コンテンツ
この記事の背景
以前、Microsoft アカウント[個人用] と Microsoft 365 / Office 365 アカウント [職場または学校] の違いの話を書きました。この話を書いたところ、知人から大変困った出来事に直面した話を聞きましたので、ご紹介します。
この記事で伝えたいこと
- スマートフォンは、故障することがある
- スマートフォン故障に備えて、予め「認証アプリ」以外の認証方法を、必ず設定しておくこと(例えば、電話による認証、メールによる認証や、SMSによる認証など)
- Microsoft 365 / Office 365 アカウント [職場または学校] で、2 段階認証を設定する際は、「Microsoft Authenticator」の他に、電話による認証やメールによる認証といった、別の認証手段を必ず登録しておくこと
- サインインは出来たとしても、その後の重要な変更ができなくなる
- Authenticator でサインインしようとする目的で、Authenticator アプリをインストールし直してアカウント情報を設定しようとすると、そこで Authenticator での認証を求められる、という堂々巡りが始まる
補足の説明
- 2段階認証
- 利用している各種サービスに不正にログインされることを防ぐ目的で、認証を多段で行う「多段階認証」という方式がとられますが、その段階が 2つになっているものを 2段階認証といいます
- 多くの場合、複数の認証要素(記憶情報、所持情報、生体情報のうち2つ以上)を組み合わせて行う「多要素認証」が用いられていて、ID・パスワードは記憶情報に相当します
- Microsoft Authenticator
- Microsoft Authenticator は、Microsoft が提供しているスマートフォン認証アプリのことです
- このアプリを使うことで、先程の認証要素のうち「所持情報」を認証します
- この認証アプリに数値が表示されてそれをタップしたり、表示された数値をブラウザに入力・送信したりするわけですが、これは持ち主が手元にスマートフォンを持っているから成り立つ方法です(所持情報の認証)
- 他にも、Google 認証システム (Google Authenticator)、Authy などで使われていますし、金融機関やクレジットカード会社での取引時にワンタイムパスワード(トークン)用アプリを使用する例があるので、何となく馴染みが有るのではないかと思います
- (参考情報)
不正ログイン対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
3.「多要素認証」の設定について
直す方法を考える
まずは状況を聴きとって、画面上で確認をすることにしました。その上で、対処方法を考えることにしました。
状況の聞き取り
知人が困っていたことを聴いたところ、どうやらこういう状況であることが分かりました。
- Microsoft アカウントを作成した
- 作成した時に、個人なのか職場または学校なのかきかれたが、良く分からないので両方登録した気がする
- サインインして 2段階認証が必要だと思い、Microsoft Authenticator での認証を追加した
- この時、他の認証手段で、電話とかメールとかがあるみたいだった、よくわからないままこれらを消したような気がする?そもそも登録したような気がしない?
- この結果、認証手段は、Microsoft Authenticator のみになったのではないかと思う
- Microsoft Authenticator は、個人のスマートフォンにインストールしていた
- これまでは、スマートフォンに通知が来ていたので、それで対応できていた気がする
- スマートフォンがこの間、故障したので、新しいスマートフォンに機種変更した
- 機種変更後に、困ったことが起きた
- 機種変更後に Microsoft Authenticator はインストールされたが、登録したはずのアカウント情報が消えていた
- PC のブラウザを使ってアクセスして、Microsoft Authenticator にアカウント情報を追加しようとしたが、その操作をするために Microsoft Authenticator の認証を求められてしまう
- 別の方法でサインインしようとしても、Microsoft Authenticator の他には「確認コードを使用する」しかなくて、確認コード?も使用できない
- ネットで検索すると、「別の方法でサインイン」を選ぶと電話番号での認証やメールアドレスでの認証の方法が有るらしいのだが、それらが全く表示されない
PC での操作と確認
知人は、同じメールアドレスで、Microsoft アカウント[個人用] と Microsoft 365 / Office 365 アカウント [職場または学校] をそれぞれ登録していました(登録の重複)。また、2段階認証を設定していたのは、 Microsoft 365 / Office 365 アカウント [職場または学校] でした。
ここで、試しに myaccount.microsoft.com へとアクセスしたところ、このアカウントの ID・パスワード情報を Web ブラウザが覚えていたため、サインインはできました。
※ 2段階認証の設定を行う場合は、ここで「セキュリティ情報」へアクセスします。認証方法を追加する場合は、この「セキュリティ情報」の画面で「方法の追加」を行なうのが通例です。「方法の追加」で、電話での認証やメールによる認証などが追加できるからです。
2 段階認証の方法と設定を変更するさて、知人の環境で「セキュリティ情報」を押したところ 読み込み中… と表示されて画面が遷移してしまい、「モバイルデバイスの Microsoft Authenticator アプリに表示されているコードを入力してください」と表示されました。
この時点で、スマートフォンに Microsoft Authenticator のアカウント情報が登録できていないので、表示されているコードが分かりません。「別の方法でサインインする」をクリックしたところ、画面は「ID を確認する」に移行しました。
しかし、知人の環境の場合、ここで選択できる認証方法が「Microsoft Authenticator アプリで要求を承認する」と「確認コードを使用する」の 2つしかありません。「確認コードを使用する」は先程やった内容ですので、「Microsoft Authenticator アプリで要求を承認する」を押すと、Microsoft Authenticator サインイン要求を承認 が表示されました。
通常、ここでスマートフォンの Microsoft Authenticator アプリに PC 画面に表示されているものと同じ 2ケタの数字が表示されて、それをタップするとよいです。繰り返しになりますが、知人の環境では スマートフォンに Microsoft Authenticator のアカウント情報が登録できていないので、その操作ができません。「Microsoft Authenticator アプリを現在使用できません」を押さざるを得ません。
すると、また「ID を確認する」画面に戻ってしまいます。ID を確認する手段が「Microsoft Authenticator アプリで要求を承認する」と「確認コードを使用する」の 2つだけ、という状況です。これでは先程と同じ状況で、これ以上前に進むことができません。
そこで、今度はスマートフォンの Microsoft Authenticator アプリに、アカウント情報を登録することにしました。
スマートフォンアプリの操作と確認
Microsoft Authenticator アプリにアカウント情報を登録できれば、前述の問題は解決するはずです。そこで、アカウント情報を登録することにしました。先に結果を言うと、PC での操作と確認 と同じ画面で詰まってしまい、アカウント情報を登録できませんでした(解決しませんでした)。
初めに、とても大事なことですが、職場または学校のアカウントの認証を行う認証アプリを、個人のスマートフォンに入れない方がいいと思うのです(学生の皆さんの場合は、個人スマートフォンにならざるを得ないです)。仕事で使うアカウントならば、仕事で貸与されているスマートフォンに、情報システム部門の許可を得て認証アプリを入れて、そこでアカウントの管理をするのが望ましいです。
Microsoft Authenticator アプリを開いて、右上の + を押し、アカウントを追加しました。今回の場合は、アカウントの種類は「職場または学校アカウント」、追加の方法は「サインイン」でした(QRコードスキャンは、やりようがありません…)。
次に表示された画面は、「IDを確認する」画面でした…。これは、PC で Webブラウザ上で見ていたものと全く同じでは…と思ったのですが、まさにその通りでした。ここで表示されている 2つの確認手段のいずれを選んでも、コードを確認することができないので、手詰まりになります。
これは、「Microsoft Authenticator アプリに既存のアカウント情報を登録するために、Microsoft Authenticator アプリのサインイン要求を行なう または 確認コードを使用する必要があるけれど、その為には Microsoft Authenticator アプリに既存アカウント情報を登録しなければならない」という、どうにもならない堂々巡り、循環が起こってしまっています。これがまさに知人が困っていたことなのでした。
残念ながら、私にはこれを解決することはできませんでした。テナントによって作成された 職場または学校アカウント ならば、テナントの管理者から該当アカウントについての操作ができますが、今回の場合、自分自身で職場または学校アカウントとして登録してしまっている(本人がその認識が薄かった)ので、自分自身の管理ができなくなっている状況です…。
どなたか、解決方法をご存じのかたがいらっしゃれば、情報をいただけると幸いです。
(2023/10/09追記)
この件について、Japan Azure Identity Support Blog で「スマホを替える時は、Microsoft Authenticator の移行を忘れないでください!」という記事が掲載されていることを、SNS で知り合った方からご連絡をいただきました。
今回の内容は、記事内の「回避策 3 (最終手段) : マイクロソフトに MFA の一時解除を依頼」に相当する内容だと思います。知人にその旨連絡しました。
スマホを替える時は、Microsoft Authenticator の移行を忘れないでください!皆様にお伝えしたいこと
今回の経験から、皆様にお伝えしたいことは、以下の内容です。
- スマートフォンは、故障することがある
- スマートフォン故障に備えて、予め「認証アプリ」以外の認証方法を、必ず設定しておくこと(例えば、電話による認証、メールによる認証や、SMSによる認証など)をお勧めします
- 回復手段が複数あれば、そのいずれかで解決に導けます
- スマートフォン故障の場合は、電話による認証が一時的に使えなくなりますが、メールによる認証は出来るので、アカウント情報へのアクセスが出来ます
- Microsoft 365 / Office 365 アカウント [職場または学校] での、2 段階認証設定の注意点
- 設定する際は、「Microsoft Authenticator」の他に、電話による認証やメールによる認証といった、別の認証手段を必ず登録しておくようにしてください
- 今回の事例でご説明した通り、サインインは出来たとしても、その後の重要な変更ができなくなりますし、その復旧方法が私には分かりません…申し訳ありません
- Authenticator でサインインしようとする目的で、Authenticator アプリをインストールし直してアカウント情報を設定しようとすると、そこで Authenticator での認証を求められる、という堂々巡りが始まり、ここから脱することができません
- どなたか、回復方法をご存じのかたがいらっしゃったら、情報をお寄せください。
(参考)試したこと
参考情報として、以下の内容を試したことを記録しておきます。
- Microsoft サポート「忘れてしまった Microsoft アカウントのパスワードをリセットする」の参照
- このページに書かれているのは、個人の Microsoft アカウントのパスワードリセット方法でした
- 下にある サインインヘルパーツール を使用します をクリックして、アクセスしました
- Microsoft Account Sign-in Helper の参照
- Microsoft サポートへの問い合わせで、Help me sign in to my Microsoft account と検索した結果が表示されました
- ここには、” Note: If you need help with your work or school account password, click here. “と書かれていましたので、クリックしてみました
- クリックしたところ「アカウントを回復する」画面が表示され、職場または学校アカウントの入力から始まってパスワードリセットをすることができましたが、これはあくまでもパスワードリセットで、2段階認証の方法を追加したり変更したりすることはできませんでした
- Microsoft Account Sign-in Helper 下部の「その他のヘルプ」を参照
- 何か参考になるものは無いかと調べたのですが、これらは参考にはなりませんでした。
- 一つ、「Microsoft アカウントの問題 (助けてください)」とあったので、何かと思ってみたところ、2023年8月19日の投稿で、「昨日、ウイルスのようなものをインストールしてしまい、ハッカーを自分自身のPCに侵入させてしまい、ハッカーが PC の管理者になった。Microsoft アカウントにログインしようとした時にパニックになって、工場出荷時の状態にリセットされて PC の全てのデータが失われた。接続していた Minecraft アカウントにもアクセスできなくなった」といった趣旨の投稿がされていました。ああ、切ない…。
以上です。