@kyanny's blog

人間が神のしくじりなのか、神が人間のしくじりなのか、どっちだ - ニーチェ ドイツ哲学者

Microsoft Authenticator のバックアップの注意点

1. Azure AD アカウントは復元できない

なので、職場で Office365 (Azure AD) によるアカウント管理が導入されている場合、 Microsoft Authenticator アプリを再インストールしたりスマートフォンを初期化したりすると、自力で 2FA の再設定ができずアカウントから締め出されてしまう。

docs.microsoft.com

重要

保存されるのは、個人およびサードパーティのアカウントの資格情報のみです。

(snip)

さらに検証が必要なアカウントを復旧する

個人用アカウントや職場または学校アカウントでプッシュ通知を使用する場合、情報を復旧する前に追加認証を提供する必要があることを示すアラートが画面に表示されます。 (snip) 個人用 Microsoft アカウントの場合、代替電子メールや電話番号と共にパスワードを入力して本人確認することができます。 職場または学校アカウントの場合は、アカウント プロバイダーから提供された QR コードをスキャンする必要があります。

他端末のブラウザのログインセッションが生きている間は、以下の手順に従い、自力で QR コードスキャンをして 2FA を再有効化することもできる(実際、一度はそれで有効化できた)。しかし、ログインセッションが切れてしまうと 2FA を要求されてしまうので、常に有効な方法ではない。

blog.azure.moe

対策としては、 Microsoft Authenticator 以外の 2FA 手段を追加登録しておくこと。ベーシックな SMS 認証があれば十分だが、 Authy も追加してバックアップを有効化しておくと盤石。

2. バックアップを有効化した後で追加したアカウントはバックアップ対象外

そんなバカなと思ったが、そういうものらしい。

doitu.info

新しいアカウントを追加しても、バックアップが即座に自動的に実行されされることはありません。 これはつまり、放置しておくと最初に「クラウドのバックアップ」をオンにした以降に追加されたアカウントはバックアップされない、ということです。

対策としては、上記ページにあるように、バックアップをオフ(削除)→オン、という操作で最新のバックアップを再作成できるらしい。

まとめ

  • 2FA app は Authy 一択
  • 2FA app を過信しないこと。電話番号 (SMS) 認証を追加できる場合は追加すべき
  • Microsoft Authenticator のバックアップ機能にはガッカリ