Office 365では、サインインするとき、ユーザー名/パスワード以外の要素を利用して認証する手段(多要素認証)をサポートしています(正確に言うと、Windows Azure Active Directoryにサインインするときに多要素認証をサポートしている、ですね)。そして、一般には電話をかける、テキストメッセージを受信する、などの方法で物理的なデバイスを持っている人だけがOffice365の認証をパスするという仕組みを使うケースが多いかと思いますが、一方でモバイルアプリを使ってワンタイムパスワード(OTP)を生成させて認証を行いたいケースもあるかと思います。
そこで、今回はOffice365の多要素認証の設定と、多要素認証にモバイルアプリを使う方法を確認してみたいと思います。
1.多要素認証の初期設定
Office365管理センターサイトの[ユーザーとグループ]の中に入っている[複数の要因を含む認証要件を設定する]の欄にある[セットアップ]をクリックします。
続く画面がこちら(下)。画面の説明にもあるように、現在のところOffice365の管理者アカウントだけが追加コストなしで多要素認証を設定できます。(すべてのユーザーを対象に多要素認証の設定ができるようになりました。2014年2月15日追記)
多要素認証を設定するユーザーを選んで[有効にする]をクリックします。
管理者以外のユーザーに対して、多要素認証を有効にする場合は、Viewの欄を[サインインが許可されているユーザー]を選択します。(2014年2月15日追記)
続く画面はこちら。
完了したら、一度サインアウトします。
2.モバイルアプリの設定
OTP用のモバイルアプリをダウンロードします。アプリの名前は
Windows Azure Multi-Factor Authenticationですが、
ストアでは「Multi-Factor Authentication」という名前で通っています。
アプリの会社名はMicrosoftではなく、PhoneFactor, Inc.なので注意してください。
(特にAndroidでは、まがい物にご注意!)
アプリはWindows Phone用、iPhone用、Android用が出ています。
今回はiPhone用をiPadにインストールして使います。 
インストールが完了して、起動すると、
iPad用に最適化されていないので、画面サイズがおかしくなってます。
3.多要素認証設定後の初回サインイン
ポータルサイトにユーザー名/パスワードを入力してサインインします。
すると、[今すぐセットアップ]のボタンが現れました。
[今すぐセットアップ]をクリックすると、こちらの画面が現れます。
ここでは電話を選択して、電話番号を設定するのですが、今回はモバイルアプリなので、
[モバイルアプリケーション]を選択して、[構成]をクリックします。
バーコードが現れました。このバーコードを前の手順でインストールしたアプリにスキャンさせます。
(ちなみにGoogle認証アプリにスキャンさせたら、エラーになりました)
成功すると、
こんな感じで登録されます。
ポータルサイトに戻って、
下の画面に切り替わるので、[今すぐ確認]をクリックすると、
モバイルアプリの画面は下のような画面になります。
ここで[認証]をタップすると、
ポータルサイトでは、確認できたことを表しています。
その他、アプリが使えなかったときの緊急用電話番号の登録を行い、
ブラウザー以外でのサインインを行うときに使うパスワードの生成を行って終了です。
(この部分については別の機会に)
ここまでで完了です。
4.多要素認証のテスト
サインインしてみましょう。
ユーザー名/パスワードを入力して、
この時点で、モバイルアプリに通知が送られるので、
モバイルアプリの画面で[認証]をタップすると、
認証は完了です。
OTPのコードを入れて、認証を行いたい場合には、ユーザー名/パスワードを入力した後、
[その他の検証オプション]をクリックして、
[モバイルアプリケーションの確認コードを使用する]をクリックして、
確認コードを入力します。
確認コードはモバイルアプリに表示されているものを入力します。
以上です。
Office365は100%ブラウザーサービスではないので、
Outlookからアクセスするときどうするか?とか、
モバイルでExchange ActiveSync経由のアクセスはどうなるのか?とか、
色々課題があります。
これについては、機会を改めて検証してみたいと思います。
