こんにちは、サイオステクノロジー技術部のKです。
Azure ADでは条件を満たすことで多要素認証機能を使用することができます。
ブラウザはもちろん、最近のOutlookでは先進認証が導入されており、ブラウザと同じように多要素含め認証することができます。
それなら、それ以外の先進認証に対応していないメールクライアントではどうすればいいのでしょうか?
気になったので調べてみました。
とりあえず何も考えず…
Azureが宜しくやってくれるかな?という期待を込めて、Azureで多要素認証を有効にした状態でメールクライアントから接続してみます。
ダメでしたorz 真面目に検証します。
メールクライアントから接続させる方法
メールクライアントから接続させる方法として、下記の2パターンあるようです。次項ではそれぞれ設定を行ってみます。
パターン①: アプリケーションパスワードの設定
パターン②: 条件付きアクセスの「クライアントアプリ(プレビュー)」機能
パターン①:アプリケーションパスワードの設定
Multi-Factor Authenticationで多要素認証を有効化し、アプリケーションパスワードを設定します。
準備
Azure Portal にサインインし、[Azure Active Directory] > [ユーザーとグループ] > [すべてのユーザー] > [Multi-Factor Authentication] を選択します。
[Multi-Factor Authentication] で [サービス設定] を選択します。
[サービス設定] ページで、[ブラウザーではないアプリケーションへのサインイン用にアプリケーション パスワードの作成を許可する] オプションを選択します。
[ユーザー] ページで、ユーザーを選択してMFAを有効化します。
以上で管理者側の設定は完了です。
次はユーザー自身でアプリケーションパスワードの発行が必要です。
アプリケーションパスワードの設定
ユーザー自身で https://aka.ms/mfasetup にアクセスし、[アプリケーション パスワード]を選択します。
[作成]ボタンをクリックして、アプリパスワードを作成します。
ちなみに1ユーザーにつき40個まで設定できるようです。
名前を設定し、[次へ]ボタンをクリックします。
パスワードを記録して[閉じる]ボタンで終了します。
ブラウザからアクセス
動作確認です。ブラウザからのアクセス時は多要素認証が必要でした。
メールクライアントからアクセス
先ほどコピーしたパスワードを入力し、認証できました。
と、いうことでパターン①は動作確認できました。
パターン②:条件付きアクセスの「クライアントアプリ(プレビュー)」機能
次に、パターン②の設定です。Azure ADの条件付きアクセス機能を使用する際の手順です。
条件付きアクセス機能で多要素認証を制御する場合、手順がパターン①と異なります。
準備
パターン①のMulti-Factor Authentication画面の多要素認証を有効にしていた場合は、無効にします。
例として下記のような条件を作成します。
- 特定ユーザーに対して、すべてのアプリで多要素認証を要求する
- 先進認証に対応していないメールクライアントは、ポリシーから除外する
Azure Portal にサインインし、[Azure Active Directory] > [条件付きアクセス] > [新しいポリシー] を選択します。
新規登録画面の[ユーザーとグループ] にて、ポリシーを適用する対象ユーザーを設定します。
[クラウドアプリ] で対象のアプリを選択します。
先進認証に対応していないメールクライアントをポリシー適用外にします。
[条件] > [クライアント アプリ(プレビュー)] > [構成:はい] > [他のクライアント]チェックを外します。
[アクセス制御]で多要素認証を有効化します。
最後に、ポリシーを有効化し、[作成]をクリックします。
以上で準備は完了です。ポリシーが反映されるまで数分かかるようです。
ブラウザからアクセス
動作確認です。パターン①と同様にブラウザからのアクセス時は多要素認証が必要でした。
メールクライアントからアクセス
通常のID/パスワードをメールクライアントで入力し、認証できることを確認します。
と、いうことでパターン②でもメールクライアントが利用できることを確認しました。
おわりに
2パターンの方法で、多要素認証環境下でメールクライアントが使用できることが分かりました。
まだプレビュー機能ですが、通常のID/パスワードで認証できるパターン②が個人的には使いやすいと感じました。
①と②の違いや、組み合わせたらどうなるのかな?など疑問があるので、もう少し調べてみようと思います。
