Azure Active Directory(AAD) Premium でしか Multi-Factor Authentication(MFA) を使えないように読み取れるドキュメントが多いですが、Free/Basic でも MFA が使えると マイクロソフトのサポートから回答をもらいました。
Azure MFA の機能/価格で AAD Free/Basic でも MFA が使えます。
が、ドキュメントでは分かりにくいです。
こちらの 「Multi-Factor Authentication の機能と特徴」では、
Cloud Services - Multi-Factor Authentication (MFA) | Microsoft Azure
【Office 365、Salesforce などに対応】 Multi-Factor Authentication は、Azure Active Directory Premium と数千にのぼ る SaaS (サービスとしてのソフトウェア) アプリケーション (Salesforce、 Dropbox、およびその他の有名なサービス) でも使用可能です。
AAD は Premium でしか使えないように読めます。
また 「Multi-Factor Authentication の価格」では、
料金 - Multi-Factor Authentication (MFA) | Microsoft Azure
【料金の詳細】 ユーザーごとおよび認証ごとの課金オプション付きスタンドアロン サービスとし て、または Azure Active Directory Premium や Enterprise Mobility Suite との セットで利用できます。
こちらも AAD Premium と書かれています。
が、「スタンドアロン サービス」として AAD Free/Basic と連携して使えるとのことでした。
AAD Premium では、MFA に対しての別途課金は無く*1、スタンドアロンサービス で AAD Free/Basic と一緒に使う場合は Azure MFA の従量課金が適用されるとのこと。
サポートに確認するまで、「スタンドアロン サービス」は IIS で MFA Server を構築するためのものとして読んでいたので、Azure AD と連携出来るとは思わず。。
一番誤解を招くドキュメントは 「Azure Active Directory の価格」のエディション別比較表
料金 - Active Directory | Microsoft Azure
左から Free/Basic/Premium の比較表ですが
この MFA の箇所に Premium しかチェックが入っていません!
話しを聞いたあとだと、MFA の料金込みかどうかという意味合いでは正しいと思いますが、初見だと Free/Basic で MFA が使える手段があるとは思わないんじゃないかな?
というわけで、「※」等で注意書きを入れてほしいと要望しました。
一応 「Getting started with Azure Multi-Factor Authentication in the cloud」には
Getting started with Azure Multi-Factor Authentication in the cloud
【Create a Multi-Factor Auth Provider or assign an Azure AD Premium or Enterprise Mobility Suite license to users】 You will need to either create an Azure Multi-Factor Auth Provider and assign it to your directory or assign licenses to your Azure AD Premium or EMS users.
とあるので、MFA Provider を作成して、AAD に紐づけるか、AAD Premium か EMS ならOK と書かれています。
これを読むと、AAD Free/Basic でも MFA が使えるように読めますね。
ちなみに ja-jp の日本語訳はこの部分がちょっと微妙でした。。
さっきのドキュメントにあるように AAD Free/Basic で MFA を使うには、MFA Provider を作成し、AAD に紐づける必要があります。
【現時点での注意事項】
今のポータルでは、MFA Provider を作成しなくても、AAD Free で MFA が使えてしまいます!
現状では課金されてなさそうですが、いつ課金されるか分からないですし、使い方的に NG とのことでしたので辞めときましょう。
- AAD を作成する
- 作成した AAD にユーザーを作成する際に MFA を有効化する
これもそのうち直るのかな?
*1:認証回数無制限