Azure Active Directory の多要素認証のデプロイを計画する

Azure Active Directory (Azure AD) Multi-Factor Authentication により、データとアプリケーションへのアクセスが保護でき、2 つ目の形式の認証を使用して別のセキュリティ層が提供されます。 組織は、条件付きアクセスを使用して多要素認証 (MFA) を有効にし、ソリューションを組織の特定のニーズに適合させることができます。

このデプロイ ガイドでは、Azure AD Multi-Factor Authentication のロールアウトを計画して実装する方法について説明します。

Azure AD Multi-Factor Authentication をデプロイするための前提条件

デプロイを開始する前に、関連するシナリオについて次の前提条件が満たされていることを確認してください。

シナリオ 前提条件
先進認証を使用するクラウド専用の ID 環境 前提となるタスクなし
ハイブリッド ID のシナリオ Azure AD Connect をデプロイし、オンプレミスの Active Directory Domain Services (AD DS) と Azure AD の間でユーザー ID を同期する。
クラウド アクセス用に公開されたオンプレミスのレガシ アプリケーション Azure AD アプリケーション プロキシをデプロイする

MFA の認証方法を選択する

2 つ目の要素の認証に使用できる方法は多数あります。 使用可能な認証方法の一覧から選択して、セキュリティ、使いやすさ、可用性の観点からそれぞれを評価できます。

重要

複数の MFA の方法を有効にして、最初の方法を使用できないときにユーザーがバックアップの方法を使用できるようにします。 次のメソッドがあります。

テナントで使用される認証方法を選択するときには、これらの方法のセキュリティと使いやすさを考慮してください。

適切な認証方法の選択

これらの方法の強度とセキュリティ、およびそれらの動作の詳細については、次のリソースを参照してください。

この PowerShell スクリプトを使用すると、ユーザーの MFA 構成を分析し、適切な MFA 認証方法を提案できます。

最適な柔軟性と使いやすさを実現するには、Microsoft Authenticator アプリを使用してください。 この認証方法は、パスワードレス、MFA のプッシュ通知、OATH コードなど、最適なユーザー エクスペリエンスと複数のモードを提供します。 Microsoft Authenticator アプリは、米国国立標準技術研究所 (NIST) の Authenticator Assurance Level 2 の要件にも対応しています。

テナントで使用できる認証方法を制御できます。 たとえば、SMS などの安全性の最も低い方法をブロックすることができます。

認証方法 管理方法 Scoping
Microsoft Authenticator (プッシュ通知とパスワードレスの電話によるサインイン) MFA の設定または認証方法ポリシー Authenticator のパスワードレスの電話によるサインインのスコープをユーザーとグループに設定できます
FIDO2 セキュリティ キー 認証方法ポリシー ユーザーとグループにスコープを設定できます
ソフトウェアまたはハードウェアの OATH トークン MFA の設定
SMS による認証 MFA の設定
プライマリ認証の SMS サインインを認証ポリシーで管理します。
SMS サインインのスコープをユーザーとグループに設定できます。
音声通話 認証方法ポリシー

条件付きアクセス ポリシーを計画する

Azure AD Multi-Factor Authentication は、条件付きアクセス ポリシー付きで実施されます。 これらのポリシーを使用すると、セキュリティのために必要な場合はユーザーに MFA を要求し、不要な場合はユーザーに対して何も行わないようにすることができます。

概念的な条件付きアクセスのプロセス フロー

Azure portal では、 [Azure Active Directory]>[セキュリティ]>[条件付きアクセス] で条件付きアクセス ポリシーを構成します。

条件付きアクセス ポリシーの作成の詳細については、ユーザーが Azure portal にサインインするときに Azure AD Multi-Factor Authentication を要求する条件付きアクセス ポリシーに関するページを参照してください。 これにより、以下の知識が得られます。

  • ユーザー インターフェイスに慣れる。
  • 条件付きアクセスのしくみについて第一印象を得る。

Azure AD の条件付きアクセスのデプロイに関するエンドツーエンドのガイドについては、条件付きアクセスのデプロイ計画に関するページを参照してください。

Azure AD Multi-Factor Authentication の一般的なポリシー

Azure AD Multi-Factor Authentication を必要とする一般的なユース ケースには、次のようなものがあります。

ネームド ロケーション

条件付きアクセス ポリシーを管理するには、条件付きアクセス ポリシーの場所の条件によって、アクセス制御設定をユーザーのネットワークの場所に関連付けることができます。 IP アドレスの範囲または国や地域の論理グループを作成できるように、ネームド ロケーションを使用することをお勧めします。 これにより、そのネームド ロケーションからのサインインをブロックする、すべてのアプリ用のポリシーが作成されます。 管理者はこのポリシーから必ず除外してください。

リスクベースのポリシー

組織で Azure AD Identity Protection を使用してリスクの徴候を検出している場合は、ネームド ロケーションではなく、リスクベースのポリシーを使用することを検討してください。 ポリシーは、ID 侵害の脅威がある場合にパスワードの変更を強制したり、資格情報の漏洩、匿名 IP アドレスからのサインインなど、サインインが危険と見なされる場合に MFA を要求したりするために作成することができます。

リスク ポリシーには次のものが含まれます。

ユーザーをユーザーごとの MFA から条件付きアクセス ベースの MFA に変換する

ユーザーごとに有効化および適用された MFA を使用してユーザーが有効にされた場合、次の PowerShell が条件付きアクセス ベースの MFA への変換に役立ちます。

この PowerShell を ISE ウィンドウで実行するか、.PS1 ファイルとして保存し、ローカルで実行します。 この操作は、MSOnline モジュールを使用することによってのみ実行できます。

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

ユーザー セッションの有効期間を計画する

多要素認証のデプロイを計画するときには、ユーザーに入力を求める頻度を検討することが重要です。 ユーザーに資格情報を求めることはしばしば目的にかなっているように思われますが、不足の結果に終わる可能性があります。 考えることなしに資格情報を入力するようにユーザーが訓練されている場合、悪意のある資格情報プロンプトに情報を意図せず渡してしまうことがあります。 Azure AD には、再認証を必要とする頻度を決定する複数の設定があります。 ビジネスおよびユーザーのニーズを理解し、環境が最適なバランスとなる設定を構成してください。

特定のビジネスのユース ケースでのみサインイン頻度ポリシーを使用して、エンド ユーザーのエクスペリエンスを向上させ、セッションの有効期間を短縮するために、プライマリ更新トークン (PRT) を持つデバイスを使用することをお勧めします。

詳細については、「再認証プロンプトを最適化し、Azure AD Multi-Factor Authentication のセッションの有効期間について理解する」を参照してください。

ユーザーの登録を計画する

多要素認証のすべてのデプロイの主要な手順は、Azure AD Multi-Factor Authentication を使用するためにユーザーを登録してもらうことです。 音声や SMS などの認証方法では事前登録が可能ですが、Authenticator アプリのような他の認証方法ではユーザーによる操作が必要となります。 管理者は、ユーザーがメソッドを登録する方法を決定する必要があります。

SSPR と Azure AD MFA に対する統合された登録

注意

2020 年 8 月 15 日以降は、新しい Azure AD テナントで統合されたすべての登録が自動的に有効になります。 この日付より後に作成されたテナントは、従来の登録ワークフローを利用できなくなります。 2022 年 9 月 30 日以降は、すべての既存の Azure AD テナントで、統合された登録が自動的に有効になります。

Azure AD Multi-Factor Authentication とセルフサービス パスワード リセット (SSPR) の統合された登録エクスペリエンスを、組織で使用することをお勧めします。 SSPR により、ユーザーは、Azure AD Multi-Factor Authentication に使用する場合と同じ方法を使用して、セキュリティで保護された方法でパスワードをリセットすることができます。 統合された登録は、エンド ユーザーにとっては 1 つの手順です。 機能とエンド ユーザー エクスペリエンスを確実に理解するには、統合されたセキュリティ情報の登録の概念に関する記事を参照してください。

予定されている変更、登録要件、必要なユーザー操作について、ユーザーに通知することが重要です。 お客様のユーザーに新しいエクスペリエンスに向けて準備をさせ、ロールアウトの確実な成功を支援するために、通信テンプレートユーザー ドキュメントが用意されています。 ユーザーを https://myprofile.microsoft.com に誘導し、そのページの [セキュリティ情報] リンクを選択して登録してもらいます。

Identity Protection を使用する登録

Azure AD Identity Protection は、Azure AD Multi-factor Authentication の状況に対し、登録ポリシーと、自動化されたリスクの検出と修復のポリシーの両方の点で寄与します。 ID 侵害の脅威があるときにパスワードの変更を強制するポリシー、またはサインインにリスクがあると認められるときに MFA を要求するポリシーを作成できます。 Azure AD Identity Protection を使用する場合は、ユーザーが対話形式で次にサインインするときに登録を求めるように、Azure AD MFA 登録ポリシーを構成します。

Identity Protection を使用しない登録

Azure AD Identity Protection を有効にするライセンスがない場合、ユーザーは、次にサインインで MFA が必要となったときに登録を求められます。 ユーザーに MFA を使用するように求めるには、条件付きアクセス ポリシーを使用して、HR システムなどの頻繁に使用されるアプリケーションを対象にすることができます。 ユーザーのパスワードが侵害された場合は、それを MFA の登録のために使用して、ユーザーのアカウントを制御することができます。 そのため、信頼されたデバイスと場所を必要とする条件付きアクセス ポリシーでセキュリティ登録プロセスを保護することをお勧めします。 また、一時アクセス パスも要求することにより、このプロセスをさらにセキュリティで保護することができます。 管理者によって発行される期間限定のパスコードは、強力な認証の要件を満たし、パスワードレスの方法を含む他の認証方法をオンボードするために使用できます。

登録されたユーザーのセキュリティを強化する

SMS または音声通話を使用した MFA に登録されているユーザーがいる場合は、Microsoft Authenticator アプリなどのより安全な方法に移行できます。 Microsoft では、ユーザーにサインイン時に Microsoft Authenticator アプリのセットアップを求めることができるようにする機能のパブリック プレビューを提供しています。 これらのセットアップの要請はグループ別に設定して、セットアップを求めるユーザーを制御できます。これにより、対象を限定したキャンペーンでユーザーをより安全な方法に移行できます。

復旧シナリオを計画する

既に説明したように、ユーザーが複数の MFA の方法に登録するようにして、1 つの方法が使用できない場合にバックアップがあるようにします。 ユーザーに使用可能なバックアップの方法がない場合は、次のようにすることができます。

  • 自分の認証方法を管理できるように、それらのユーザーに一時アクセス パスを提供します。 また、リソースに一時的にアクセスできる一時アクセス パスを提供することもできます。
  • 管理者としてそれらのユーザーの方法を更新します。 これを行うには、Azure portal でユーザーを選択し、[認証方法] を選択して、方法を更新します。 ユーザーへの伝達

オンプレミスのシステムとの統合を計画する

Azure AD に対して直接認証し、最新の認証 (WS-Fed、SAML、OAuth、OpenID Connect) が使用されるアプリケーションでは、条件付きアクセス ポリシーを使用できます。 一部のレガシおよびオンプレミスのアプリケーションでは、Azure AD に対して直接認証が行われず、Azure AD Multi-Factor Authentication を使用するには追加の手順が必要となります。 Azure AD アプリケーション プロキシまたはネットワーク ポリシー サービスを使用してそれらを統合できます。

AD FS リソースとの統合

Active Directory フェデレーション サービス (AD FS) でセキュリティ保護されているアプリケーションを Azure AD に移行することをお勧めします。 ただし、これらを Azure AD に移行する準備ができていない場合は、Azure Multi-Factor Authentication アダプターを AD FS 2016 以降で使用できます。

組織が Azure AD とフェデレーションされている場合は、オンプレミスとクラウドの両方で、AD FS リソースを使用した認証プロバイダーとして Azure AD Multi-Factor Authentication を構成できます。

RADIUS クライアントと Azure AD Multi-Factor Authentication

RADIUS 認証を使用しているアプリケーションの場合は、クライアント アプリケーションを最新のプロトコル (SAML、Open ID Connect、Azure AD 上の OAuth など) に移行することをお勧めします。 アプリケーションを更新できない場合は、Azure MFA 拡張機能を持つネットワーク ポリシー サーバー (NPS) をデプロイできます。 ネットワーク ポリシー サーバー (NPS) 拡張機能は、RADIUS ベースのアプリケーションと Azure AD MFA の間のアダプターとして機能し、認証の 2 番目の要素が提供されます。

一般的な統合

多くのベンダーでアプリケーションの SAML 認証がサポートされるようになりました。 可能な場合は、これらのアプリケーションを Azure AD とフェデレーションし、条件付きアクセスを使用して MFA を適用することをお勧めします。 ベンダーが先進認証をサポートしていない場合は、NPS 拡張機能を使用できます。 一般的な RADIUS クライアントの統合には、リモート デスクトップ ゲートウェイVPN サーバーなどのアプリケーションが含まれます。

その他の統合を次に示します。

  • Citrix Gateway

    Citrix Gateway では、RADIUS と NPS の両方の拡張機能の統合と、SAML 統合がサポートされています。

  • Cisco VPN

    • Cisco VPN では、SSO の RADIUS 認証と SAML 認証の両方がサポートされています。
    • RADIUS 認証から SAML に移行すると、NPS 拡張機能をデプロイすることなく、Cisco VPN を統合できます。
  • すべての VPN

Azure AD Multi-Factor Authentication をデプロイする

Azure AD Multi-Factor Authentication のロールアウト計画には、パイロット デプロイと、それに続くサポート キャパシティ内でのデプロイ ウェーブが含まれる必要があります。 条件付きアクセス ポリシーをパイロット ユーザーの小さなグループに適用することによってロールアウトを開始します。 パイロット ユーザー、使用されたプロセス、および登録動作への影響を評価した後、ポリシーにグループを追加するか、既存のグループにユーザーを追加することができます。

次の手順に従います。

  1. 必要な前提条件を満たします
  2. 選択した認証方法を構成します
  3. 条件付きアクセス ポリシーを構成します
  4. セッションの有効期間設定を構成します
  5. Azure AD MFA 登録ポリシーを構成します

Azure AD Multi-Factor Authentication を管理する

このセクションでは、Azure AD Multi-Factor Authentication のレポートとトラブルシューティングに関する情報を提供します。

レポートと監視

Azure AD には、技術的な分析情報とビジネス上の分析情報の提供、デプロイの進行状況の追跡、ユーザーが MFA でのサインインに成功したかどうかの確認を行うためのレポートがあります。 ビジネスおよび技術アプリケーションの所有者に、組織の要件に基づいてこれらのレポートの所有権を引き受けさせ、レポートを使用させます。

認証方法アクティビティのダッシュボードを使用すると、組織全体での認証方法の登録と使用を監視できます。 これにより、登録中の方法や各方法の使用状況を把握できます。

MFA イベントを確認するためのサインイン レポート

Azure AD サインイン レポートには、ユーザーが MFA を求められたときのイベントの認証詳細と、条件付きアクセス ポリシーが使用されていたかどうかが含まれています。 また、Azure AD Multi-Factor Authentication に登録されているユーザーのレポートを作成するために PowerShell を使用することもできます。

クラウド MFA アクティビティの NPS 拡張機能と AD FS のログがサインイン ログに含まれるようになり、[セキュリティ]>[MFA]>[アクティビティ レポート] に発行されなくなります。

詳細およびその他の Azure AD Multi-Factor Authentication レポートについては、Azure AD Multi-Factor Authentication イベントの確認に関する記事を参照してください。

Azure AD Multi-Factor Authentication のトラブルシューティング

一般的な問題については、Azure AD Multi-Factor Authentication のトラブルシューティングに関する記事を参照してください。

次のステップ

その他の ID 機能をデプロイする