Azure AD 認証方法の移行の管理で Microsoft Authenticator のアプリコードを使用したい

Azure AD アイキャッチ画像 Azure
スポンサーリンク

はじめに

これまで、Azure AD のセルフサービスパスワードリセット (以下、SSPR) で使用されてきた認証方法と、ログイン時の多要素認証 (以下、MFA) の方法を規定していたポリシーは別々に管理されてきました。これらのポリシーは現在レガシーポリシーと呼ばれています。上記のレガシーポリシーをまとめて、新たに一か所で認証方法ポリシーの設定を管理する仕様に移行が進められています。

認証方法ポリシーに移行する方法 – Microsoft Entra | Microsoft Learn

その中で、従来 Microsoft Authenticator のモバイルアプリコードを利用して MFA を行ってきたというシナリオのもと、認証方法ポリシーの設定について紹介したいと思います。

Microsoft Authenticator 認証ポリシーの課題

Microsoft Authenticator の認証ポリシーの設定画面を下記に示しています。認証モードにアプリコードの選択肢がなく、従来、アプリコードを MFA の方法としていた人には、この Microsoft Authenticator の設定ポリシーで規定することが難しい状態となっています。 (2023年5月現在)

一応、構成タブに Microsoft Authenticator のワンタイムパスワード (以下、OTP) を許可する設定はあるものの、この設定はどちらかというと SSPR で使用する OTP となっています。では、従来通り、モバイルアプリコードで MFA を実装する手順を紹介していきたいと思います。

サードパーティ製のソフトウェア OATH トークンを有効化する

1. Microsoft Entra 管理センター (https://entra.microsoft.com) にアクセスします。ナビゲーションメニューから [保護とセキュリティ保護]-[認証方法] を選択し [移行の管理] をクリックします。画面右側に移行の管理画面が表示されるので [移行前] から [移行が進行中] に変更し [保存] をクリックします。

2. [サードパーティ製のソフトウェア OATH トークン] を選択します。

3. サードパーティ製のソフトウェア OATH トークンの設定画面が表示されるので、[有効にする] を有効化し [保存] をクリックします。

4. ナビゲーションメニューから [保護とセキュリティ保護]-[パスワードリセット] を選択し、左ペイン [管理]-[認証方法] をクリックします。認証方法のチェックボックスをすべて外し [保存] をクリックします。

5. 続いて、ナビゲーションメニューから [ユーザー]-[すべてのユーザー] を選択します。画面右上の […] から [ユーザーごとの MFA] を選択します。

6. 多要素認証の画面が表示されるので [サービス設定] のタブを選択し、検証オプションのユーザーが利用可能な方法のすべてのチェックボックスをオフにします。その後、画面下部の [保存] をクリックします。

7. Microsoft Entra 管理センターに戻り、ナビゲーションメニューから [保護とセキュリティ保護]-[認証方法] を選択し [移行の管理] をクリックします。画面右側に移行の管理画面が表示されるので [移行が進行中] から [移行が完了済み] に変更し [保存] をクリックします。以上で、設定完了です。

新規ユーザーのログイン動作確認

1. あらかじめ新規ユーザーを登録しておき、例えば、マイアプリ (https://myapps.microsoft.com) にログインを試みます。※ 条件付きアクセスですべてのユーザーに MFA を要求しています。

2. MFA 登録が要求されます。

3. Microsoft Authenticator 登録の画面が表示されるので [次へ] をクリックします。

4. 画面の案内に従って [次へ] をクリックし、バーコードを読み取ります。

5. Microsoft Authenticator に表示されるアプリコードを入力できたら認証アプリの登録成功です。

6. 再度ブラウザを起動しなおし、例えば、マイアプリ (https://myapps.microsoft.com) にログインを試みます。

7. アプリコードの入力が求められ、従来通りの動作になっていることが確認できると思います。

終わりに

今回は、Azure AD 認証方法の移行の管理で Microsoft Authenticator のアプリコードを使用したいと題して、モバイルアプリコードを利用して MFA を行うシナリオのもと、認証方法ポリシーの設定方法について紹介してきました。認証方法ポリシーでは Microsoft Authenticator を使ったパスワードレス認証も実装可能なので、状況に応じて認証方法のポリシーを策定してみてください。

また、MFA の設定方法については以下の記事も参考にしてみてください。

クラウドで従業員の ID 管理をしたい vol.7 – 多要素認証を構成しよう
クラウドで従業員の ID 管理をしたいと題して、前回はセルフサービスパスワードリセットを設定しました。今回は ID 管理の要でもある多要素認証について設定していきたいと思います。多要素認証には、パスワード認証 × デバイス (SMS・アプリコード) 認証などの組み合わせがあります。
smejpsec.com
2023.04.09

コメント

タイトルとURLをコピーしました