風柳メモ

ソフトウェア・プログラミング関連の覚書が中心

スマートフォンの機種変更時にMicrosoft Authenticatorの「電話によるサインイン」設定ではまった

先日、スマートフォンをGoogle Pixel 5aからAQUOS sense9へと機種変更したのだが、その際にMicrosoft Authenticatorアプリの「電話によるサインイン」(他の端末でマイクロソフトアカウントにサインインしようとしたときにスマホに通知が来て、2桁の数値を選んで承認するやつ)の設定変更(新しい端末の方に通知を行うように変更する)方法がよくわからず手こずったので、備忘を兼ねて手順をメモしておく。
なお、この記事中でのマイクロソフトアカウントは個人用のものを想定しており、企業等用のアカウントのことは考慮していないことに注意。

Microsoftアカウントの新しいサインイン要求。

概要

あらかじめ、マイクロソフトアカウントのサインイン方法のうち、「サインイン通知の送信」を削除してから改めて設定すればよいらしい*1

手順

【1】 あらかじめ新端末以外(旧端末(機種変更前のスマホ)やPCのブラウザなど)で、既存の「サインイン通知の送信」設定を削除しておく

  1. 新端末(機種変更後のスマホ)以外の端末(機種変更前のスマホやPC等)のブラウザで、Microsoftアカウントにアクセスして[サインイン]を押し、目的のアカウントでサインインする(既にサインイン済みの場合はこの項を飛ばして次へ)

    account.microsoft.com
    サインイン

  2. 左側のメニュー(もしくは左上の三本線(☰)アイコンを押して出てくるメニュー)から、「セキュリティ」を選択

    左側のメニューからセキュリティを選択

  3. ページ中の「アカウント」セクションにある[サインイン方法の管理]を選択

    [サインイン方法の管理]を選択

  4. 「お客様の身元を証明する方法」にある、既存の「サインイン通知の送信」を開き、[削除]を選択し、出てくる「Microsoft Authenticatorアプリを削除しますか?」ダイアログで[削除]を選択、削除されたら[OK]を押す(なお、既存の「サインイン通知の送信」が存在しなければ、この項は不要なので、次へ)

    「サインイン通知の送信」を[削除]
    「Microsoft AUthenticatorアプリを削除しますか?」に対して[削除]
    Microsoft Authenticatorアプリが削除されました

  5. 「お客様の身元を証明する方法」で、「🜨 サインインまたは確認の新しい方法を追加」を選択

    🜨 サインインまたは確認の新しい方法を追加

  6. サインインまたは確認の新しい方法として、「アプリを使う」を選択

    「アプリを使う」を選択

  7. 「Microsoft Authenticatorアプリを設定します」に対して[今すぐ取得]を選択*2

    Microsoft Authenticatorアプリを設定します

  8. 「Microsoft Authenticatorアプリのダウンロード」として説明が表示されるので、[次へ]を押す(このタイミングで、必要に応じて【新端末の方で】Microsoft Authenticatorアプリをダウンロードしてインストールしておく)

    Microsoft Authenticatorアプリのダウンロード

  9. 「Microsoft Authenticatorにサインインするには、次の手順を実行します」として、QRコードが表示されるので、新端末(機種変更後のスマホ)の方でスキャン手順(次項の手順【2】)を完了するまでそのまま表示しておく(スキャン手順が完了したら、[完了]を押して閉じる)

    Microsoft Authenticatorにサインインするには、次の手順を実行します(QRコード表示)

【2】 新端末(機種変更後のスマホ)でMicrosoft Authenticatorにアカウントを追加する

  1. 新端末(機種変更後のスマホ)でMicrosoft Authenticatorアプリを起動し、上部にある「+」マークを押す

    Authenticatorアプリで「+」マークを押す
    [2025/10/15追記]Authenticatorアプリの右下の方にあるQRマークを押して、手順【1】で表示しておいたQRコードをスキャンするようにすれば、2・3項は必要ないことに気づいた……
    AuthenticatorアプリでQRマークを押す

  2. 「アカウントの追加」画面で「個人用アカウント」を選択

    「アカウントの追加」画面で「個人用アカウント」を選択

  3. 「個人用アカウントを追加」ダイアログで「QRコードをスキャンします」を選択し、手順【1】で表示しておいたQRコードをスキャンする

    個人用アカウントの追加でQRコードをスキャン

  4. 「電話によるサインインへようこそ!」が表示されたら設定完了なので[了解]を押す

    電話によるサインインへようこそ!

【3】新端末(機種変更後のスマホ)上のモバイルアプリ(Microsoft Authenticator)によるサインイン承認の動作確認

  1. 新端末以外の端末(Windows PCなど)で、ブラウザのシークレットウィンドウで(もしくはマイクロソフトアカウントからログアウトした状態で)Microsoftアカウントを開き、[サインイン]を押してサインイン画面に移動する

    account.microsoft.com
    サインイン

  2. サインインに上記で設定したアカウントを入れて[次へ]を押す(このとき、パスキー等で自動的にサインインしようとした場合には、キャンセルし、「サインインできませんでした」と出たら、「別の方法でサインインする」を選択する)

    パスキーでのサインインなどはキャンセルする
    サインインできませんでした>別の方法でサインインする

  3. 「別の方法でサインインする」と出たら、「モバイル アプリでのサインインを承認する」を選択

    「別の方法でサインインする」と出たら、「モバイル アプリでのサインインを承認する」を選択

  4. 「Authenticatorアプリを確認する」が表示されたら、2桁の番号を確認する

    Authenticatorアプリを確認する

  5. 新端末の方のAuthenticatorアプリに「Microsoftアカウントの新しいサインイン要求。」通知が来るはずなので、そちらを確認し、上記の番号と同じものを選んで[承認]する

    新端末側で「Microsoftアカウントの新しいサインイン要求」を承認

  6. ブラウザの方で、サインインできているかを確認する

追記:旧端末もPCもない場合は詰み?

すでに旧端末を廃棄したり紛失していたりした場合で、かつマイクロソフトアカウントにログイン可能なPCもない場合は……マイクロソフトアカウントに、「電話によるサインイン」以外でもサインインできる手段(パスワード+メール/SMS通知等)があれば、新端末だけでもなんとかなる……かも?(未確認)

その場合の手順としては、

  • 新端末で、既存の「サインイン通知の送信」設定を削除するところ(手順【1】-4)まで行う
  • Microsoft Authenticatorアプリの方の手順【2】を行い、【2】-3で、QRコードのスキャンの代わりに「Microsoftアカウントでサインイン」の方を選択して、個人用アカウントを追加

みたいな感じかな……?

備考

マイクロソフト公式のAuthenticator関連ページ

support.microsoft.com

support.microsoft.com

support.microsoft.com

Microsoft Authenticatorに関する公式のマニュアルとしてはこれらになるのかな……?
ちなみに最初はバックアップしておいたアカウントを新端末側に追加したんだけど、通知は相変わらず旧端末の方に飛んでしまったので、とまどったのよね……。

[2025/10/13追記] 多要素認証疲労攻撃(MFA 疲労攻撃/MFS消耗攻撃)対策について

上記の手順【3】にもあるとおり、ユーザー名として使われているメールアドレスさえわかっていれば、該当アカウントが設定されているAuthenticatorアプリに対してサインイン要求を送ることが出来てしまう。
これを利用して、該当アカウントの正規ユーザーに誤認による承認をさせることにより第三者がサインイン出来てしまう問題があり、これを利用した攻撃を「多要素認証疲労攻撃(MFA 疲労攻撃/MFS消耗攻撃)」というらしい。

例えば私の Microsoft Authenticator に、突然 MFA のプッシュ通知が発生したと仮定します。アプリには「サインインを承認しますか ? (拒否 / 承認)」という選択肢が表示されます。私はこのサインインに身に覚えがないので「拒否」を押下しますが、まだ IT リテラシーの高くない利用者や、たまたまそのタイミングでクラウド アプリにサインインを試行している人であれば、誤って「承認」を選択してしまう可能性もあります。また、攻撃者が繰り返しサインインを試行してプッシュ通知を行うと、ユーザーには複数の通知が届き、どれが自身の意図したプッシュ通知か判断できなくなります。MFA 疲労攻撃は、このような「ユーザーの誤操作」を狙った攻撃です。

Microsoft Authenticator の MFA 疲労攻撃対策 - 数値の一致による MFA が 有効化されます | Japan Azure Identity Support Blog

現状のMicrosoft Authenticatorでのサインイン要求は、アカウント名とログインしようとした大まかな場所、二桁の数字が3つ並び、画面に表示される数値と同じものを選んで[承認]を押すという手順なので(拒否する場合は単に[拒否]を押せば良い)、誤操作で承認してしまうというのは起こりにくくはなっていると思われる。
しかし、そもそも何度も覚えのないサインイン要求が来るのはそれ自体がストレスになってしまう*3

覚えのないサインイン要求を受けにくいようにするためには、アカウントに対して自分しか使わない(知らない)ユーザー名(エイリアス)を作り、それをプライマリとして設定し、よく知られている(メールアドレスとして利用しているような)ユーザー名については、サインイン設定を無効化しておけばよさそう。

support.microsoft.com

  1. アカウントへのサインイン方法を管理するページを開く

    アカウントへのサイン方法を管理する

  2. 「メールを追加して下さい」を押し、「◉ 新しいメールアドレスを作成し、ユーザー名として追加する」を選択して(推測されにくい)メールアドレスを作成し、[ユーザー名の追加]を押す

    ユーザー名の追加

  3. 「アカウントへのサインイン方法を管理する」ページに戻ったら、2.で作成したメールアドレスの右側の「プライマリにする」を押し、プライマリとして設定する

  4. 「サインイン設定を変更する」を押し、プライマリ以外の、不要なユーザー名のチェックを外し、[保存]する

    サインイン設定で不要なユーザー名のチェックを外して保存

*1:どうも「サインイン通知の送信」(=スマートフォンへの通知の送信)はひとつのアカウントに対して現状はただひとつの端末しか設定できない模様

*2:なお、この時点でもし、既存の「サインイン通知の送信」が残ったままになっている場合には、[今すぐ取得]をクリックするとアカウントホームに遷移してしまって「んんん?」と混乱する羽目になる……せめてわかりやすくエラーメッセージくらい出して欲しいところ……

*3:実はこの記事の公開時、一箇所メールアドレスをマスクし忘れていたのだが……おそらくそれが原因で、その後何回か覚えのないサインイン要求が来てしまったのであった……