追加 | 不可 — 一時番号は利用終了後に使えない |
| Entra ID の主要 2FA として SMS を追加 | 不可 — 管理者がプロビジョニングのみ |
| セルフサービスパスワードリセット (SSPR) の電話 | 不可 — 永続的な番号が必要 |
| 重要アカウントの復旧要素 | 不可 — Authenticator + FIDO2 + 回復コードを使用 |
要点は「仮想番号 = 使い捨てのサインアップ補助」であって、長く維持する 2FA 要素ではないことです。MSA を作成したら、ただちに Authenticator とパスキーを設定してください。SMS は頼れないフォールバックになります。
Microsoft アカウント向け 2026 年ベストプラクティス 2FA 構成
| 役割 | 推奨する主要要素 | 推奨する副次要素 | 復旧 |
|---|---|---|---|
| 個人 MSA、一般ユーザー | Authenticator | メール OTP | 印刷して保管した回復コード |
| 個人 MSA、上級ユーザー | パスキー (Hello / Face ID) | Authenticator | FIDO2 キー + 回復コード |
| 個人 MSA、ジャーナリストや脅威モデル意識の高い人 | パスキー | YubiKey | 金庫に 2 本目の YubiKey |
| 職場・学校 標準ユーザー | Authenticator (番号一致) | OATH トークン | Authenticator + 副次メールによる SSPR |
| 職場・学校 グローバル管理者 | FIDO2 / パスキー | 2 本目の FIDO2 | 別テナントの緊急用管理者アカウント |
SMS-Act で対応できないこと
- MSA に電話を 2FA 要素として追加 — 15 分の一時番号ではなく、自分の実在の携帯を使用。
- Entra ID の電話プロビジョニング — 管理者が制御。
- ロックアウトされたアカウントの復旧 — 30 日の Microsoft 復旧フォームは本人確認情報を要求し、SMS ではありません。
- 条件付きアクセスの回避 — テナントが強制するポリシーは回避できません。
- Xbox の保護者承認 / 年齢ゲート — 保護者が所有する支払い方法が必要。
関連リソース
ご利用に関する注意事項
本サービスは、開発テスト、業務検証、および国際的な利用シーンにおいて、適切かつ合理的な範囲でのサポートを目的としています。
利用者は、各国の法令および関連サービスの利用規約を遵守した上でご利用ください。本サービスは、利用者の具体的な利用方法や行為には関与せず、これらを管理するものではありません。
不適切または異常な利用が確認された場合、利用規約に基づきアカウント制限等の措置が講じられる場合があります。
利用者は18歳以上であり、利用に伴う結果については自己責任であることを理解するものとします。本内容に同意いただけない場合は、サービスの利用をお控えください。