M365管理画面から MFA(多要素認証)を変更しようとして小一時間悩むことがあったので、AzureAD管理センターから変更する方法を紹介します。(ほぼ自分への備忘)
管理用のユーザーIDが存在し、人事異動によってIDを引き継いだとします。そのIDでサインインしようとしたら前任者の電話番号が二要素認証として設定されていました。しかしながら、前任者がすぐには捕まらない…という状況に陥りました。前任者を何とか捕まえて2要素認証を設定変更すればいいのですが、急いでいるので今すぐ何とかしたい、という状況です。
色々試行錯誤したのですが、結論を先に書くとAzureADの管理センターから修正するのが正解です。(後述しますがM365からは出来ないようです。)Azure ADの管理センターからユーザーを選択。なお、ドメインが複数ある場合は事前に対象のドメインを選択しておきます。
対象のユーザーIDを選択し、認証方法タブをクリックして選択します。
すると、ここに電話番号が表示されます。以下の画像は電話番号を一部隠していますが、実際には全桁見えています。
電話番号を自分の電話番号に修正して保存。これで設定変更完了です。
この後、対象のユーザーIDで入りなおすと変更後の電話番号宛に通知が飛びます。
ちなみに、ここに行きつくまでにどうハマったかを書いておきます。
多要素認証をいったん解除してMFAの設定を修整しようと試みました。まずM365管理センターのユーザー一覧から多要素認証の設定画面を開き、対象のユーザーのMFAを無効にしました。
その後、対象のユーザーでサインインしてMFAの設定を変更しようとしました。(自分の電話番号を追加すればよいと考えました。)MFAを無効にしておいたのでサインインはできました。
アカウントの設定画面に行きます。ここまではOKです。MFAの設定を変更するため、セキュリティー情報タブをクリックします。
すると、一瞬このような画面がでて設定変更できそうに思うのですが、、
ここでMFAを無効化したにも関わらず、認証が走ってしまいました。。その後、いろいろと試しましたが、セキュリティー関係の画面に進もうとするとこの画面が出てきてしまい、M365管理画面からは無理だと結論をだしました。(どなたが、M365から変更できる方法をご存じの方がいたら教えてください。)
ちなみに、電話番号でなくAuthenticatorを使っている場合は「MFAセッションを取り消す」をクリックし、「MFAの再登録が必要」を実行すれば前任者のAuthenticatorに飛ばないようになるはずです。
試行錯誤の過程でいろいろとWebで公開されている情報を検索したのですが、この状況への対処が載っていなくてしばらく彷徨いました。同じ状況に陥った方の何かの役に立てば幸いです。
(2021/02/07追記)
twitterで日本マイクロソフトのサポート情報のブログを紹介頂きました。リンクを載せておきます。併せてご参考にしてください。(自分はまだ読んでないですが。)
MFA 認証方法を、変更 / 再登録 / 追加 したい! | Japan Azure Identity Support Blog (jpazureid.github.io)