
概要
Azure Multi-Factor Authentication (MFA)を利用してOffice365へ2段階認証を行います。
2段階認証を導入する前に、今回の構成は下図であるものとします。
注意する必要があるのはAzureADを利用しないサードパーティのアプリケーションがある場合です。このときMFAを利用した2段階認証したい場合は、クラウドのMFAでは実現できず、オンプレミスのMFAを利用する必要があります。
ここでは、Office365というMicrosoftのファーストパーティのアプリケーションを利用する場合のMFAを使った2段階認証の方法を記載します。流れは以下です。
① Office365にアクセスすると、認証をオンプレミスのADFSのフェデレーションサービスに移譲しているのでリダイレクトされます。
② オンプレミスのADFSのフェデレーションサービスで認証が通るとOffice365(AzureAD)に返却します。
③ AzureADのターゲットのユーザはMFAが有効になっているので、2段階認証が求められます。
利用している環境にAzure Multi-Factor Authentication (MFA)を導入するにあっての、クラウドまたはオンプレミスどちらで利用する必要があるかの判断は下記のリンクが参考になります。
Azure MFA のクラウドとサーバーの比較 | Microsoft Docs
管理者からMFAを有効にする
では実際にMFAを有効にして動作確認を実施してみたいと思います。Azure クラッシックポータルにログインし、ActiveDirectoryの[MULTI-FACTORの管理]を選択します。
余談ですが、新ポータルからアクセスしてもクラッシックポータルにリダイレクトされるようになっていました。
ユーザの一覧が出力されるので対象のユーザを検索、選択し有効にします。
一般ユーザで2段階認証をセットアップする
2段階認証を有効にしましたので、実際にログインしてみます。ADFSの認証が通るとOffice365で初回セットアップを求められます。
2段階認証にはいくつか方法がありますが、今回はモバイルアプリの通知を利用したいと思います。
私はiOSのデバイスですので、モバイルアプリは Microsoft Authenticator を使います。
( Android Microsoft Authenticator - Google Play の Android アプリ )
確認の為の通知を受け取る
・・・通知がくるので承認ボタンを押すパターン。確認コードを利用する
・・・アプリに30秒サイクルで表示されるPINコードを入力するパターン
ここでは確認の為の通知を受け取る
を選択します。
モバイルアプリから表示されるQRコードをスキャンします。
そうするとアプリに登録されます。下図のように複数のアカウントサービスを登録できます。(上段は私のPersonalアカウントです。)
Office365に戻り、確認方法を選択し、「連絡する」を押します。
これで認証OKならば電話番号を登録して完了です。
再度ログインし直してみますと、モバイルに通知がきますので、承認します。
これも余談ですが、Apple Watchに対応してました。
モバイルデバイスを新しくした場合
意外と大変なのがモバイルデバイスを乗り換えた際です。登録できるデバイスは1つですので、モバイルデバイスを新しくすれば信頼するデバイスとして登録する必要があります。古いデバイスで一度認証すればよいかもしれませんが、手元に古いデバイスがない場合もあるかと思います。そういった場合は、登録した電話番号があるはずですのでこちらにSMSでPINコードを送信することで認証できます。一度別の方法で認証、ログインして信頼するデバイスを再度登録し直します。こちらは個人のアカウントで実施します。(ユーザに負担をかけたくなければ、管理者で一度2段階認証を無効にして再度有効すると良いと思います。)
ただこちらはモバイルアプリを使っている場合に限られますので、こういったデバイスの乗り換え手順を踏みたくなければ、最初から2段階認証の方法をSMSなどにしておくこともよいと思います。(私は10個ぐらいのサービスをモバイルアプリの2段階認証を使っていたので、全てのサービスの2段階認証を切り替えるその様はまさに苦行の一言でした。とは言ってもSMSは若干のタイムラグがあるので少しもどかしいです。個人的なオススメは使用頻度の高いサービスはモバイルアプリにして、そうでないものはSMSにするとよいです。)
下図の、「別の検証オプションを使用する」を選択し、SMS通知で認証します。
わかりにくいのですが、ここで「アカウントのセキュリティ認証に使用する電話番号を更新する」を選択します。(実際には新しいデバイスで2段階認証を使用できるようにするだけで、電話番号の更新はない)
最後に
以上でオンプレミスのAD FS によるフェデレーションを使用したOffice365の2段階認証は完了です。2段階認証(デバイス認証)はそのユーザが信頼できる端末で行うべきですのでそれが仕事で使うサービスであったとしても、どのように管理されてどのようにコントロールされているか不明な組織のデバイスを使用することはあまりオススメできません。
デバイスを家に忘れました? ジーザス。今日は帰ってもいいかボスに相談しましょう \(^o^)/
今回はOffice365というAzureADを利用したアプリケーションの2段階認証になりますが、これがAzureADを利用しないサードパーティなどのアプリケーションに対して2段階認証を行う場合は、オンプレミスにMFAサーバを用意する必要があります。機会があれば後ほど投稿いたします。
—
Kentaro Morone

>> 雑誌等の執筆依頼を受付しております。
ご希望の方はお気軽にお問い合わせください!
コメント投稿