チュートリアル:Azure AD Multi-Factor Authentication を使用してユーザーのサインイン イベントのセキュリティを確保する

多要素認証 (MFA) は、サインイン イベント中にユーザーに追加の認証形式を要求するプロセスです。 たとえば、携帯電話でのコード入力や指紋のスキャンが求められる場合があります。 2 つ目の認証形式を要求すると、この追加要素は、攻撃者が容易に取得したり複製したりできないため、セキュリティが向上します。

Azure AD Multi-Factor Authentication と条件付きアクセス ポリシーを使用すると、特定のサインイン イベント中にユーザーに MFA を要求する柔軟性が得られます。 MFA の概要については、ビデオ「多要素認証を構成してテナントで適用する方法」をご覧ください。

重要

このチュートリアルでは、Azure AD Multi-Factor Authentication を有効にする方法を管理者に示します。

IT チームが Azure AD Multi-Factor Authentication を使用する機能を有効にしていない場合、またはサインイン時に問題が発生した場合は、ヘルプ デスクに連絡して追加のサポートを依頼してください。

このチュートリアルで学習する内容は次のとおりです。

  • ユーザーのグループに対して Azure AD Multi-Factor Authentication を有効にする条件付きアクセス ポリシーを作成する。
  • MFA を求めるポリシーの条件を構成する。
  • ユーザーとして多要素認証の構成と使用をテストする。

前提条件

このチュートリアルを完了するには、以下のリソースと特権が必要です。

  • Azure AD Premium P1 または試用版ライセンスが有効になっていて、正常に動作している Azure AD テナント。

  • 条件付きアクセス管理者セキュリティ管理者、またはグローバル管理者の特権のあるアカウント。 一部の MFA 設定は、認証ポリシー管理者が管理することもできます。 詳細については、認証ポリシー管理者をご覧ください。

  • パスワードがわかっている管理者以外のアカウント。 このチュートリアルでは、このようなアカウントとして、testuser という名前のアカウントを作成しています。 このチュートリアルでは、Azure AD Multi-Factor Authentication を構成して使用するエンドユーザー エクスペリエンスをテストします。

  • 管理者以外のユーザーが所属するグループ。 このチュートリアルでは、このようなグループとして、MFA-Test-Group という名前のグループを作成しています。 このチュートリアルでは、このグループに対して Azure AD Multi-Factor Authentication を有効にします。

条件付きアクセス ポリシーを作成する

Azure AD Multi-Factor Authentication を有効にして使用する手段として、条件付きアクセス ポリシーを使った方法が推奨されます。 条件付きアクセスを使用すると、サインイン イベントに反応し、アプリケーションまたはサービスへのアクセスをユーザーに許可する前に二次的なアクションを要求するポリシーを作成および定義することができます。

条件付きアクセスによってサインイン プロセスにセキュリティを確保するしくみを示す概要図

条件付きアクセス ポリシーは、特定のユーザー、グループ、アプリに適用できます。 目標は、組織を保護しながら、アクセスを必要とするユーザーに適切なレベルのアクセスを提供することです。

このチュートリアルでは、ユーザーが Azure portal にサインインしたときに MFA を求める基本的な条件付きアクセス ポリシーを作成します。 このシリーズの後続のチュートリアルでは、リスクベースの条件付きアクセス ポリシーを使用して Azure AD Multi-Factor Authentication を構成します。

まず、次のとおり条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てます。

  1. "グローバル管理者" のアクセス許可を持つアカウントを使用して、Azure portal にサインインします。

  2. Azure Active Directory を検索して選択します。 次に、左側のメニューで [セキュリティ] を選択します。

  3. [条件付きアクセス][+ 新しいポリシー][新しいポリシーの作成] の順に選択します。

    [条件付きアクセス] ページのスクリーンショット。[新しいポリシー] を選択し、[新しいポリシーの作成] を選択します。

  4. ポリシーの名前を入力します (例: MFA Pilot)。

  5. [割り当て] で、[ユーザーまたはワークロードの ID] の下の現在の値を選択します。

    [条件付きアクセス] ページのスクリーンショット。[ユーザーまたはワークロード ID] で現在の値を選択します。

  6. [このポリシーの適用対象] で、[ユーザーとグループ] が選択されていることを確認します。

  7. [含める] で、[ユーザーとグループを選択] をオンにし、[ユーザーとグループ] をオンにします。

    新しいポリシーを作成するためのページのスクリーンショット。ユーザーとグループを指定するオプションを選択します。

    まだ割り当てられていない場合は、ユーザーとグループの一覧 (次の手順を参照) が自動的に開きます。

  8. 使用する Azure AD グループ (MFA-Test-Group など) を参照して選択し、 [選択] を選択します。

    ユーザーとグループの一覧のスクリーンショット。結果は文字 M F A でフィルター処理され、

ポリシーを適用するグループを選択しました。 次のセクションでは、ポリシーを適用する条件を構成します。

多要素認証の条件を構成する

条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てたので、ポリシーをトリガーするクラウド アプリまたはアクションを定義します。 これらのクラウド アプリまたはアクションは、追加の処理 (多要素認証の要求など) を要求することを決定するシナリオです。 たとえば、財務アプリケーションへのアクセスまたは管理ツールの使用には、追加の認証を要求する必要があると決定した場合などが考えられます。

多要素認証を要求するアプリを構成する

このチュートリアルでは、ユーザーが Azure portal にサインインするときに多要素認証を要求するように条件付きアクセス ポリシーを構成します。

  1. [クラウド アプリまたはアクション] の下の現在の値を選択し、[このポリシーの適用対象を選択する] で、[クラウド アプリ] が選択されていることを確認します。

  2. [含める] で、 [アプリを選択] を選択します。

    アプリがまだ選択されていないので、アプリの一覧 (次の手順を参照) が自動的に開きます。

    ヒント

    条件付きアクセス ポリシーの適用先として、 [すべてのクラウド アプリ] または [アプリの選択] を選択できます。 柔軟に、特定のアプリをポリシーから除外することもできます。

  3. 使用可能なサインイン イベントの一覧を参照します。 このチュートリアルでは、ポリシーが Azure portal へのサインイン イベントに適用されるように [Microsoft Azure の管理] を選択します。 次に [選択] を選択します。

    [条件付きアクセス] ページのスクリーンショット。新しいポリシーを適用するアプリ (Microsoft Azure Management) を選択します。

アクセスのための多要素認証を構成する

次に、アクセスの制御を構成します。 アクセスの制御を使用すると、ユーザーがアクセス権を付与されるための要件を定義できます。 承認されたクライアント アプリまたは Azure AD にハイブリッド結合されたデバイスを使用することが必要な場合があります。

このチュートリアルでは、Azure portal へのサインイン イベント時に多要素認証を要求するようにアクセスの制御を構成します。

  1. [アクセスの制御] で、[許可] の下の現在の値を選択し、[アクセス権の付与] をオンにします。

    [条件付きアクセス] ページのスクリーンショット。[付与] を選択し、[アクセスの付与] を選択します。

  2. [多要素認証を要求する] をオンにし、[選択] を選択します。

    アクセスを付与するためのオプションのスクリーンショット。[多要素認証が必要] を選択します。

ポリシーをアクティブ化する

構成がユーザーに及ぼす影響を確認したい場合、条件付きアクセス ポリシーを [レポート専用] に設定することができます。また、ポリシーをすぐに使用しない場合は [オフ] に設定することもできます。 このチュートリアルでは、ユーザーのテスト グループが対象になっているため、ポリシーを有効にして、Azure AD Multi-Factor Authentication をテストします。

  1. [ポリシーの有効化] で、 [オン] を選択します。

    ポリシーを有効にするかどうかを指定する、Web ページの下部付近にあるコントロールのスクリーンショット。

  2. 条件付きアクセス ポリシーを適用するには、 [作成] を選択します。

Azure AD の Multi-Factor Authentication をテストする

条件付きアクセス ポリシーと Azure AD Multi-Factor Authentication が機能していることを確認しましょう。

まず、MFA が要求されないリソースにサインインします。

  1. InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、https://account.activedirectory.windowsazure.com に移動します。

    ブラウザーのプライベート モードを使用すると、既存の資格情報がこのサインイン イベントに影響を与えるのを防ぐことができます。

  2. 管理者ではないテスト ユーザー (testuser など) でサインインします。 必ず、@ とユーザー アカウントのドメイン名を含めてください。

    このアカウントを使用して初めてサインインする場合は、パスワードを変更するように求められます。 ただし、多要素認証の構成または使用を求めるプロンプトは表示されません。

  3. ブラウザー ウィンドウを閉じます。

Azure portal の追加認証を要求するように条件付きアクセス ポリシーを構成しました。 この構成であるため、Azure AD Multi-Factor Authentication を使用するか、まだ構成していない場合は方法を構成するように要求されます。 Azure portal にサインインして、この新しい要件をテストします。

  1. InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、https://portal.azure.com に移動します。

  2. 管理者ではないテスト ユーザー (testuser など) でサインインします。 必ず、@ とユーザー アカウントのドメイン名を含めてください。

    Azure AD Multi-Factor Authentication への登録とその使用を求められます。

    [More information required] (詳細情報が必要) というプロンプト。これは、このユーザーの多要素認証の方法を構成するためのプロンプトです。

  3. [次へ] を選択してプロセスを開始します。

    認証用電話、会社電話、またはモバイル アプリを認証用として構成することができます。 "認証用電話" では、テキスト メッセージと通話がサポートされます。"会社電話" では、内線のある番号への通話がサポートされます。"モバイル アプリ" では、認証の通知を受信したり、認証コードを生成したりするためのモバイル アプリの使用がサポートされます。

    [追加のセキュリティ確認] というプロンプト。これは、このユーザーの多要素認証の方法を構成するためのプロンプトです。方法として、認証用電話、会社電話、またはモバイル アプリを選択できます。

  4. 画面の指示に従って、選択した多要素認証の方法を構成します。

  5. ブラウザーのウィンドウを閉じ、https://portal.azure.com で再度ログインして、構成した認証方法をテストします。 たとえば、認証用にモバイル アプリを構成した場合、次のようなプロンプトが表示されます。

    サインインするには、ブラウザーのプロンプト、次に、多要素認証用に登録したデバイスのプロンプトに従います。

  6. ブラウザー ウィンドウを閉じます。

リソースをクリーンアップする

このチュートリアルの中で構成した条件付きアクセス ポリシーを使用する必要がなくなった場合は、次の手順に従ってポリシーを削除します。

  1. Azure portal にサインインします。

  2. Azure Active Directory を検索して選択し、左側のメニューから [セキュリティ] を選択します。

  3. [条件付きアクセス] を選択し、作成したポリシー (MFA Pilotなど) を選択します。

  4. [削除] を選択し、ポリシーを削除することを確認します。

    開いた条件付きアクセス ポリシーを削除するには、ポリシーの名前の下にある [削除] を選択します。

次のステップ

このチュートリアルでは、選択したユーザー グループを対象に、条件付きアクセス ポリシーを使用して Azure AD Multi-Factor Authentication を有効にしました。 以下の方法を学習しました。

  • Azure AD ユーザーのグループに対して Azure AD Multi-Factor Authentication を有効にする条件付きアクセス ポリシーを作成する。
  • 多要素認証を求めるポリシー条件を構成する。
  • ユーザーとして多要素認証の構成と使用をテストする。