MFA(多要素認証)が不正アクセスの99.9%をブロックできる最強のセキュリティ対策であることは理解した。しかし「具体的にどの画面でどう設定すればいいのか」が分からず、導入に踏み切れないIT管理者は多い。
本記事は、Microsoft 365とGoogle Workspaceそれぞれの 管理者向け設定手順 を、操作フローに沿って解説する実践マニュアルだ。この手順に沿えば、1〜2時間で全社へのMFA展開設定が完了する。
事前準備(共通)
MFA導入の前に、以下を確認・準備する。
| 準備項目 | 内容 | 所要時間 |
|---|---|---|
| 管理者アカウントの確認 | 全体管理者(グローバル管理者)権限が必要 | 5分 |
| 緊急時の復旧手段 | 管理者自身がMFAでロックアウトされた場合のバックアップ手段を確保 | 10分 |
| 社員への事前通知 | 「○月○日からMFAが必須になります」と1〜2週間前に通知 | 30分 |
| Authenticatorアプリの事前インストール依頼 | Microsoft Authenticator or Google Authenticatorを全社員にインストールさせる | — |
| スマホ非所持者の対応方針 | ハードウェアキー購入 or 代替手段の決定 | 15分 |
Microsoft 365のMFA設定手順
方法A:セキュリティの既定値群(最も簡単・推奨)
この方法は、全ユーザーにMFAを一括強制する最もシンプルな方法 だ。
手順:
- Microsoft Entra管理センターにアクセス
- セキュリティの既定値群を有効化
- 「セキュリティの既定値群」を 「有効」 に切り替え - 「保存」をクリック
- 有効化後の動作
- 14日間の猶予期間あり(この間はMFA登録をスキップ可能) - 14日経過後はMFA登録が必須
注意点:条件付きアクセスポリシーが既に設定されている場合、セキュリティの既定値群は有効化できない。その場合は方法Bを使用する。
方法B:条件付きアクセスポリシー(柔軟な制御)
特定の条件でのみMFAを要求したい場合に使用する。
手順:
- Microsoft Entra管理センター → 保護 → 条件付きアクセス → ポリシー → 新しいポリシー
- ポリシーの設定
| 設定項目 | 推奨設定 |
|---|---|
| ポリシー名 | 「全ユーザーMFA必須」 |
| ユーザー | すべてのユーザー(緊急用アカウントは除外) |
| クラウドアプリ | すべてのクラウドアプリ |
| 条件 | なし(全条件でMFA適用) |
| 許可 | 「アクセス権の付与」→ 「多要素認証を要求する」にチェック |
| ポリシーの有効化 | 「レポート専用」で先にテスト → 問題なければ「オン」 |
- ブレークグラスアカウント(緊急用)の除外
- 極めて長く複雑なパスワードを設定し、金庫等に保管 - このアカウントは通常業務では使用しない
ユーザー側の初回セットアップ手順
管理者がMFAを有効化した後、各ユーザーが初回サインイン時に行う手順を以下にまとめる。社内マニュアルとして配布できる。
- Microsoft 365にサインイン(通常のID/パスワード)
- 「詳細情報が必要」画面が表示される → 「次へ」
- Microsoft Authenticatorアプリを開く
- アプリで「+」→「職場または学校アカウント」→「QRコードをスキャン」
- 画面に表示されたQRコードをスキャン
- テスト通知が届くので「承認」をタップ
- 設定完了
Google WorkspaceのMFA設定手順
ステップ1:組織全体で2段階認証を許可する
- admin.google.com にログイン
- セキュリティ → 認証 → 2段階認証プロセス
- 「ユーザーが2段階認証プロセスを有効にできるようにする」を オン
- 保存
ステップ2:2段階認証を必須にする
- 同じ画面で「適用」セクションに移動
- 「適用」を選択(「今すぐ適用」or 「指定日から適用」)
- 新規ユーザー登録猶予期間を設定(推奨:7日間)
- 許可する方法を選択:
- 「セキュリティキーのみ」(高セキュリティ要件の場合)
ステップ3:管理者アカウントの保護
| 設定 | 内容 |
|---|---|
| 特権管理者のMFA | 最優先で有効化(他のユーザーより先に) |
| バックアップコード | 管理者アカウント用のバックアップコードを生成し安全に保管 |
| 復旧用電話番号 | 管理者アカウントに復旧用電話番号を登録 |
ユーザー側の初回セットアップ手順
- myaccount.google.com にログイン
- 「セキュリティ」→「2段階認証プロセス」→「使ってみる」
- パスワードを再入力
- Google Authenticatorアプリで「+」→「QRコードをスキャン」
- 画面のQRコードをスキャン
- 表示された6桁のコードをPC画面に入力
- 「バックアップコード」を印刷またはダウンロードして安全に保管
- 設定完了
展開計画テンプレート
| フェーズ | 期間 | 対象 | 内容 |
|---|---|---|---|
| Phase 1 | 1日目 | IT管理者 | 管理者アカウントのMFA設定+検証 |
| Phase 2 | 2〜3日目 | IT部門全員 | IT部門内でテスト展開 |
| Phase 3 | 4〜7日目 | 全社通知 | 社内メール送信+マニュアル配布 |
| Phase 4 | 8〜14日目 | 全社員 | MFA設定の猶予期間(サポート窓口を設置) |
| Phase 5 | 15日目〜 | 全社員 | MFA必須化+未設定者のフォロー |
トラブルシューティング
| トラブル | 原因 | 対処法 |
|---|---|---|
| QRコードがスキャンできない | カメラの権限が未許可 | スマホの設定 → アプリ → Authenticator → カメラ権限を許可 |
| 認証コードが「無効」と表示される | スマホの時刻がずれている | スマホの設定 → 日付と時刻 → 自動設定をオン |
| スマホを機種変更した | 旧端末のAuthenticatorが使えない | バックアップコードで一時ログイン → 新端末で再登録 |
| 管理者がロックアウトされた | MFA端末の紛失・故障 | ブレークグラスアカウントでログイン → 管理者のMFAをリセット |
| 一部のユーザーだけMFAを免除したい | 業務上の理由 | 条件付きアクセスポリシーで特定ユーザーを除外(セキュリティリスクを認識した上で) |
まとめ
| 項目 | Microsoft 365 | Google Workspace |
|---|---|---|
| 最も簡単な方法 | セキュリティの既定値群 | 2段階認証の「適用」 |
| 管理者の設定時間 | 30分〜1時間 | 30分〜1時間 |
| ユーザーの設定時間 | 5分/人 | 5分/人 |
| 推奨認証方法 | Microsoft Authenticator | Google Authenticator |
| 全社展開期間 | 2週間 | 2週間 |
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- [ ] 必須要件、将来要件、今回はやらない要件を分けたか
- [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- [ ] リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
MFA設定マニュアル|Microsoft 365/Google Workspace管理者向け図解ガイドを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
- MFA導入ガイド(概念・効果・ツール比較)——MFAの基本を理解
- Microsoft 365セキュリティ設定ガイド——MFA以外のM365セキュリティ設定
- ゼロトラストセキュリティ導入ガイド——MFAの次のステップ
- パスワードマネージャー導入ガイド——パスワード管理の改善
- GXOの導入事例一覧——セキュリティ導入の支援実績
MFA設定・セキュリティ設定の代行サービス
「設定手順は分かったが、自分で設定するのは不安」「全社展開のサポートが欲しい」という管理者の方へ。GXOではMFAの設定代行から全社展開計画、社内マニュアル作成まで対応しています。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK