オンプレミスのAD FS によるフェデレーションを使用したOffice365の2段階認証

概要

Azure Multi-Factor Authentication (MFA)を利用してOffice365へ2段階認証を行います。
2段階認証を導入する前に、今回の構成は下図であるものとします。

screenshot.1485415948

注意する必要があるのはAzureADを利用しないサードパーティのアプリケーションがある場合です。このときMFAを利用した2段階認証したい場合は、クラウドのMFAでは実現できず、オンプレミスのMFAを利用する必要があります。

ここでは、Office365というMicrosoftのファーストパーティのアプリケーションを利用する場合のMFAを使った2段階認証の方法を記載します。流れは以下です。

① Office365にアクセスすると、認証をオンプレミスのADFSのフェデレーションサービスに移譲しているのでリダイレクトされます。
② オンプレミスのADFSのフェデレーションサービスで認証が通るとOffice365(AzureAD)に返却します。
③ AzureADのターゲットのユーザはMFAが有効になっているので、2段階認証が求められます。

screenshot.1485159198

利用している環境にAzure Multi-Factor Authentication (MFA)を導入するにあっての、クラウドまたはオンプレミスどちらで利用する必要があるかの判断は下記のリンクが参考になります。
Azure MFA のクラウドとサーバーの比較 | Microsoft Docs

screenshot.1484901970

screenshot.1484901986

screenshot.1484902014

管理者からMFAを有効にする

では実際にMFAを有効にして動作確認を実施してみたいと思います。Azure クラッシックポータルにログインし、ActiveDirectoryの[MULTI-FACTORの管理]を選択します。

screenshot.1484902299

余談ですが、新ポータルからアクセスしてもクラッシックポータルにリダイレクトされるようになっていました。

screenshot.1484902360

ユーザの一覧が出力されるので対象のユーザを検索、選択し有効にします。
screenshot.1484902561
screenshot.1484902480
screenshot.1484902489

一般ユーザで2段階認証をセットアップする

2段階認証を有効にしましたので、実際にログインしてみます。ADFSの認証が通るとOffice365で初回セットアップを求められます。

screenshot.1484888655

screenshot.1484888153

2段階認証にはいくつか方法がありますが、今回はモバイルアプリの通知を利用したいと思います。
私はiOSのデバイスですので、モバイルアプリは Microsoft Authenticator を使います。
( Android Microsoft Authenticator - Google Play の Android アプリ )

  • 確認の為の通知を受け取る ・・・通知がくるので承認ボタンを押すパターン。
  • 確認コードを利用する ・・・アプリに30秒サイクルで表示されるPINコードを入力するパターン
    ここでは 確認の為の通知を受け取る を選択します。

screenshot.1484888192

モバイルアプリから表示されるQRコードをスキャンします。

screenshot.1484888220

そうするとアプリに登録されます。下図のように複数のアカウントサービスを登録できます。(上段は私のPersonalアカウントです。)
IMG_2814

Office365に戻り、確認方法を選択し、「連絡する」を押します。
これで認証OKならば電話番号を登録して完了です。

screenshot.1484888399

screenshot.1484888466

screenshot.1484888508

再度ログインし直してみますと、モバイルに通知がきますので、承認します。
これも余談ですが、Apple Watchに対応してました。

IMG_2819

screenshot.1484907802

承認してOffice365へのログイン完了です。
screenshot.1484888728

モバイルデバイスを新しくした場合

意外と大変なのがモバイルデバイスを乗り換えた際です。登録できるデバイスは1つですので、モバイルデバイスを新しくすれば信頼するデバイスとして登録する必要があります。古いデバイスで一度認証すればよいかもしれませんが、手元に古いデバイスがない場合もあるかと思います。そういった場合は、登録した電話番号があるはずですのでこちらにSMSでPINコードを送信することで認証できます。一度別の方法で認証、ログインして信頼するデバイスを再度登録し直します。こちらは個人のアカウントで実施します。(ユーザに負担をかけたくなければ、管理者で一度2段階認証を無効にして再度有効すると良いと思います。)

ただこちらはモバイルアプリを使っている場合に限られますので、こういったデバイスの乗り換え手順を踏みたくなければ、最初から2段階認証の方法をSMSなどにしておくこともよいと思います。(私は10個ぐらいのサービスをモバイルアプリの2段階認証を使っていたので、全てのサービスの2段階認証を切り替えるその様はまさに苦行の一言でした。とは言ってもSMSは若干のタイムラグがあるので少しもどかしいです。個人的なオススメは使用頻度の高いサービスはモバイルアプリにして、そうでないものはSMSにするとよいです。)

下図の、「別の検証オプションを使用する」を選択し、SMS通知で認証します。

screenshot.1484888677

screenshot.1484891194

わかりにくいのですが、ここで「アカウントのセキュリティ認証に使用する電話番号を更新する」を選択します。(実際には新しいデバイスで2段階認証を使用できるようにするだけで、電話番号の更新はない)
screenshot.1484891409

screenshot.1484891430

最後に

以上でオンプレミスのAD FS によるフェデレーションを使用したOffice365の2段階認証は完了です。2段階認証(デバイス認証)はそのユーザが信頼できる端末で行うべきですのでそれが仕事で使うサービスであったとしても、どのように管理されてどのようにコントロールされているか不明な組織のデバイスを使用することはあまりオススメできません。

デバイスを家に忘れました? ジーザス。今日は帰ってもいいかボスに相談しましょう \(^o^)/

今回はOffice365というAzureADを利用したアプリケーションの2段階認証になりますが、これがAzureADを利用しないサードパーティなどのアプリケーションに対して2段階認証を行う場合は、オンプレミスにMFAサーバを用意する必要があります。機会があれば後ほど投稿いたします。

Be the first to comment

コメント投稿

Your email address will not be published.


*