多要素認証に使っている携帯電話が壊れたら

多要素認証に使用していた携帯電話が壊れてしまった
多要素認証に使用していた携帯電話を機種変更に伴って手放してしまった

などの経験はありませんか?
多要素認証に複数のデバイス (または複数の方法) を登録しておけば
携帯電話が壊れても、もう片方の携帯電話を使えばよいだけなのですが、
たったひとつの携帯電話が壊れたりしたら、もうサインインできなくなってしまいます。

そこで今回は多要素認証の設定確認から携帯電話が壊れたときの対処方法までを見てみたいと思います。

多要素認証の設定確認

Microsoft Entra IDで多要素認証を利用するように設定している場合、自分のアカウントで設定している多要素認証の状況は以下のURLにアクセスすると確認できます。
https://mysignins.microsoft.com/security-info

image

上の画面ではパスワードの設定と、Microsoft Authenticatorアプリを使った設定が入っていることがわかります(英語の画面でごめんなさい)。
そして多要素認証の設定変更もこの画面から行うことができます。
だけどこの画面、そもそもサインインできないとアクセスすることができません。
ですから多要素認証に使う携帯電話が壊れたら、そもそもアクセスできないのです。

管理者にお願いして多要素認証の設定をリセットしてもらう

こうなると自分ではどうしようもないので管理者にお願いしてリセットしてもらうことになります。その場合、Microsoft Entra管理センターのユーザー画面から [認証方法] を選択し、Microsoft Authenticatorの設定を削除するか、[多要素認証の再登録を要求する] を選択すればこれまでの設定をすべて削除することができ、パスワードのみでの認証ができるようになります。

image

そうしたら後はパスワードのみで認証した後に新しい携帯電話でMicrosoft Authenticatorアプリの設定を改めて行えばよいのです。

PowerShellでまとめて行いたい

多要素認証の設定をリセットする方法はPowerShellから行うことも可能です。
使うコマンドレットはいくつかあるので順番に説明します。
まずは状況確認に使うコマンドレットであるGet-MgUserAuthenticationMethodを使って接続しておいて、

Connect-MgGraph -Scope UserAuthenticationMethod.Read.All, UserAuthenticationMethod.ReadWrite.All, UserAuthenticationMethod.ReadWrite, UserAuthenticationMethod.Read

その後、Get-MgUserAuthenticationMethod コマンドレットをユーザー名込みで実行するとご覧のように認証方法を示すIDが確認できます。

image
IDだけだと具体的な認証方法はわからないので、リスト形式に変換するとこんな感じ

image

0b7beabb-4157-497e-a01d-d79c0f577e43 と書いてあるIDのほうがMicrosoft Authenticatorアプリを使った認証方法を表していることがわかります。
ということでこのIDを削除しましょう。

削除するときは
Remove-MgUserAuthenticationMicrosoftAuthenticatorMethodコマンドレットを使います。ちなみに必要な権限は UserAuthenticationMethod.ReadWrite, UserAuthenticationMethod.ReadWrite.All の2つなので、先ほどConnect-MgGraphコマンドレットを実行した画面が残っていればそのままコマンドレットが実行できます。
実行するときはご覧のような感じで。

Remove-MgUserAuthenticationMicrosoftAuthenticatorMethod -UserId ユーザー名 -MicrosoftAuthenticatorAuthenticationMethodId 認証方法のID

image

ちなみに、いちいち認証方法のIDを調べるのが面倒であれば、こんな感じで実行することで簡単にリセットできます。

$user=”ユーザー名”
$id=(Get-MgUserAuthenticationMethod -UserId $user | Where-Object {$_.AdditionalProperties[‘@odata.type’] -match “Authenticator”}).id
Remove-MgUserAuthenticationMicrosoftAuthenticatorMethod -UserId $user -MicrosoftAuthenticatorAuthenticationMethodId $id

image

参考情報