~~NOTOC~~
{{indexmenu_n>0307}}
====== FAQ：認証 ======
{{section>:manual:common:tag#AdminUser_TenantUser_GuestUser&noheader&nofooter}}

認証に関して、問い合わせの頻度が高いものをピックアップします。\\


===== 認証フローはどのようになっていますか？ =====
本システムでは、「ユーザーにアクセスするための認証」と「テナントにアクセスするための認証」の2ステップの認証を設けています。\\ 
多要素認証の設定により、それぞれ別のプロセスを踏むことになります。\\

==== 多要素認証の無効 ====
[[manual:authentication:mfa|多要素認証の設定]]が**無効**に設定されている場合は、こちらのプロセスを辿ります。\\ 
{{:manual:authentication:mfaの無効_externalazuread.png?direct|}}\\
まず、「ユーザーにアクセスするための認証」により、そのユーザーが適切なユーザーであるか確認を行います。\\ 
「ユーザーにアクセスするための認証」を通過できたユーザーは、テナントに登録されたユーザーであれば、適正ユーザーであると信頼し「テナントにアクセスするための認証」も許可を出します。\\ 
{{:manual:authentication:認証フロー_mfa無効.png?direct&900|}}

==== 多要素認証の有効 ====
[[manual:authentication:mfa|多要素認証の設定]]が**有効**に設定されている場合は、こちらのプロセスを辿ります。\\ 
{{:manual:authentication:mfaの有効_externalazuread.png?direct|}}\\
まず、「ユーザーにアクセスするための認証」により、そのユーザーが適切なユーザーであるか確認を行います。\\ 
つぎに、「テナントにアクセスするための認証」により、テナント内へのアクセスを行えるユーザーであるかをAuthenticatorによる認証で行います。\\
{{:manual:authentication:認証フロー_mfa有効.png?direct&900|}}

===== ワンタイムパスワードを無効にしたい。 =====
メールアドレスの種類によって、挙動が異なります。\\
|< 100% 300px 180px >|
^  メールアドレスの種類  ^  アカウントカテゴリー  ^  説明  ^ 
|  Microsoftアカウントを持っていない  |  mail  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されていないメールアドレス\\  自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|Microsoft Entra ID]]を利用した管理を行っていないメールアドレス|
|  Microsoftアカウント  |  MicrosoftAccount  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されたメールアドレス |
|  組織アカウント  |  ExternalAzureAD  | 自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|Microsoft Entra ID]]を利用して管理されたメールアドレス|

==== Microsoftアカウントを持っていない ====
**Microsoftアカウントを持っていないユーザー**は、仕様上ワンタイムパスワードを**無効にすることはできません**。\\ 

<WRAP left round tip 100%>
**詳細：**\\
Microsoftアカウントを持っていないユーザーは、[[manual:authentication:faq#認証フローはどのようになっていますか？|認証フロー]]の「ユーザーにアクセスするための認証」に**ワンタイムパスワード以外を選択する手段がありません**。\\
そのため、仕様上ワンタイムパスワードを無効にすることはできません。
</WRAP>

==== Microsoftアカウント ====
**Microsoftアカウント**は、[[https://account.microsoft.com/account?lang=ja-jp|Microsoftアカウントサービス]]内のセキュリティ設定で別の認証方法に設定することでワンタイムパスワードを無効にできます。\\
設定については、[[https://account.microsoft.com/account?lang=ja-jp|Microsoftアカウントサービス]]内のヘルプを参照してください。

==== 組織アカウント ====
**組織アカウント**は、組織のMicrosoft Entra IDのセキュリティ設定で別の認証方法に設定することでワンタイムパスワードを無効にできます。\\
設定については、**自社の担当者**にご確認ください。

===== （Authenticatorを使用した）多要素認証を有効にしたい。 =====
[[manual:authentication:mfa|多要素認証の設定]]を**有効**に設定にしてください。\\
{{:manual:authentication:mfaの有効_externalazuread.png?direct|}}\\

===== （Authenticatorを使用した）多要素認証を無効にしたい。 =====
[[manual:authentication:mfa|多要素認証の設定]]を**無効**に設定にしてください。\\
{{:manual:authentication:mfaの無効_externalazuread.png?direct|}}\\

<WRAP left round tip 100%>
**Microsoftアカウントの場合：**\\
[[manual:authentication:faq#認証フローはどのようになっていますか？|認証フロー]]の「ユーザーにアクセスするための認証」に**その他の認証方法**としてAuthenticatorによる認証を設定されている場合は、そちらのAuthenticatorによる認証は残ります。\\
当システムでは、「ユーザーにアクセスするための認証」に関して、**お客様の判断に委ねております**。\\
**お客様の判断**で、「ユーザーにアクセスするための認証」のAuthenticatorによる認証も不要と判断された場合は、[[https://account.microsoft.com/account?lang=ja-jp|Microsoftアカウントサービス]]内のヘルプを参照して、**ご自身で**別の認証方法に切り替えをお願いします。
</WRAP>

<WRAP left round tip 100%>
**組織アカウントの場合：**\\
[[manual:authentication:faq#認証フローはどのようになっていますか？|認証フロー]]の「ユーザーにアクセスするための認証」に**その他の認証方法**としてAuthenticatorによる認証を設定されている場合は、そちらのAuthenticatorによる認証は残ります。\\
当システムでは、「ユーザーにアクセスするための認証」に関して、**お客様(自社)の判断に委ねております**。\\
**お客様(自社)の判断**で、「ユーザーにアクセスするための認証」のAuthenticatorによる認証も不要と判断された場合は、**自社のご担当者**で別の認証方法に切り替えをお願いします。
</WRAP>

===== Authenticatorによる認証が2回届くのはなぜですか？。 =====
[[manual:authentication:mfa|多要素認証が有効]]の場合、認証フローとして、「ユーザーにアクセスするための認証」と「テナントにアクセスするための認証」のそれぞれで認証を行うようになります。\\ 
{{:manual:authentication:mfaの有効_externalazuread.png?direct|}}\\
{{:manual:authentication:認証フロー_mfa有効.png?direct&900|}}\\
「テナントにアクセスするための認証」ではAuthenticatorによる認証を行います。\\ 
**Microsoftアカウント**もしくは**組織アカウント**の場合、**その他の認証方法**で**Authenticatorによる認証**を設定していると、「**ユーザーにアクセスするための認証**」も**Authenticatorによる認証**になります。\\ 
そのため、「テナントにアクセスするための認証」と合わせて**2回の認証が届く**ことになります。\\ 

===== Microsoftアカウントなのに、ワンタイムパスワードで認証が行われるのはなぜでしょうか？ =====
==== ケース1 ====
[[https://account.microsoft.com/account?lang=ja-jp|Microsoftアカウントサービス]]の設定でワンタイムパスワードを設定している場合、Microsoftアカウントであってもワンタイムパスワードでの認証になります。\\ 
こちらの設定を変更しても、ワンタイムパスワードによる認証の場合は**ケース2**を参照してください。
==== ケース2 ====
お客様が初めて本システムにアクセスした際に、「Microsoftアカウントを持っていない 」に分類される状態であった可能性があります。\\ 
この場合、「Microsoftアカウントを持っていない 」として認証を運用してください。

|< 100% 300px 180px >|
^  メールアドレスの種類  ^  アカウントカテゴリー  ^  説明  ^ 
|  Microsoftアカウントを持っていない  |  mail  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されていないメールアドレス\\  自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|Microsoft Entra ID]]を利用した管理を行っていないメールアドレス|
|  Microsoftアカウント  |  MicrosoftAccount  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されたメールアドレス |

<WRAP left round tip 100%>
**ケースワーク：**\\
初めてシステムを利用したときは「Microsoftアカウントを持っていない 」メールアドレスであったが、後から「Microsoftアカウント」にそのメールアドレスを登録した。
</WRAP>

===== 組織アカウントなのに、ワンタイムパスワードで認証が行われるのはなぜでしょうか？ =====
==== ケース1 ====
自社の設定でワンタイムパスワードを設定している場合、組織アカウントであってもワンタイムパスワードでの認証になります。\\ 
こちらの設定を変更しても、ワンタイムパスワードによる認証の場合は**ケース2**を参照してください。
==== ケース2 ====
お客様が初めて本システムにアクセスした際に、「Microsoftアカウントを持っていない 」に分類される状態であった可能性があります。\\ 
この場合、「Microsoftアカウントを持っていない 」として認証を運用してください。

|< 100% 300px 180px >|
^  メールアドレスの種類  ^  アカウントカテゴリー  ^  説明  ^ 
|  Microsoftアカウントを持っていない  |  mail  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されていないメールアドレス\\  自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|Microsoft Entra ID]]を利用した管理を行っていないメールアドレス|
|  組織アカウント  |  ExternalAzureAD  | 自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|Microsoft Entra ID]]を利用して管理されたメールアドレス|

<WRAP left round tip 100%>
**ケースワーク：**\\
初めてシステムを利用したときは「Microsoftアカウントを持っていない 」メールアドレスであったが、後から自社でMicrosoft Entra IDを導入してそのメールアドレス管理するようになった。
</WRAP>

===== スマートフォンを替える場合はどのような作業が必要ですか？ =====
新機種と旧機種をご用意の上、[[https://jpazureid.github.io/blog/azure-active-directory/move-authenticator-to-new-phone/|Microsoftのサポートサイト]]を参考に設定をしてください。\\

===== Authenticatorによる多要素認証方法 =====
メールアドレスの種類が**Microsoftアカウント**または**組織アカウント**の場合、Authenticatorによる[[manual:authentication:mfa|多要素認証の設定]]が行えます。\\
メールアドレスの種類については[[manual:authentication:mfa#その他の認証方法 + スマホなど|こちら]]を確認してください。

==== ①多要素認証を有効にする ====
多要素認証を**有効**にします。その後、一度ログアウトします。\\
{{:manual:authentication:mfaの有効_externalazuread.png?direct|}}\\
[[faq:authentication#②再ログインする|次へ]]\\

==== ②再ログインする ====
テナントに**ユーザー登録**されている**メールアドレス**を[**アカウントを選択する**]から**選択**します。\\
{{:manual:authentication:ログイン画面_すでにmicrosoft認証を利用したことがある.png?direct|}}\\


選択後は**パスワードの入力**に進んでください。\\
{{:manual:authentication:ログイン画面_msaccount_パスワード.png?direct|}}{{:manual:authentication:ログイン画面_azureadaccount_パスワード.png?direct|}}\\

これらの画面が表示されるユーザーは、**Microsoftアカウント**または**Microsoft Entra IDアカウント**をご利用のお客様となります。\\
メールアドレスに紐づけられた**パスワード**を入力してください。\\
入力後は[**サインイン**]をクリックします。

[[faq:authentication#③Authenticatorをインストールする|次へ]]\\

==== ③Authenticatorをインストールする ====
**この手順は、初回のみ実施する手順です。**\\
Authenticatorの連携がまだの場合、スマートフォンへのアプリインストールと、連携の案内が表示されます。\\
ディスプレイの手順に沿って、アプリのインストールと、連携を実施します。\\
Authenticatorの連携が済んでいる場合は、次の項目である[[faq:authentication#④承認する|④承認する]]へ進んでください。

{{faq:アプリの取得.png?direct&800|}}\\
{{faq:アプリのセットアップ.png?direct&800|}}\\

ディスプレイに表示されるQRコードを利用し、スマートフォンのAuthenticatorと連携します。\\
QRコードで連携できない場合は、下部**[別の方法を試す]**を利用してください。\\

{{faq:アプリのセットアップ_qrコード読み込み.png?direct&800|}}\\

連携後、ディスプレイに数字が表示されます。\\
スマートフォンのAuthenticatorに数字を入力します。\\
{{faq:多要素認証数字_連携時.png?direct&800|}}\\

スマートフォンの画面は下記のようになっています。\\
入力後、**[はい]**を選択します。\\
{{faq:多要素認証数字_スマホ入力画面.png?direct&329|}}\\

Authenticatorとの連携が完了すれば、下記画面が表示されます。\\
{{faq:多要素認証_承認画面.png?direct&800||}}\\

[[faq:authentication#④承認する|次へ]]\\

==== ④承認する ====
ディスプレイに数字が表示されます。\\
スマートフォンのAuthenticatorに数字を入力します。\\
{{faq:多要素認証_多要素認証数字.png?direct|}}\\
スマートフォンのAuthenticatorに入力します。\\
入力後、**[はい]**を選択します。\\
{{faq:多要素認証数字_スマホ入力画面.png?direct&329|}}\\

==== ⑤多要素認証が完了する ====
Authenticatorによる多要素認証が完了し、ログイン後の画面に移管します。\\