次の方法で共有

Microsoft Entra 多要素認証と AD FS を使用したクラウド リソースのセキュリティ保護

組織が Microsoft Entra ID とフェデレーションされている場合は、Microsoft Entra 多要素認証または Active Directory フェデレーション サービス (AD FS) を使用して、Microsoft Entra ID によってアクセスされるリソースをセキュリティで保護します。 Microsoft Entra 多要素認証または Active Directory フェデレーション サービス (ADFS) を使用して Microsoft Entra リソースをセキュリティで保護するには、次の手順に従います。

ドメイン設定 federatedIdpMfaBehaviorenforceMfaByFederatedIdp に設定するか (推奨)、SupportsMFA$True に設定します。 両方が設定されている場合、federatedIdpMfaBehavior 設定によって SupportsMFA がオーバーライドされます。

AD FS を使用して Microsoft Entra リソースをセキュリティで確保する

クラウド リソースをセキュリティで保護するには、ユーザーが 2 段階認証の実行に成功したときに、Active Directory フェデレーション サービスが multipleauthn 要求を出力するよう要求規則を設定します。 この要求は、Microsoft Entra ID に渡されます。 以下では、その手順を説明します。

  1. AD FS 管理を開きます。

  2. 左側で、 [証明書利用者信頼] を選択します。

  3. Microsoft Office 365 ID プラットフォームを右選択し、[要求規則の編集] を選択します。

    ADFS コンソール - 証明書利用者信頼

  4. [発行変換規則] で、[規則の追加] を選択します。

    発行変換規則の編集

  5. 変換要求規則の追加ウィザードで、ドロップダウンから [パススルー] または [受信要求のフィルター処理 ] を選択し、[ 次へ] を選択します。

    変換要求規則の追加ウィザードを示すスクリーンショット。ここでは、要求規則テンプレートを選択できます。

  6. 規則に名前を付けます。

  7. 受信要求の種類として [認証方法の参照] を選択します。

  8. [すべての要求値をパススルーする] を選択します。

    変換要求規則の追加ウィザードを示すスクリーンショット。ここでは、[すべての要求値をパススルーする] を選択できます。

  9. 完了 を選択します。 AD FS 管理コンソールを閉じます。

フェデレーション ユーザー用の信頼できる IP

管理者は信頼できる IP を使用すると、特定の IP アドレス、またはイントラネット内から要求が送信されているフェデレーション ユーザーの 2 段階認証をバイパスできます。 次のセクションでは、信頼できる IP を使用してバイパスを構成する方法について説明します。 これは、要求の種類 [企業ネットワーク内] で [入力方向の要求をパススルーまたはフィルター処理] テンプレートを使用するように AD FS を構成することによって実現されます。

ここで示す例では、証明書利用者信頼で Microsoft 365 を使用します。

AD FS 要求規則を構成する

最初に実行する必要があるのは、AD FS の要求を構成することです。 2 つの要求規則を作成します。1 つは [企業ネットワーク内] という要求の種類用であり、もう 1 つはユーザーのサインイン状態を維持するためのものです。

  1. AD FS 管理を開きます。

  2. 左側で、 [証明書利用者信頼] を選択します。

  3. Microsoft Office 365 ID プラットフォームを右選択し、[要求規則の編集]を選択します。..

    ADFS コンソール - 要求規則の編集

  4. [発行変換規則] で、[規則の追加] を選択します。

    要求規則の追加

  5. 変換要求規則の追加ウィザードで、ドロップダウンから [パススルー] または [受信要求のフィルター処理 ] を選択し、[ 次へ] を選択します。

    変換要求規則の追加ウィザードを示すスクリーンショット。ここでは、[入力方向の要求をパススルーまたはフィルター処理] を選択できます。

  6. [要求規則名] の横にあるボックスに、規則の名前を入力します。 次に例を示します。InsideCorpNet。

  7. [入力方向の要求の種類] の横にあるドロップダウンから、 [企業ネットワーク内] を選択します。

    企業ネットワーク内要求の追加

  8. 完了 を選択します。

  9. [発行変換規則] で、[規則の追加] を選択します。

  10. 変換要求規則の追加ウィザードで、ドロップダウンから [カスタム規則を使用して要求を送信 ] を選択し、[ 次へ] を選択します。

  11. [要求規則名] の下のボックスに 「Keep Users Signed In」(ユーザーをサインインしたままにする) と入力します。

  12. [カスタム規則:] ボックスに次のように入力します。

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    ユーザーをサインインしたままにするカスタム要求を作成する

  13. 完了 を選択します。

  14. を選択してを適用します。

  15. OK を選択します。

  16. AD FS 管理を閉じます。

フェデレーション ユーザーを使用して Microsoft Entra 多要素認証の信頼できる IP を構成する

これで要求が準備できたので、信頼できる IP を構成できます。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. 条件付きアクセス>名前付きの場所を参照します。

  3. [条件付きアクセス - ネームド ロケーション] ブレードから [MFA の信頼できる IP の構成] を選択します。

    [Microsoft Entra 条件付きアクセス] のネームド ロケーションの [MFA の信頼できる IP の構成]

  4. [サービス設定] ページの [信頼できる IP] で、[イントラネット内のフェデレーション ユーザーからのリクエストの場合、多要素認証をスキップする] を選択します。

  5. [保存] を選択します。

それです! この時点で、Microsoft 365 のフェデレーション ユーザーは、企業のイントラネットの外部から要求を送信するときに、MFA のみを使用するだけですみます。