こんにちは!
Azure AD で、ユーザーの認証を多要素認証に変更してみました。
通常、Azure AD でユーザーを作成した場合、Azure AD に認証する場合は、ユーザー名とパスワードの組み合わせで認証します。
オンプレミスの Active Directory を使用する場合、基本的に認証は社内ネットワークのみで完結します。
一方で、Azure AD の場合、Active Directory がクラウド上にある為に、Azure AD のみ使用する場合は、認証はインターネット越しで行われます。
上記の場合、基本的にオンプレミスの AD と比較した時に、セキュリティ的にリスクが高くなるかと思います。
(ユーザー名が分かれば、クラウドなので誰でも認証を試みる事ができてしまいます。)
よって、このセキュリティリスクは何らかの方法で強化するほうが良いでしょう。
そこで、多要素認証という方法があります。
Azure AD の多要素認証の良い点として、設定が簡単で使いやすい事です。また、可用性が 99.9% が保証されております。
これなら安心して使用できますよね。
あと、Azure AD とつながるアプリケーションであれば、アプリに手を加えることなく Azure AD の多要素認証が使えるという点です。
では早速ですが、手順は以下の方法で設定できましたので、参考に頂ければと思います。
注意:Azure Multi-Factor Authentication を使用するには、Azure AD Premium ( P1 または P2 ) のライセンスが必要です。
PC 側の設定
1. Azure にログインして、Azure Active Directory へアクセスします。
2. 多要素認証を設定するユーザーを選択します。(チェックボックスをオン)
3. Multi-Factor Authentication をクリックします。
4. 多要素認証を有効にしたいユーザーが選択されている事を確認し、[有効] をクリックします。
5. [multi-factor auth を有効にする] をクリックします。
6. 対象ユーザーにて多要素認証が有効になりましたので、[閉じる] をクリックします。
7. MULTI-FACTOR AUTHENTICATION の状態が有効になっている事を確認します。
8. Microsoft Azure にサインインします。ここでは、多要素認証が有効化されたユーザーでサインインします。
10. パスワードを入力して、[サインイン] をクリックします。
11. 多要素認証の設定をしますので、[今すぐセットアップ] をクリックします。
12. 多要素認証の方法を選びます。
13. ここでは、モバイルアプリによる多要素認証(2段階認証目)の設定しますので、手順1ではモバイルアプリを選択しました。これ以降はその設定内容になります。
2段階認証目のセットアップとして、次の 3 つがあります。
- 会社電話:電話がかかってきます。音声指示にしたがって、# を押します。
- 携帯電話:電話がかかってきます。音声指示にしたがって、# を押します。
- モバイルアプリ:モバイルアプリへの承認通知にタッチして応答するか、定期的に生成されるワンタイムパスワードを使用する。
14. モバイルアプリ上でトークンを表示させたいので、[確認コード] を使用するを選択して、[セットアップ] します。
15. この画面が表示されましたら、一旦 PC 側の設定はここまでとし、画面はそのままにしておきます。
(注意:後程、モバイル側から QR コードを読み取りますので画面を閉じたりしないでください。)
今度はモバイル側での設定をします。
今回は iPhone で設定しましたので、以降、iPhone の設定内容になります。
iPhone 側の設定
16. App Store から、下記画面の Microsoft Authenticator アプリをインストールします。
17. インストールが完了しましたら、アプリを開きます。通知は任意なのでどちらか選択します。
18. [アカウント追加] をタッチします。
19. 職場または学校アカウント をタッチします。
20. カメラを有効にして、次の手順にある QR コードを読み取りますので、[OK] をタッチします。
20. 手順 15. でそのままになっている PC画面に表示されている、QR コードを読み取ります。
21. トークンが表示されました。
ひとまず、iPhone 側でトークンを表示できました。次にトークンを有効化しますので PC 画面に戻ります。
PC 側の設定
22. 追加のセキュリティ確認で、モバイルアプリ上でトークンを表示させたいので、モバイルアプリを選択し、[確認コード] を使用するを選択して、[次へ] をクリックします。
22. iPhone のアプリでトークンを見て、トークンコードを入力して [確認] をクリックします。
(トークンは有効な時間があるので、時間内にこの手順を完了してください。)
23. モバイルアプリが使用できなくなった場合の認証です。国番号を選択し、電話番号を選択します。
24. 多要素認証に電話が対応していないアプリでは、アプリパスワードを使いしますので、パスワードを控えておきます。
ここまでの手順で、トークンも有効になりました。実際、多要素認証できるか確認してみます。
25. Microsoft Azure にサインインします。多要素認証が設定されたアカウントをクリックします。
26. パスワードを入力し、[サインイン] をクリックします。
(このパスワードは今まで使っているパスワードで、トークンではありませんので注意してください。)
27. コードの入力では、トークンを入力しますので、iPhone のアプリからコードを見て入力し、[検証] をクリックします。
28. 見事、サインインが完了して、ポータル画面が表示されました。
いかがでしょうか。
おすすめなのが、モバイルアプリでのワンタイムパスワードを使う方法です。会社のスマホにインストールができるならハードウェアトークンが不要ですし、手軽に実装ができるかと思います。
多要素認証においては、Azure AD のものだけではなく、サードパーティーのソリューションも使えるようです。
以上、最後までお読みいただきありがとうございました!
参考サイト
Azure Multi-Factor Authentication とは | Microsoft Azure
https://docs.microsoft.com/ja-jp/azure/multi-factor-authentication/multi-factor-authentication
おすすめの本はこちら ↓↓↓