Azure

【Azure AD 】多要素認証をする

2018年4月9日


Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

Warning: preg_match(): Compilation failed: unrecognized character follows \ at offset 1 in /home/r5652521/public_html/soma-engineering.com/wp-content/themes/affinger/functions.php on line 1548

こんにちは!

 

Azure AD で、ユーザーの認証を多要素認証に変更してみました。

 

 

通常、Azure AD でユーザーを作成した場合、Azure AD に認証する場合は、ユーザー名とパスワードの組み合わせで認証します。

オンプレミスの Active Directory を使用する場合、基本的に認証は社内ネットワークのみで完結します。

一方で、Azure AD の場合、Active Directory がクラウド上にある為に、Azure AD のみ使用する場合は、認証はインターネット越しで行われます。

 

 

 

上記の場合、基本的にオンプレミスの AD と比較した時に、セキュリティ的にリスクが高くなるかと思います。

(ユーザー名が分かれば、クラウドなので誰でも認証を試みる事ができてしまいます。)

 

 

よって、このセキュリティリスクは何らかの方法で強化するほうが良いでしょう。

そこで、多要素認証という方法があります。

 

 

Azure AD の多要素認証の良い点として、設定が簡単で使いやすい事です。また、可用性が 99.9% が保証されております。

これなら安心して使用できますよね。

あと、Azure AD とつながるアプリケーションであれば、アプリに手を加えることなく Azure AD の多要素認証が使えるという点です。

 

 

では早速ですが、手順は以下の方法で設定できましたので、参考に頂ければと思います。

 

 

注意:Azure Multi-Factor Authentication を使用するには、Azure AD Premium ( P1 または P2 ) のライセンスが必要です。

 

PC 側の設定

 

1. Azure にログインして、Azure Active Directory へアクセスします。

 

2. 多要素認証を設定するユーザーを選択します。(チェックボックスをオン)

 

3. Multi-Factor Authentication をクリックします。

 

4. 多要素認証を有効にしたいユーザーが選択されている事を確認し、[有効] をクリックします。

 

5. [multi-factor auth を有効にする] をクリックします。

 

 

6.  対象ユーザーにて多要素認証が有効になりましたので、[閉じる] をクリックします。

 

7. MULTI-FACTOR AUTHENTICATION の状態が有効になっている事を確認します。

 

8. Microsoft Azure にサインインします。ここでは、多要素認証が有効化されたユーザーでサインインします。

 

10. パスワードを入力して、[サインイン] をクリックします。

 

11. 多要素認証の設定をしますので、[今すぐセットアップ] をクリックします。

 

12. 多要素認証の方法を選びます。

 

13. ここでは、モバイルアプリによる多要素認証(2段階認証目)の設定しますので、手順1ではモバイルアプリを選択しました。これ以降はその設定内容になります。

2段階認証目のセットアップとして、次の 3 つがあります。

  1. 会社電話:電話がかかってきます。音声指示にしたがって、# を押します。
  2. 携帯電話:電話がかかってきます。音声指示にしたがって、# を押します。
  3. モバイルアプリ:モバイルアプリへの承認通知にタッチして応答するか、定期的に生成されるワンタイムパスワードを使用する。

 

14. モバイルアプリ上でトークンを表示させたいので、[確認コード] を使用するを選択して、[セットアップ] します。

 

15. この画面が表示されましたら、一旦 PC 側の設定はここまでとし、画面はそのままにしておきます。

(注意:後程、モバイル側から QR コードを読み取りますので画面を閉じたりしないでください。)

 

今度はモバイル側での設定をします。

今回は iPhone で設定しましたので、以降、iPhone の設定内容になります。

 

 

iPhone 側の設定

 

16. App Store から、下記画面の Microsoft Authenticator アプリをインストールします。

 

17. インストールが完了しましたら、アプリを開きます。通知は任意なのでどちらか選択します。

 

18. [アカウント追加] をタッチします。

 

19. 職場または学校アカウント をタッチします。

 

20. カメラを有効にして、次の手順にある QR コードを読み取りますので、[OK] をタッチします。

 

20. 手順 15. でそのままになっている PC画面に表示されている、QR コードを読み取ります。

 

21. トークンが表示されました。

 

 

ひとまず、iPhone 側でトークンを表示できました。次にトークンを有効化しますので PC 画面に戻ります。

 

PC 側の設定

 

22. 追加のセキュリティ確認で、モバイルアプリ上でトークンを表示させたいので、モバイルアプリを選択し、[確認コード] を使用するを選択して、[次へ] をクリックします。

 

22. iPhone のアプリでトークンを見て、トークンコードを入力して [確認] をクリックします。

(トークンは有効な時間があるので、時間内にこの手順を完了してください。)

 

 

23. モバイルアプリが使用できなくなった場合の認証です。国番号を選択し、電話番号を選択します。

 

24. 多要素認証に電話が対応していないアプリでは、アプリパスワードを使いしますので、パスワードを控えておきます。

 

 

ここまでの手順で、トークンも有効になりました。実際、多要素認証できるか確認してみます。

 

 

25. Microsoft Azure にサインインします。多要素認証が設定されたアカウントをクリックします。

 

26. パスワードを入力し、[サインイン] をクリックします。

(このパスワードは今まで使っているパスワードで、トークンではありませんので注意してください。)

 

27. コードの入力では、トークンを入力しますので、iPhone のアプリからコードを見て入力し、[検証] をクリックします。

 

28. 見事、サインインが完了して、ポータル画面が表示されました。

 

 

いかがでしょうか。

 

 

おすすめなのが、モバイルアプリでのワンタイムパスワードを使う方法です。会社のスマホにインストールができるならハードウェアトークンが不要ですし、手軽に実装ができるかと思います。

多要素認証においては、Azure AD のものだけではなく、サードパーティーのソリューションも使えるようです。

 

 

 

以上、最後までお読みいただきありがとうございました!

 

参考サイト

Azure Multi-Factor Authentication とは | Microsoft Azure

https://docs.microsoft.com/ja-jp/azure/multi-factor-authentication/multi-factor-authentication

 

 

おすすめの本はこちら ↓↓↓

 

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-Azure
-,


Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637

Warning: Trying to access array offset on value of type null in /home/r5652521/public_html/soma-engineering.com/wp-content/plugins/amazonjs/amazonjs.php on line 637