多要素認証に使っている携帯電話が壊れたら

Microsoft Entra ID

多要素認証に使用していた携帯電話が壊れてしまった
多要素認証に使用していた携帯電話を機種変更に伴って手放してしまった

などの経験はありませんか?
多要素認証に複数のデバイス (または複数の方法) を登録しておけば
携帯電話が壊れても、もう片方の携帯電話を使えばよいだけなのですが、
たったひとつの携帯電話が壊れたりしたら、もうサインインできなくなってしまいます。

Always on the clock
Microsoft Authenticatorアプリを複数デバイスで利用
https://azuread.net/archives/9187
Microsoft Authenticatorアプリを複数デバイスで利用 する2025年3月8日追記機種変更によるデバイス入れ替え方法とAzure AD → Microsoft Entra IDの書き換えをしました。Microsoft Entra IDで多要素認証を利用する場合、携帯電話による通話やSMSによるワンタイムパスワードなど、いくつかの認証方法が選択できますが、その中のひとつにMicrosoft Authenticatorを利用した方法があります。Microsoft AuthenticatorはiOS, Android用アプリで、初期設定でアカウントとアプリを紐付けておくと、多要素認証に利用することができます。ところ...

そこで今回は多要素認証の設定確認から携帯電話が壊れたときの対処方法までを見てみたいと思います。

多要素認証の設定確認

Microsoft Entra IDで多要素認証を利用するように設定している場合、自分のアカウントで設定している多要素認証の状況は以下のURLにアクセスすると確認できます。
https://mysignins.microsoft.com/security-info

image

上の画面ではパスワードの設定と、Microsoft Authenticatorアプリを使った設定が入っていることがわかります(英語の画面でごめんなさい)。
そして多要素認証の設定変更もこの画面から行うことができます。
だけどこの画面、そもそもサインインできないとアクセスすることができません。
ですから多要素認証に使う携帯電話が壊れたら、そもそもアクセスできないのです。

管理者にお願いして多要素認証の設定をリセットしてもらう

こうなると自分ではどうしようもないので管理者にお願いしてリセットしてもらうことになります。その場合、Microsoft Entra管理センターのユーザー画面から [認証方法] を選択し、Microsoft Authenticatorの設定を削除するか、[多要素認証の再登録を要求する] を選択すればこれまでの設定をすべて削除することができ、パスワードのみでの認証ができるようになります。

image

そうしたら後はパスワードのみで認証した後に新しい携帯電話でMicrosoft Authenticatorアプリの設定を改めて行えばよいのです。

PowerShellでまとめて行いたい

多要素認証の設定をリセットする方法はPowerShellから行うことも可能です。
使うコマンドレットはいくつかあるので順番に説明します。
まずは状況確認に使うコマンドレットであるGet-MgUserAuthenticationMethodを使って接続しておいて、

Connect-MgGraph -Scope UserAuthenticationMethod.Read.All, UserAuthenticationMethod.ReadWrite.All, UserAuthenticationMethod.ReadWrite, UserAuthenticationMethod.Read

その後、Get-MgUserAuthenticationMethod コマンドレットをユーザー名込みで実行するとご覧のように認証方法を示すIDが確認できます。

image
IDだけだと具体的な認証方法はわからないので、リスト形式に変換するとこんな感じ

image

0b7beabb-4157-497e-a01d-d79c0f577e43 と書いてあるIDのほうがMicrosoft Authenticatorアプリを使った認証方法を表していることがわかります。
ということでこのIDを削除しましょう。

削除するときは
Remove-MgUserAuthenticationMicrosoftAuthenticatorMethodコマンドレットを使います。ちなみに必要な権限は UserAuthenticationMethod.ReadWrite, UserAuthenticationMethod.ReadWrite.All の2つなので、先ほどConnect-MgGraphコマンドレットを実行した画面が残っていればそのままコマンドレットが実行できます。
実行するときはご覧のような感じで。

Remove-MgUserAuthenticationMicrosoftAuthenticatorMethod -UserId ユーザー名 -MicrosoftAuthenticatorAuthenticationMethodId 認証方法のID

image

ちなみに、いちいち認証方法のIDを調べるのが面倒であれば、こんな感じで実行することで簡単にリセットできます。

$user=”ユーザー名”
$id=(Get-MgUserAuthenticationMethod -UserId $user | Where-Object {$_.AdditionalProperties[‘@odata.type’] -match “Authenticator”}).id
Remove-MgUserAuthenticationMicrosoftAuthenticatorMethod -UserId $user -MicrosoftAuthenticatorAuthenticationMethodId $id

image

参考情報

Japan Azure Identity Support Blog
多要素認証 (MFA) のリセット手順 - 2025 年版
https://jpazureid.github.io/blog/azure-active-directory/mfa-reset-2025/
Note本記事は 2022 年に公開した 多要素認証 (MFA) のリセット手順 - 2022 年版 の内容を更新したものです。 こんにちは、Azure & Identity サポート チームの長谷川です。 弊社ブログでは過去に複数回にわたり、ユーザーに登録された MFA の認証方法を管理者によりリセットする手順を紹介していました。ここでのリセットとは、ユーザーに登録された MFA 用の認

Suguru KUNII