LoginSignup
4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

セキュリティ Qiita Tech Festa 2025
Qiita Tech Festa20252025年7月15日まで開催中!
@carol0226(Shuji Noguchi)inNTTデータ先端技術

テナントを指定したセキュリティ情報の付け替え

Last updated at Posted at 2025-06-17

はじめに

組織アカウント (Microsoft Entra ID)や、Microsoft アカウント (MSA) で 外部のテナント へゲスト参加する場合があると思います。
このとき、この 外部のテナント で 多要素認証が必須 となるポリシーが構成されていた場合は、セキュリティ情報(MFA で使用するデバイス)を登録する必要があります。

いまどき、多要素認証が必須 となっているテナントは、あたりまえのように存在しますよね。

以下の Support Blog の記事を参考に 機種変更時の手順は分かりますが、この手順を ゲスト参加している 各テナントで行う必要がある・・・というのが 私の記事で紹介している内容になります。

Support Blog

課題
このとき テナントに登録する MFA で使用するデバイス は、各テナントごとに 別々の管理になっている点がやっかいです。

ポイント
Microsoft Authenticator や FIDO2 セキュリティキー について、スマホの機種変更や キーの交換 などを行った際は、自テナントだけでなく、各テナントごとに 付け替えを行う必要があります。

問題点
もし、テナントごとの 付け替え を忘れて 機種変更をおこない、旧スマホを返却や破棄してしまった場合は、他テナントの管理者に連絡して、リセットしていただく必要が発生します。他テナントの管理者は、直接の繋がりがないことが多く、調整に手間取りが発生することが多いと思います。

得意先のお客様と、直接連絡は取り合えますが、その会社の 情報システム担当者 と言われても、誰なのかさえ分からないですよね。機種変更しただけなのに、この得意先のお客様へ連絡して、自分のゲストアカウントの MFA をリセットしてほしい・・・と依頼する必要が出てしまうので、これは 避けたいところです。

そのようなことになる前に、どうやって 他テナントの セキュリティ情報 の画面に入って、付け替え作業を行えば良いのかを纏めてみました。

  • 組織アカウントの場合
    こちらは、まあ 簡単です。テナント毎に作業をする必要さえ理解していれば、直感的に操作できます。
     
  • Microsoft アカウントの場合
    こちらは、難易度が高いです。
    そもそも、テナントを指定したサインインの方法が難解ですし、個人ユーザーの場合テナントの概念を把握しきれていない場合も多いと思います。2度と入れなくなり、他組織の管理者にもコンタクトが取れずに、放置状態になってしまう可能性があります。

組織アカウントの場合

1.以下の URL に 組織アカウント を使ってサインインします。

URL(どちらも一緒です)
https://aka.ms/mfasetup
https://mysignins.microsoft.com/security-info

注意
上記の 組織アカウント用の URL に Microsoft アカウント (MSA) でサインインしようとしても、以下のエラーが出て入れません。
MSA の場合は、次章を参照してください。
image.png

2.組織アカウントでサインインした状態で、右上のウィンドウで 組織の切り替え を押します。
image.png

3.以下のウィンドウが開きます。
ここで、以下の内容を確認できます。

  • 緑色 = 現在 サインインしているテナント を示しています
  • 水色 = ゲスト参加しているテナント(この箇所を選択することで、テナントの切り替え ができます)
  • 赤色 = 組織の管理 を押すと、左ペインの 組織 を選択したときと同じ画面へ遷移します

セキュリティ情報
テナントを他組織に切り替えた場合は、以下の通り この組織のゲストです という表示になります。
右上の 組織の切り替え にて、現在選択されている テナント を確認できます。
image.png

この状態で セキュリティ情報 の一覧に表示されている MFA のデバイス を 追加・変更・削除 を行うことで、このテナントへの認証に使うデバイスを制御できます。

ポイント
参加している すべての 他テナント へ 順に 切り替えながら、MFA で使用するデバイスを 追加・変更・削除 しましょう。

おまけ
左ペインの 組織 を使うと、参加している組織から 脱退 をすることができます。
以下の図の場合は、avdadmin@carol226.com というユーザーが nogushunifty というテナントにゲスト参加しているため、脱退 を押すことで nogushunifty から離脱できます。
image.png

以下の記事も参考にしてみてください。
Support Blog

Microsoft アカウント (MSA) の場合

1.Microsoft アカウント (MSA) の場合は、組織アカウント用の URL へアクセスしても、サインインができません。以下の URL を使います。

URL
https://account.microsoft.com/security?lang=ja-JP

2.サインインをすると、以下の画面が表示されます。
image.png

3.サインイン方法の管理 を押すことで、以下の画面に遷移して、MFA で使用するデバイスの付け替えを実施できます。
image.png

課題
上記の画面で付け替えできるのは、Microsoft アカウント 自体 でサインインをする際の MFA で使用するデバイスの付け替えのみです。他組織のテナントに登録した MFA デバイスの制御はできません。

さらに、次章の手順を使って、各テナントにゲスト参加したアカウントの MFA で使用するデバイスの付け替えを行ってください

Microsoft アカウント (MSA) で 組織のテナントへサインインする方法(その1)

URL の 後ろに テナントのドメイン名を付加して サインインする必要があります。
そのため、以下の手順を実施します。

  1. テキストエディタを使って、以下の 書式 を基にして、URL を作成してください。
    (書式)
     https://myaccount.microsoft.com?tenantId={{テナントのドメイン名}}
    (値を読み替える)
     {{テナントのドメイン名}} = carol226.com
    (作成した URL) ※このような感じに書き換えます
     https://myaccount.microsoft.com?tenantId=carol226.com
     
  2. Edge の InPrivateモード を開きます。(Chrome の場合は、シークレットモード)
     
  3. 作成した URL を ブラウザ に貼り付けます。サインイン画面が表示されるため、Microsoft アカウント (MSA) でサインインします。
     
  4. 認証に成功すれば、以下の画面が開き、組織テナント内の MFA で使用するデバイスの管理ができます。
    右上の 組織の切り替え を開けば、現在 サインインしているテナント名を確認できます。
    image.png

注意点
Microsoft アカウント (MSA) の場合は、上記の画面の 所属しているほかの組織 に ゲスト参加しているテナントは表示されません。

以下の画面で、左ペインの 組織 を開いて、共同作業を行う他の組織 に表示されているものが ゲスト参加しているテナントです。それぞれにサインインして、対応をおこなってください。

image.png

Microsoft アカウント (MSA) で 組織のテナントへサインインする方法(その2)

「その1」がうまく動作しない場合は、「その2」 の方法を試してみてください。
特殊な URL を使って、テナント ID を直接指定して サインインする必要があります。
そのため、以下の 3 ステップの手順を必要とします。
① テナント ID を調べる
② メールアドレス と テナント を指定して サインインする
③ セキュリティ情報の付け替え

① テナント ID を調べる

  1. 以下の URL へアクセスします
    https://gettenantpartitionweb.azurewebsites.net/
     
  2. 以下のような画面が表示されるため Worldwide の欄に、テナントのドメイン名を入力し Lookup Tenane ボタンを押します。
    image.png
     
  3. すると、下段に Tenant ID が表示されます。
    image.png

② メールアドレス と テナント を指定して サインインする

  1. テキストエディタを使って、以下の 書式 を基にして、URL を作成してください。
    (書式)
     https://myaccount.microsoft.com?login_hint={{mail-address}}&tid={{tenant-id}}
    (値を読み替える)
     {{mail-address}} = サインインに使うアカウント名(例:nogushu@outlook.jp)
     {{tenant-id}} = 前章で取得した Tenant ID(例:010d28ee-a341-4877-8999-9a7c57c3dc65)
    (作成した URL) ※このような感じに書き換えます
     https://myaccount.microsoft.com?login_hint=nogushu@outlook.jp&tid=010d28ee-a341-4877-8999-9a7c57c3dc65
     
  2. Edge の InPrivateモード を開きます。(Chrome の場合は、シークレットモード)
     
  3. 作成した URL を ブラウザ に貼り付けます。サインイン画面が表示されるため、Microsoft アカウント (MSA) でサインインします。

③ セキュリティ情報の付け替え

認証に成功すれば、以下の画面が開き、組織テナント内の MFA で使用するデバイスの管理ができます。

右上の 組織の切り替え を開けば、現在 サインインしているテナント名を確認できます。
image.png

参考

Microsoft アカウントのやり方は、以下の3つの記事を参考にさせていただきつつ、なんとか編み出せました。ありがとうございました。

4
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?