追加の多要素認証による個人情報アプリケーションのリスク管理

• Windows Server 2012 R2 で AD FS 用のラボ環境をセットアップする

• チュートリアル ガイド: 追加の多要素認証による個人情報アプリケーションのリスク管理

• AD FS の追加の認証方法の構成

このガイドの内容

このガイドでは、次の情報を提供します。

• AD FS の認証メカニズム - Windows Server 2012 R2 の Active Directory フェデレーション サービス (AD FS) で使用できる認証メカニズムの説明

• シナリオの概要 - Active Directory Federation Services (AD FS) を使用してユーザーのグループ メンバーシップに基づく多要素認証 (MFA) を有効にするシナリオの説明。

  注意

  Windows Server 2012 R2 の AD FS では、ネットワーク上の位置情報、デバイス ID、ユーザー ID またはグループ メンバーシップに基づく MFA を有効にすることができます。

  このシナリオを構成および検証するための詳細な手順については、「チュートリアル ガイド:追加の多要素認証による個人情報アプリケーションのリスク管理」を参照してください。

主要な概念 – AD FS での認証メカニズム

AD FS での認証メカニズムの利点

Windows Server 2012 R2 の Active Directory フェデレーション サービス (AD FS) により、IT 管理者は、企業リソースにアクセスするユーザーを認証するための高品質かつ柔軟な一連のツールを利用できます。 これにより、管理者はプライマリと追加の認証方法を柔軟に制御できます。また、ユーザー インターフェイスでも Windows PowerShell でも認証ポリシーを構成するための高品質な管理エクスペリエンスが提供されます。また、AD FS によって保護されたアプリケーションやサービスにアクセスするエンド ユーザーのエクスペリエンスが向上します。 Windows Server 2012 R2 の AD FS でアプリケーションやサービスを保護する利点を次にいくつか示します。

• グローバル認証ポリシー: この中央管理機能により、IT 管理者は、ネットワーク上の位置情報 (この位置から、ユーザーは保護済みリソースにアクセスします) に基づいてユーザーを認証するために、どの認証方法を使用するかを選択できます。 これにより、管理者は次のことを実行できます。

  • エクストラネットへのアクセス要求に対してより安全な認証方法の使用を必須とする。

  • シームレスな 2 要素認証に対してデバイス認証を有効にする。 これにより、リソースへのアクセスに使用される登録済みデバイスにユーザー ID が関連付けられ、保護済みリソースへのアクセス前に、より安全な複合 ID の検証を実行できます。

    注意

    デバイス オブジェクト、デバイス登録サービス、職場 (ワークプレース) 参加、デバイスからの SSO とシームレスな 2 要素認証について詳しくは、「任意のデバイスからの職場への参加による業務用アプリケーション間の SSO とシームレスな 2 要素認証」を参照してください。

  • すべてのエクストラネットへのアクセスに対して MFA 要件を設定するか、保護済みリソースへのアクセスに使用されるユーザー ID、ネットワーク上の位置情報、デバイスに基づいた特定の条件に対して MFA 要件を設定する。

• 認証ポリシーのより柔軟な構成: さまざまなビジネス価値に応じて、AD FS によって保護されるリソースに対してカスタム認証ポリシーを構成できます。 たとえば、ビジネスに大きな影響を与えるアプリケーションに対して MFA を必須とすることができます。

• 使いやすさ: GUI ベースの AD FS 管理 MMC スナップインや Windows PowerShell コマンドレットなどのシンプルで直感的な管理ツールにより、IT 管理者は、認証ポリシーを簡単に構成できます。 Windows PowerShell でスクリプトを作成して、使用中のソリューションの代わりに使用したり、日常的な管理タスクを自動化したりできます。

• 企業資産のより詳細な制御: 管理者は AD FS を使用して、特定のリソースに適用される認証ポリシーを構成できるため、企業リソースの保護方法をより詳細に制御できます。 アプリケーションでは、IT 管理者によって指定された認証ポリシーをオーバーライドすることはできません。 個人情報アプリケーションおよびサービスでは、リソースがアクセスされるたびに、MFA の要件、デバイス認証、さらに必要に応じて新しい認証を有効にすることができます。

• カスタム MFA プロバイダーのサポート: サード パーティの MFA 方法を活用する組織向けに、AD FS では、それらの認証方法をシームレスに組み込んで使用できます。

認証スコープ

Windows Server 2012 R2 の AD FS では、AD FS によって保護されるすべてのアプリケーションとサービスに適用される認証ポリシーをグローバル スコープで指定できます。 AD FS によって保護される特定のアプリケーションやサービス (証明書利用者信頼) に対して認証ポリシーを設定することもできます。 特定のアプリケーションの認証ポリシー (証明書利用者信頼ごと) を指定しても、グローバル認証ポリシーはオーバーライドされません。 認証ポリシーがグローバルであっても、証明書利用者信ごとであっても、MFA が必要である場合、ユーザーがこの証明書利用者信頼に対して認証しようとすると、MFA がトリガーされます。 グローバル認証ポリシーは、特定の認証ポリシーが構成されていない証明書利用者信頼 (アプリケーションやサービス) に適用される代替の認証ポリシーです。

グローバル認証ポリシーは、AD FS によって保護されるすべての証明書利用者に適用されます。 グローバル認証ポリシーの一部として次の設定を構成できます。

• プライマリ認証に使用する認証方法。

• MFA に使用する設定と方法。

• デバイス認証を有効にするかどうか。 詳細については、「 Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications」を参照してください。

証明書利用者信頼ごとの認証ポリシーは、該当する証明書利用者信頼 (アプリケーションやサービス) にアクセスしようとするときにのみ適用されます。 証明書利用者信頼ごとの認証ポリシーの一部として次の設定を構成できます。

• ユーザーがサインインするたびに資格情報を入力する必要があるかどうか。

• ユーザー/グループ、デバイスの登録、アクセス要求の位置データに基づく MFA の設定。

プライマリと追加の認証方法

Windows Server 2012 R2 の AD FS では、管理者は、プライマリ認証メカニズムに加えて、追加の認証方法を構成できます。 プライマリ認証方法は組み込みであり、ユーザー の ID (身元) を検証するように設計されています。 追加の認証要素を構成することで、ユーザーの ID (身元) に関する追加情報を入力するように要求できます。これにより、認証が強化されます。

Windows Server 2012 R2 の AD FS のプライマリ認証には、次のオプションがあります。

• 企業ネットワークの外部からアクセスされる公開リソースに対しては、フォーム認証が既定で選択されます。 さらに、証明書の認証 (スマート カード ベースの認証、または AD DS と連動するユーザー クライアント証明書の認証) を有効にすることもできます。

• イントラネット リソースに対しては、Windows 認証が既定で選択されます。 さらに、フォーム認証/証明書の認証を有効にすることもできます。

複数の認証方法を選択することで、アプリケーションやサービスのサインイン ページで、ユーザーに認証方法のオプションを提供できます。

また、シームレスな 2 要素認証に対してデバイス認証を有効にすることもできます。 これにより、リソースへのアクセスに使用される登録済みデバイスにユーザー ID が関連付けられ、保護済みリソースへのアクセス前に、より安全な複合 ID の検証を実行できます。

注意

デバイス オブジェクト、デバイス登録サービス、職場 (ワークプレース) 参加、デバイスからの SSO とシームレスな 2 要素認証について詳しくは、「任意のデバイスからの職場への参加による業務用アプリケーション間の SSO とシームレスな 2 要素認証」を参照してください。

イントラネット リソースに対して Windows 認証方法 (既定のオプション) を指定した場合、Windows 認証をサポートするブラウザーで認証を要求したユーザーはシームレスにこの方法で認証を受けます。

注意

Windows 認証は一部のブラウザーではサポートされていません。 Windows Server 2012 R2 の AD FS の認証メカニズムにより、ユーザーのブラウザーのユーザー エージェントが検出され、構成可能な設定を使用して、そのユーザー エージェントが Windows 認証をサポートしているかどうかが判別されます。 管理者は、Windows 認証をサポートするブラウザーの代替ユーザー エージェントの文字列をユーザー エージェントのリストに追加して指定できます (Windows PowerShell の Set-AdfsProperties -WIASupportedUserAgents コマンドを使用)。 クライアントのユーザー エージェントが Windows 認証をサポートしていない場合、既定の代替認証方法はフォーム認証です。

MFA の構成

Windows Server 2012 R2 の AD FS では、MFA を構成する部分が 2 つあります。MFA を必須とする条件の指定と、追加の認証方法の選択です。 追加の認証方法について詳しくは、「AD FS の追加の認証方法の構成」を参照してください。

MFA の設定

次のオプションは MFA の設定 (MFA を必須とする条件) で使用できます。

• フェデレーション サーバーが参加している AD ドメイン内の特定のユーザーとグループに対して MFA を必須とする。

• 登録済み (職場参加済み) または未登録 (職場未参加) のデバイスに対して MFA を必須とする。

  Windows Server 2012 R2 では、デバイス オブジェクトによりデバイスのユーザーと会社の間の関係が表される最新のデバイスに対して、ユーザー中心のアプローチを採用しています。 デバイス オブジェクトは Windows Server 2012 R2 の AD の新しいクラスです。アプリケーションやサービスへのアクセス権を付与するとき、このオブジェクトを使用して複合 ID を用意できます。 AD FS の新しいコンポーネントであるデバイス登録サービス (DRS) は、Active Directory 内のデバイス ID をプロビジョニングし、一般ユーザー向けデバイスのデバイス ID を表すために使用される証明書を設定します。 このデバイス ID を使用してデバイスを職場に参加させることができます。つまり、個人のデバイスを職場の Active Directory に接続できます。 個人用のデバイスを職場に参加させると、それらのデバイスは既知のデバイスになり、保護済みのリソースやアプリケーションでは、シームレスな 2 要素認証を使用できるようになります。 つまり、デバイスが職場 (ワークプレース) に参加した後、ユーザー ID はそのデバイスに関連付けられ、保護済みリソースへのアクセス前に、シームレスな複合 ID の検証に使用できます。

  職場 (ワークプレース) への参加と参加解除について詳しくは、「任意のデバイスからの職場への参加による業務用アプリケーション間の SSO とシームレスな 2 要素認証」を参照してください。

• 保護済みリソースに対するアクセス要求をエクストラネットまたはイントラネットのいずれかから行うときは、MFA を必須とすることができます。

シナリオの概要

このシナリオでは、特定のアプリケーションに対して、ユーザーのグループ メンバーシップ データに基づく MFA を有効にします。 つまり、特定のグループに属するユーザーが、Web サーバーでホストされている特定のアプリケーションへのアクセスを要求するときに、MFA を必須とするように、フェデレーション サーバーで認証ポリシーを設定します。

具体的には、このシナリオでは、claimapp という要求ベースのテスト アプリケーションの認証ポリシーを有効にします。それにより、AD ユーザー Robert Hatley は、AD グループ Finance に属しているため、MFA を受けることが必須となります。

このシナリオを設定および検証するための詳細な手順については、「チュートリアル ガイド:追加の多要素認証による個人情報アプリケーションのリスク管理」を参照してください。 このチュートリアルの手順を完了するには、「Windows Server 2012 R2 の AD FS 用のラボ環境をセットアップする」の手順に従ってラボ環境をセットアップする必要があります。

AD FS で MFA を有効にするその他のシナリオを次に示します。

• アクセス要求がエクストラネットから送られた場合に MFA を有効にする。 「チュートリアル ガイド:追加の多要素認証による個人情報アプリケーションのリスク管理」の "MFA ポリシーを設定する" セクションに示されているコードを、次の方法で変更できます。

  'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
  

• アクセス要求が職場未参加のデバイスから送られた場合に MFA を有効にする。 「チュートリアル ガイド:追加の多要素認証による個人情報アプリケーションのリスク管理」の "MFA ポリシーを設定する" セクションに示されているコードを、次の方法で変更できます。

  'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
  
  

• ユーザーのデバイスが職場に参加しているがこのユーザーに登録されていない場合、そのユーザーからのアクセスがあるときは、MFA を有効にします。 「チュートリアル ガイド:追加の多要素認証による個人情報アプリケーションのリスク管理」の "MFA ポリシーを設定する" セクションに示されているコードを、次の方法で変更できます。

  'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
  
  

参照

チュートリアル ガイド:追加の多要素認証による個人情報アプリケーションのリスク管理Windows Server 2012 R2 の AD FS 用のラボ環境をセットアップする