くらめその情シス:【小ネタ】Azureのアカウントに多要素認証を設定しよう

2020.10.27

はじめに

どうも、情シスの徳道です。先日、Microsoft Azureの多要素認証の強化が行われ、一定の条件でMicrosoft365のWebアクセスに多要素認証(MFA)が必要になりました。

ちょうどいい機会なので、MFAの設定についてちょっと小ネタとして記載しておこうと思います(そのうち社内にも展開しないといけませんしねぇ)。

MFAの条件

AzureAD 条件付きアクセスにログインすると、アクセス ポリシーのデフォルトに以下のような表示があります。

Azureでオンプレミスのネットワークと連携していない場合やリモートワークや出張時にOffice365などにログインするとほぼ確実に多要素認証(MFA)になるようです。

設定していきましょう

Microsoft365のアカウント管理ではMFAの認証方法を以下の中から選択することができます。

  • 電話(SMS:携帯電話のショートメールサービスまたは音声)
  • 認証アプリ
  • 電子メール(会社ドメインのもの以外)
  • 代替の電話
  • 会社の電話

今回はこの中から電話(SMS認証)、認証アプリ、電子メールの登録方法を紹介します。

電話認証

ユーザー自身の携帯電話、スマートフォンのショートメールサービスにワンタイムパスワードを送る方法です。

一番最初に選択される方法かもしれませんね。

設定はMicrosoft365にログインしてマイアカウントから行います。

Office365など右上にユーザーアイコンがあるのでクリックして「アカウントを表示」→「自分のサインイン」→「セキュリティ情報」をクリックしてください。

これはその他の認証方法でも同じ場所での操作となります。

「方法の追加」をクリックし、選択肢から「電話」を選択します。

 

国コードと携帯電話番号を指定し、「コードをSMS送信する」を選択して「次へ」をクリックします。「電話する」を選択すると、音声でワンタイムパスワードが読み上げられます。

携帯電話にSMSが届きます。もしSMSの着信制限をしている場合、一時的に解除してからマイクロソフトからの着信は許可リストに追加しておくとよいでしょう。

6桁の確認コードを入力して次へをクリックすると登録が完了します。この作業は数分の間に行ってください。

登録された方法はマイアカウントのセキュリティ情報内で確認、変更、削除が可能です。

認証アプリ

電話認証と同じくセキュリティ情報の「方法の追加」から「認証アプリ」を選択します。

認証アプリで推奨されているのはMicrosoft Authenticatorです。もちろん、他のGoogle Autheticatorなど他の認証アプリも利用できます。

Microsoft Authenticatorによる設定はこちらの記事が詳しいのでぜひご覧ください。

スマートフォンを機種変更したのでMicrosoft Authenticatorアプリを新しい端末に移行してみた

今回は社内の標準パスワード管理ツールである1Password Teamsに登録しますので、「別の認証アプリを使用します」をクリックしましょう。

認証アプリのQRコードが出ますので、AuthyやGoogleAuthenticatorなどではこのQRコードをスキャンすると手早いです。

1PasswordのようなPC上のツールで行う方法は、秘密鍵の欄をコピーします。今回はこちらで。

ここから認証アプリでの作業になります。

認証アプリを開いて、Azure/Microsoft365のログインアイテムを作成・編集します。今回の例では1Password-Teamsです。

セクション欄に先ほどコピーした秘密鍵をペーストします。

1Passwordは複数のワンタイムパスワードを1つのアイテムに登録することが可能です。

ここではシングルサインオンの社内システムログインアイテムに追加してみました。

セクションの種類を「ワンタイムパスワード」設定して保存すると…。

6桁のワンタイムパスワードがリアルタイムで表示されます。

Azureのマイアカウントの設定画面に戻り、「次へ」をクリックすると、以下の画面のようにコード入力画面になります。

ここに先ほどの認証アプリのワンタイムパスワードを制限時間内に入力しましょう。

2つ目の方法として認証アプリが追加されました!

Azure/Microsoft365ログイン時の方法を変更したい場合は「既定のサインイン方法」の右端にある「変更」で登録済みの方法から選択できます。

電子メール

最期の電子メールでのMFAです。Azure/Microsoft365では、注意が必要で利用している組織のメールアドレスを設定することができません。

個人の携帯電話やメールアドレスを指定する必要があります。

企業や組織によっては個人メールアドレスの利用を禁止していることがありますので、そうした場合には電話か認証アプリの方法になると思います。

電話認証、認証アプリと同じくセキュリティ情報の「方法の追加」から「電子メール」を選択します。

組織以外のメールアドレスを指定します。

利用している組織のメールアドレスですと、警告が出て登録できません。

メールアドレスを入力して「次へ」をクリックすると、メールに確認コードが届きますので、他の方法と同様に登録をします。

MFAでログインしてみましょう

これで設定は完了です。Azure/Microsoft365にログインしてみましょう。

メールアドレス、パスワードの入力後に「コードの入力」となります。

ここでSMSや認証アプリ、電子メールに届いたワンタイムパスワードを入力してログインしてください。

余談ですが1Password-XのChromeブラウザアドインを使い、ワンタイムパスワードをセクションの1番目に設定しておくとここの入力が自動になりますのでラクチンです。

さいごに

最近は逆ブルートフォースアタックなどでパスワードが漏洩していなくとも攻撃を受けてしまうことが増えてきました。

安全なパスワードの他に、やはり「自分しかもっていない」もう一つの要素を設定することでより安全にWebサイトを利用することができますので、設定できるところでは必ず設定したほうがいい、とさえ言えるでしょう。

皆さんが安全に快適にWebアクセスできるために、ぜひ多要素認証、二段階認証は設定されることをお勧めします。

将来はこうした認証がオプションではなく当たり前になる日が来るかもしれませんね。