MFA(多要素認証)が不正アクセスの99.9%をブロックできる最強のセキュリティ対策であることは理解した。しかし「具体的にどの画面でどう設定すればいいのか」が分からず、導入に踏み切れないIT管理者は多い。
本記事は、Microsoft 365とGoogle Workspaceそれぞれの 管理者向け設定手順 を、操作フローに沿って解説する実践マニュアルだ。この手順に沿えば、1〜2時間で全社へのMFA展開設定が完了する。
事前準備(共通)
MFA導入の前に、以下を確認・準備する。
横にスクロールして確認できます
| 準備項目 | 内容 | 所要時間 |
|---|---|---|
| 管理者アカウントの確認 | 全体管理者(グローバル管理者)権限が必要 | 5分 |
| 緊急時の復旧手段 | 管理者自身がMFAでロックアウトされた場合のバックアップ手段を確保 | 10分 |
| 社員への事前通知 | 「○月○日からMFAが必須になります」と1〜2週間前に通知 | 30分 |
| Authenticatorアプリの事前インストール依頼 | Microsoft Authenticator or Google Authenticatorを全社員にインストールさせる | — |
| スマホ非所持者の対応方針 | ハードウェアキー購入 or 代替手段の決定 | 15分 |
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
Microsoft 365のMFA設定手順
方法A:セキュリティの既定値群(最も簡単・推奨)
この方法は、全ユーザーにMFAを一括強制する最もシンプルな方法 だ。
手順:
-
Microsoft Entra管理センターにアクセス
- entra.microsoft.com にグローバル管理者でサインイン
-
セキュリティの既定値群を有効化
- 左メニュー → ID → 概要 → プロパティ → 「セキュリティの既定値群の管理」
- 「セキュリティの既定値群」を 「有効」 に切り替え
- 「保存」をクリック
-
有効化後の動作
- 全ユーザーが次回サインイン時にMFA登録を求められる
- 14日間の猶予期間あり(この間はMFA登録をスキップ可能)
- 14日経過後はMFA登録が必須
注意点:条件付きアクセスポリシーが既に設定されている場合、セキュリティの既定値群は有効化できない。その場合は方法Bを使用する。
方法B:条件付きアクセスポリシー(柔軟な制御)
特定の条件でのみMFAを要求したい場合に使用する。
手順:
-
Microsoft Entra管理センター → 保護 → 条件付きアクセス → ポリシー → 新しいポリシー
-
ポリシーの設定
横にスクロールして確認できます
| 設定項目 | 推奨設定 |
|---|---|
| ポリシー名 | 「全ユーザーMFA必須」 |
| ユーザー | すべてのユーザー(緊急用アカウントは除外) |
| クラウドアプリ | すべてのクラウドアプリ |
| 条件 | なし(全条件でMFA適用) |
| 許可 | 「アクセス権の付与」→ 「多要素認証を要求する」にチェック |
| ポリシーの有効化 | 「レポート専用」で先にテスト → 問題なければ「オン」 |
- ブレークグラスアカウント(緊急用)の除外
- MFAから除外する緊急用管理者アカウントを1つ作成
- 極めて長く複雑なパスワードを設定し、金庫等に保管
- このアカウントは通常業務では使用しない
ユーザー側の初回セットアップ手順
管理者がMFAを有効化した後、各ユーザーが初回サインイン時に行う手順を以下にまとめる。社内マニュアルとして配布できる。
- Microsoft 365にサインイン(通常のID/パスワード)
- 「詳細情報が必要」画面が表示される → 「次へ」
- Microsoft Authenticatorアプリを開く
- アプリで「+」→「職場または学校アカウント」→「QRコードをスキャン」
- 画面に表示されたQRコードをスキャン
- テスト通知が届くので「承認」をタップ
- 設定完了
Google WorkspaceのMFA設定手順
ステップ1:組織全体で2段階認証を許可する
- admin.google.com にログイン
- セキュリティ → 認証 → 2段階認証プロセス
- 「ユーザーが2段階認証プロセスを有効にできるようにする」を オン
- 保存
ステップ2:2段階認証を必須にする
- 同じ画面で「適用」セクションに移動
- 「適用」を選択(「今すぐ適用」or 「指定日から適用」)
- 新規ユーザー登録猶予期間を設定(推奨:7日間)
- 許可する方法を選択:
- 「任意」(推奨:まずは緩めに開始)
- 「セキュリティキーのみ」(高セキュリティ要件の場合)
ステップ3:管理者アカウントの保護
横にスクロールして確認できます
| 設定 | 内容 |
|---|---|
| 特権管理者のMFA | 最優先で有効化(他のユーザーより先に) |
| バックアップコード | 管理者アカウント用のバックアップコードを生成し安全に保管 |
| 復旧用電話番号 | 管理者アカウントに復旧用電話番号を登録 |
ユーザー側の初回セットアップ手順(補足2)
- myaccount.google.com にログイン
- 「セキュリティ」→「2段階認証プロセス」→「使ってみる」
- パスワードを再入力
- Google Authenticatorアプリで「+」→「QRコードをスキャン」
- 画面のQRコードをスキャン
- 表示された6桁のコードをPC画面に入力
- 「バックアップコード」を印刷またはダウンロードして安全に保管
- 設定完了
展開計画テンプレート
横にスクロールして確認できます
| フェーズ | 期間 | 対象 | 内容 |
|---|---|---|---|
| Phase 1 | 1日目 | IT管理者 | 管理者アカウントのMFA設定+検証 |
| Phase 2 | 2〜3日目 | IT部門全員 | IT部門内でテスト展開 |
| Phase 3 | 4〜7日目 | 全社通知 | 社内メール送信+マニュアル配布 |
| Phase 4 | 8〜14日目 | 全社員 | MFA設定の猶予期間(サポート窓口を設置) |
| Phase 5 | 15日目〜 | 全社員 | MFA必須化+未設定者のフォロー |
トラブルシューティング
横にスクロールして確認できます
| トラブル | 原因 | 対処法 |
|---|---|---|
| QRコードがスキャンできない | カメラの権限が未許可 | スマホの設定 → アプリ → Authenticator → カメラ権限を許可 |
| 認証コードが「無効」と表示される | スマホの時刻がずれている | スマホの設定 → 日付と時刻 → 自動設定をオン |
| スマホを機種変更した | 旧端末のAuthenticatorが使えない | バックアップコードで一時ログイン → 新端末で再登録 |
| 管理者がロックアウトされた | MFA端末の紛失・故障 | ブレークグラスアカウントでログイン → 管理者のMFAをリセット |
| 一部のユーザーだけMFAを免除したい | 業務上の理由 | 条件付きアクセスポリシーで特定ユーザーを除外(セキュリティリスクを認識した上で) |
まとめ
横にスクロールして確認できます
| 項目 | Microsoft 365 | Google Workspace |
|---|---|---|
| 最も簡単な方法 | セキュリティの既定値群 | 2段階認証の「適用」 |
| 管理者の設定時間 | 30分〜1時間 | 30分〜1時間 |
| ユーザーの設定時間 | 5分/人 | 5分/人 |
| 推奨認証方法 | Microsoft Authenticator | Google Authenticator |
| 全社展開期間 | 2週間 | 2週間 |
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
横にスクロールして確認できます
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
横にスクロールして確認できます
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- 必須要件、将来要件、今回はやらない要件を分けたか
- 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
MFA設定マニュアル|Microsoft 365/Google Workspace管理者向け図解ガイドを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
- MFA導入ガイド(概念・効果・ツール比較)——MFAの基本を理解
- Microsoft 365セキュリティ設定ガイド——MFA以外のM365セキュリティ設定
- ゼロトラストセキュリティ導入ガイド——MFAの次のステップ
- パスワードマネージャー導入ガイド——パスワード管理の改善
- GXOの導入事例一覧——セキュリティ導入の支援実績
MFA設定・セキュリティ設定の代行サービス
「設定手順は分かったが、自分で設定するのは不安」「全社展開のサポートが欲しい」という管理者の方へ。GXOではMFAの設定代行から全社展開計画、社内マニュアル作成まで対応しています。 MFA設定サポートを申し込む ※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
実務判断のポイント
この記事は、経営者、DX責任者、情シス、業務責任者向けです。現状棚卸し、業務改善、AI/DXロードマップ、実装優先順位を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。MFA設定マニュアル|Microsoft 365/Google Workspace管理者向け図解ガイドに関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの見解
DXは流行ツールの導入ではなく、現場業務、データ、権限、KPI、投資判断をつなぐ実装計画である。
GXOは最初から大規模刷新するより、棚卸し、優先順位付け、小さな実装、効果測定を繰り返すべきだと見る。
GXOは、DX成熟度診断、業務棚卸し、ロードマップ、AI/システム実装まで支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、DX診断、要件定義、システム開発、AI活用支援へ接続。さらに、短期診断から段階実装に進め、継続支援へ展開。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
FAQ
まず何から確認すべきですか?
最初に確認すべきなのは、対象業務、対象データ、責任者、判断期限です。情報収集だけで終えると、導入可否や対応優先順位を決められません。
社内だけで進めるべきですか?
既存業務の棚卸しは社内で進められます。ただし、要件定義、セキュリティ、費用対効果、ベンダー比較が絡む場合は、外部視点を入れた方が手戻りを抑えやすくなります。
GXOにはどの段階で相談できますか?
構想段階、予算化前、RFP作成前、既存システムの見直し段階から相談できます。現状棚卸し、業務改善、AI/DXロードマップ、実装優先順位の相談を入口に、実装や運用改善まで整理できます。
参考情報
- 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。







