はじめに
これまで、Azure AD のセルフサービスパスワードリセット (以下、SSPR) で使用されてきた認証方法と、ログイン時の多要素認証 (以下、MFA) の方法を規定していたポリシーは別々に管理されてきました。これらのポリシーは現在レガシーポリシーと呼ばれています。上記のレガシーポリシーをまとめて、新たに一か所で認証方法ポリシーの設定を管理する仕様に移行が進められています。
認証方法ポリシーに移行する方法 – Microsoft Entra | Microsoft Learn
その中で、従来 Microsoft Authenticator のモバイルアプリコードを利用して MFA を行ってきたというシナリオのもと、認証方法ポリシーの設定について紹介したいと思います。
Microsoft Authenticator 認証ポリシーの課題
Microsoft Authenticator の認証ポリシーの設定画面を下記に示しています。認証モードにアプリコードの選択肢がなく、従来、アプリコードを MFA の方法としていた人には、この Microsoft Authenticator の設定ポリシーで規定することが難しい状態となっています。 (2023年5月現在)
一応、構成タブに Microsoft Authenticator のワンタイムパスワード (以下、OTP) を許可する設定はあるものの、この設定はどちらかというと SSPR で使用する OTP となっています。では、従来通り、モバイルアプリコードで MFA を実装する手順を紹介していきたいと思います。
サードパーティ製のソフトウェア OATH トークンを有効化する
1. Microsoft Entra 管理センター (https://entra.microsoft.com) にアクセスします。ナビゲーションメニューから [保護とセキュリティ保護]-[認証方法] を選択し [移行の管理] をクリックします。画面右側に移行の管理画面が表示されるので [移行前] から [移行が進行中] に変更し [保存] をクリックします。
2. [サードパーティ製のソフトウェア OATH トークン] を選択します。
3. サードパーティ製のソフトウェア OATH トークンの設定画面が表示されるので、[有効にする] を有効化し [保存] をクリックします。
4. ナビゲーションメニューから [保護とセキュリティ保護]-[パスワードリセット] を選択し、左ペイン [管理]-[認証方法] をクリックします。認証方法のチェックボックスをすべて外し [保存] をクリックします。
5. 続いて、ナビゲーションメニューから [ユーザー]-[すべてのユーザー] を選択します。画面右上の […] から [ユーザーごとの MFA] を選択します。
6. 多要素認証の画面が表示されるので [サービス設定] のタブを選択し、検証オプションのユーザーが利用可能な方法のすべてのチェックボックスをオフにします。その後、画面下部の [保存] をクリックします。
7. Microsoft Entra 管理センターに戻り、ナビゲーションメニューから [保護とセキュリティ保護]-[認証方法] を選択し [移行の管理] をクリックします。画面右側に移行の管理画面が表示されるので [移行が進行中] から [移行が完了済み] に変更し [保存] をクリックします。以上で、設定完了です。
新規ユーザーのログイン動作確認
1. あらかじめ新規ユーザーを登録しておき、例えば、マイアプリ (https://myapps.microsoft.com) にログインを試みます。※ 条件付きアクセスですべてのユーザーに MFA を要求しています。
2. MFA 登録が要求されます。
3. Microsoft Authenticator 登録の画面が表示されるので [次へ] をクリックします。
4. 画面の案内に従って [次へ] をクリックし、バーコードを読み取ります。
5. Microsoft Authenticator に表示されるアプリコードを入力できたら認証アプリの登録成功です。
6. 再度ブラウザを起動しなおし、例えば、マイアプリ (https://myapps.microsoft.com) にログインを試みます。
7. アプリコードの入力が求められ、従来通りの動作になっていることが確認できると思います。
終わりに
今回は、Azure AD 認証方法の移行の管理で Microsoft Authenticator のアプリコードを使用したいと題して、モバイルアプリコードを利用して MFA を行うシナリオのもと、認証方法ポリシーの設定方法について紹介してきました。認証方法ポリシーでは Microsoft Authenticator を使ったパスワードレス認証も実装可能なので、状況に応じて認証方法のポリシーを策定してみてください。
また、MFA の設定方法については以下の記事も参考にしてみてください。
コメント