Azure Active Directory 認証とは

ID プラットフォームの主な機能の 1 つとして、ユーザーがデバイス、アプリケーション、またはサービスにサインインする際の資格情報の確認、つまり "認証" があります。 Azure Active Directory (Azure AD) での認証は、ユーザー名とパスワードの確認だけではありません。 セキュリティを強化し、ヘルプ デスクによるサポートのニーズを軽減するために、Azure AD の認証には、次の構成要素が含まれています。

  • セルフサービス パスワード リセット
  • Azure AD Multi-Factor Authentication
  • パスワードの変更をオンプレミス環境に書き戻すためのハイブリッド統合
  • パスワード保護ポリシーをオンプレミス環境に適用するためのハイブリッド統合
  • パスワードレスの認証

これらの認証コンポーネントの詳細については、こちらのショート ビデオをご覧ください。

エンドユーザーのエクスペリエンスを向上させる

Azure AD は、ユーザーの ID を保護し、サインイン エクスペリエンスを簡略化するのに役立ちます。 セルフサービス パスワード リセットなどの機能により、ユーザーは任意のデバイスから Web ブラウザーを使用して自分のパスワードを更新または変更することができます。 この機能が特に役立つのは、ユーザーがパスワードを忘れた場合やアカウントがロックされた場合です。 ヘルプデスクや管理者の対応を待つことなく、ユーザーは自分自身のブロックを解除し、作業を継続することができます。

Azure AD Multi-Factor Authentication を使用すると、ユーザーは、サインイン時の認証形式を追加で選択できます (通話、モバイル アプリ通知など)。 この機能によって、ハードウェア トークンなど、単一の固定された形式のセカンダリ認証の必要性が低減します。 追加の認証形式をユーザーが有していなければ、別の方法を選んで作業を継続することができます。

サインイン画面で使用されている認証方法

パスワードレス認証を使用すれば、ユーザーが安全なパスワードを作成して記憶する必要がなくなります。 Windows Hello for Business や FIDO2 セキュリティ キーなどの機能を使用すると、ユーザーはパスワードなしで、デバイスやアプリケーションにサインインできます。 この機能により、さまざまな環境でパスワードを管理する複雑さが軽減されます。

セルフサービス パスワード リセット

セルフサービス パスワード リセットにより、ユーザーは、管理者やヘルプ デスクが関与することなく、自分のパスワードを変更またはリセットできるようになります。 ユーザーはアカウントがロックされた場合やパスワードを忘れた場合でも、画面の指示に従って自分自身のブロックを解除して、作業に戻ることができます。 この機能により、ユーザーが自分のデバイスやアプリケーションにサインインできなくなった場合のヘルプ デスクの問い合わせが減り、生産性の喪失も軽減されます。

セルフサービス パスワード リセットは、次のようなシナリオで役立ちます。

  • パスワードの変更 - ユーザーが自分のパスワードを知っているものの、新しいパスワードへの変更を希望する場合。
  • パスワードのリセット - ユーザーがパスワードを忘れるなどしてサインインできず、パスワードのリセットを希望する場合。
  • アカウントのロック解除 - アカウントがロックアウトされているためにサインインできなくなったユーザーが、アカウントのロック解除を希望する場合。

ユーザーがセルフサービス パスワード リセットを使用して自分のパスワードを更新またはリセットすると、そのパスワードは、オンプレミスの Active Directory 環境に書き戻すこともできます。 パスワード ライトバックのおかげで、ユーザーは、更新された資格情報をすぐに、オンプレミスのデバイスやアプリケーションで使用できるようになります。

Azure AD Multi-Factor Authentication

多要素認証は、携帯電話にコードを入力する、指紋スキャンを行うなど、サインイン プロセス中に追加で本人確認できるものをユーザーに求めるプロセスです。

ユーザーの認証にパスワードのみを使用する場合、不安な攻撃ベクトルが残ります。 パスワードの強度が低いか、どこかで流出していたとしたら、そのユーザー名とパスワードでサインインしようとしているユーザーは本人なのか、攻撃者なのかわかりません。 2 つ目の認証形式を義務付ければ、その二次的な要素は攻撃者が容易に取得したり複製したりできるようなものではないため、セキュリティが向上します。

さまざまな形式の多要素認証の概念図

Azure AD Multi-Factor Authentication は、次の認証方法のうち 2 つ以上を要求することで機能します。

  • ユーザーが知っているもの (通常はパスワード)。
  • ユーザーが持っているもの (携帯電話やハードウェア キーのように、簡単には複製できない信頼できるデバイスなど)。
  • ユーザー自身 (指紋スキャンや顔面認識などの生体認証)。

オンボーディング エクスペリエンスを簡略化するために、セルフサービス パスワード リセットと Azure AD Multi-Factor Authentication の両方にユーザー自身が 1 回のステップで登録できるようになっています。 どのような形式のセカンダリ認証を使用できるかは、管理者が定義できます。 Azure AD Multi-Factor Authentication は、ユーザーがセルフサービス パスワード リセットを実行する場合に、さらにそのプロセスのセキュリティを高めるために義務付けることもできます。

パスワード保護

既定で、脆弱なパスワード (Password1 など) は Azure AD によってブロックされます。 既知の脆弱なパスワードを含んだグローバル禁止パスワード リストが自動的に更新されて適用されます。 Azure AD ユーザーが自分のパスワードをこれらの脆弱なパスワードのいずれかに設定しようとすると、より安全なパスワードを選択するよう通知されます。

セキュリティを強化するために、カスタム パスワード保護ポリシーを定義できます。 これらのポリシーでは、フィルターを使用して、Contoso などの名前や London のような地名が含まれるパスワードのバリエーションをブロックすることができます。

ハイブリッド セキュリティが必要であれば、Azure AD によるパスワード保護をオンプレミスの Active Directory 環境と統合することができます。 オンプレミス環境にインストールされたコンポーネントが Azure AD からグローバル禁止パスワード リストとカスタム パスワード保護ポリシーを受信すると、ドメイン コントローラーがそれらを使用してパスワード変更イベントを処理します。 ユーザーがどこでどのように資格情報を変更しても、このハイブリッドなアプローチであれば、強力なパスワードの使用を確実に強制することができます。

パスワードレスの認証

多くの環境が最終的に目指しているのは、サインイン イベントの過程でパスワードの使用をなくすことです。 Azure パスワード保護や Azure AD Multi-Factor Authentication などの機能はセキュリティの強化に役立ちますが、ユーザー名とパスワードは、流出やブルート フォース攻撃の標的になりうる脆弱な認証形式であることに変わりありません。

パスワードレスに至るまでの認証プロセスでのセキュリティと利便性の関係

パスワードレスの方法でサインインする際には、Windows Hello for Business での生体認証や FIDO2 セキュリティ キーなどの方法を使用して資格情報が渡されます。 これらの認証方法は、攻撃者が簡単に複製することはできません。

ユーザーのサインイン エクスペリエンスを簡略化し、攻撃のリスクを軽減するために、Azure AD にはパスワードレスの方法を使用してネイティブに認証する方法が用意されています。

ブラウザーの Cookie

Web ブラウザーを使用して Azure Active Directory に対して認証を行う場合、プロセスには複数の Cookie が関係します。 一部の Cookie はすべての要求に共通であり、他の Cookie は特定のシナリオ (特定の認証フローや特定のクライアント側の条件など) に固有です。

永続セッショントークンは Web ブラウザーの Cookie jar に永続 Cookie として保存され、非永続セッショントークンは Web ブラウザーにセッション Cookie として保存され、ブラウザー セッションが閉じられると破棄されます。

Cookie の名前 Type 説明
ESTSAUTH 共通 SSO を容易にするためのユーザーのセッション情報が含まれています。 一時的。
ESTSAUTHPERSISTENT 共通 SSO を容易にするためのユーザーのセッション情報が含まれています。 永続的:
ESTSAUTHLIGHT 共通 セッション GUID 情報が含まれます。 OIDC のサインアウトを容易にするために、クライアント側の JavaScript によって排他的に使用される Lite セッション状態 Cookie。セキュリティ機能。
SignInStateCookie 共通 サインアウトを容易にするためにアクセスされるサービスの一覧が含まれます。ユーザー情報がありません。 セキュリティ機能。
CCState 共通 Azure AD と Azure AD Backup Authentication Service 間で使用されるセッション情報の状態が含まれます。
buid 共通 ブラウザー関連情報を追跡します。 サービス テレメトリと保護メカニズムに使用されます。
fpc 共通 ブラウザー関連情報を追跡します。 要求と調整の追跡に使用されます。
esctx 共通 セッション コンテキスト Cookie 情報。 CSRF 保護の場合。 要求を特定のブラウザー インスタンスにバインドして、要求をブラウザーの外部で再生できないようにします。 ユーザー情報はありません。
ch 共通 ProofOfPossessionCookie。 所有証明 Cookie ハッシュをユーザー エージェントに保存します。
ESTSSC 共通 セッション数情報を含むレガシ Cookie は使用されなくなりました。
ESTSSSOTILES 共通 セッションのサインアウトを追跡します。値 "ESTSSSOTILES=1" で存在し、有効期限が切れていない場合、特定の SSO 認証モデルに対して SSO が中断され、ユーザー アカウント選択用のタイルが表示されます。
AADSSOTILES 共通 セッションのサインアウトを追跡します。ESTSSSOTILES に似ていますが、他の特定の SSO 認証モデルの場合と同様です。
ESTSUSERLIST 共通 ブラウザー SSO ユーザーの一覧を追跡します。
SSOCOOKIEPULLED 共通 特定のシナリオでのループを防止します。 ユーザー情報はありません。
cltm 共通 テレメトリの目的のため。 AppVersion、ClientFlight、およびネットワークの種類を追跡します。
brcap 共通 クライアント/Web ブラウザーのタッチ機能を検証するためのクライアント側 Cookie (JavaScript によって設定)。
clrc 共通 クライアント上のローカル キャッシュ セッションを制御するためのクライアント側 Cookie (JavaScript によって設定)。
CkTst 共通 クライアント側 Cookie (JavaScript によって設定)。 アクティブでは使用されなくなりました。
wlidperf 共通 パフォーマンスのためにローカル時刻を追跡するクライアント側 Cookie (JavaScript によって設定されます)。
x-ms-gateway-slice 共通 追跡と負荷分散の目的で使用される Azure AD Gateway Cookie。
stsservicecookie 共通 Azure AD Gateway Cookie は、追跡目的にも使用されます。
x-ms-refreshtokencredential 固有 プライマリ更新トークン (PRT) が使用中の場合に使用できます。
estsStateTransient 固有 新しいセッション情報モデルにのみ適用されます。 一時的。
estsStatePersistent 固有 estsStateTransient と同じですが、永続的です。
ESTSNCLOGIN 固有 National Cloud Login 関連の Cookie。
UsGovTraffic 固有 US Gov Cloud Traffic Cookie。
ESTSWCTXFLOWTOKEN 固有 ADFS にリダイレクトするときに flowToken 情報を保存します。
CcsNtv 固有 Azure AD ゲートウェイが Azure AD Backup Authentication Service に要求を送信するタイミングを制御します。 ネイティブ フロー。
CcsWeb 固有 Azure AD ゲートウェイが Azure AD Backup Authentication Service に要求を送信するタイミングを制御します。 Web フロー。
Ccs* 固有 プレフィックス Ccs* を持つ Cookie は、プレフィックスのない Cookie と同じ目的を持ちますが、Azure AD Backup Authentication Service が使用されている場合にのみ適用されます。
threxp 固有 調整制御に使用されます。
rrc 固有 最近の B2B 招待の引き換えを識別するために使用される Cookie。
debug 固有 ユーザーのブラウザー セッションが DebugMode に対して有効になっているかどうかを追跡するために使用される Cookie。
MSFPC 固有 この Cookie は ESTS フローに固有のものではありませんが、存在する場合があります。 すべての Microsoft サイトに適用されます (ユーザーが受け入れる場合)。 Microsoft のサイトを訪問する固有のブラウザーを識別します。 広告、サイト分析、およびその他の運用目的で使用されます。

注意

クライアント側の Cookie として識別される Cookie は、JavaScript によってクライアント デバイス上でローカルに設定されるため、HttpOnly=false でマークされます。

Cookie の定義とそれぞれの名前は、Azure AD サービスの要件に従って、いつでも変更される場合があります。

次のステップ

最初に、セルフサービス パスワード リセット (SSPR) のチュートリアルAzure AD Multi-Factor Authentication に関するページを参照してください。

セルフサービス パスワード リセットの概念の詳細については、Azure AD のセルフサービス パスワード リセットのしくみに関するページを参照してください。

多要素認証の概念の詳細については、Azure AD Multi-Factor Authentication のしくみに関するページを参照してください。