Zenn
🛠️

機種変更したらEntraのグローバル管理者にアクセスできなくなった話

2025/03/01に公開
多要素認証
Microsoft
tech

要約

・iPhoneを機種変更してデータ移行した
・Entraのグローバル管理者のアカウントにアクセスできなくなった
・別のユーザーを作成・経由して復旧した

起きたこと

私は普段、私用メールのホストに Exchange を使用しており、そのユーザー管理には Entra を使用しています。いわゆる逸般の誤家庭です。

私用テナントのユーザー構成は以下の通りです。

  • A@domain
    • 権限: グローバル管理者
    • MFA: Microsoft Authenticator (iPhone 15)
  • B@domain
    • 権限: なし
  • ...(他の一般ユーザー)

MFAは iPhone 15 の Microsoft Authenticator で設定していました。

そして先日、iPhone 15 (旧端末)から iPhone 16 (新端末)に機種変更した際のことです。クイックスタートは使用せず、ゼロから設定し直しました。Microsoft Authenticator は iCloud へのバックアップをオンにしており、実際にバックアップが完了していることを確認していました。

新端末に Microsoft Authenticator をインストールし、iCloud からデータを復元しました。
旧端末と見比べてみると、同じコードが表示されており、データは正常に復元されているようでした。

私は安心して、旧端末の Microsoft Authenticator をアンインストールしました。

...

... (嫌な予感)

...

結果、Microsoft Authenticator に登録していた各 Microsoft アカウントの確認コードを取得できなくなり、個人で使用している Entra テナントのグローバル管理者アカウントにアクセスできなくなってしまいました。

原因

今回の問題の主な原因は2つです。

1. Microsoft Authenticator では Microsoft アカウントの扱いが特殊

通常、TOTP の設定には秘密鍵のみが必要です。そのため、機種変更時には秘密鍵を新しいデバイスに移行するだけで済みます。実際、Microsoft Authenticator でも Microsoft アカウント以外のアカウントは、iCloud 上のバックアップを読み込むだけで復元できました。

一方で、Microsoft Authenticator には Microsoft アカウントに通知経由でサインインしたり、サインイン方法を確認したりする機能が備わっており、Microsoft アカウントの場合はアカウント情報も保存されているようです。
そのため、機種変更時にはiCloud 上のバックアップを読み込むだけではなく、再度各アカウントにサインインする必要がありました。

2. グローバル管理者のMFA設定が不十分であった

通常、Entra IDの多要素認証の設定プロセスでは、一つ目の認証方法にアクセスできなくなった場合に備えて複数の認証方法が設定されます。しかし、今回はMicrosoft Authenticatorのみが設定されていました。この原因は分かっていません。

今回は、新端末においてアカウントに再度サインインする必要がある状態で旧端末の Microsoft Authenticator をアンインストールしてしまったため、アカウントにアクセスできなくなってしまいました。

対処

問題を確認した時点で、以下のような状態となっていました。

  • 旧端末

    • Microsoft Authenticator アプリ: アンインストール済み
    • Microsoft 365 Admin アプリ: サインイン済み

  • 新端末

    • Microsoft Authenticator: インストール&データ復元済み

この状態では認証コードを取得できないため、PC などから Microsoft 365 Admin サイトにサインインして認証方法を再設定することはできません。しかし、Microsoft 365 Admin アプリへのサインイン状態は維持されており、基本的な操作が可能でした。

そこで、Microsoft 365 Admin アプリから別のユーザーを作成し、そのユーザーをグローバル管理者に昇格させることで、ログイン可能なグローバル管理者アカウントを作成しました。

その後、作成したアカウントを用いて PC から Microsoft 365 Admin サイトにサインインし、元のグローバル管理者アカウントの MFA 設定をリセットしました。そして、新端末の Microsoft Authenticator で MFA 設定を行うことで、元のグローバル管理者アカウントへのアクセスを復旧することに成功しました。

今後気をつけること

  • 失ってはいけないアカウントについては、必ず複数の認証方法を設定する
  • Microsoft Authenticator アプリの移行の際には、新端末ですべてのアカウントへのアクセスを確認してから、旧端末のアプリを佐久署する。

ふとしたきっかけでテナントの管理権限を失いそうになり、非常に焦りましたが、なんとか復旧できてよかったです。

GitHubで編集を提案

Discussion