Azure AD 認証方法の移行の管理で Microsoft Authenticator のアプリコードを使用したい

Azure AD アイキャッチ画像 Azure
スポンサーリンク

はじめに

これまで、Azure AD のセルフサービスパスワードリセット (以下、SSPR) で使用されてきた認証方法と、ログイン時の多要素認証 (以下、MFA) の方法を規定していたポリシーは別々に管理されてきました。これらのポリシーは現在レガシーポリシーと呼ばれています。上記のレガシーポリシーをまとめて、新たに一か所で認証方法ポリシーの設定を管理する仕様に移行が進められています。

認証方法ポリシーに移行する方法 – Microsoft Entra | Microsoft Learn

その中で、従来 Microsoft Authenticator のモバイルアプリコードを利用して MFA を行ってきたというシナリオのもと、認証方法ポリシーの設定について紹介したいと思います。


Microsoft Authenticator 認証ポリシーの課題

Microsoft Authenticator の認証ポリシーの設定画面を下記に示しています。認証モードにアプリコードの選択肢がなく、従来、アプリコードを MFA の方法としていた人には、この Microsoft Authenticator の設定ポリシーで規定することが難しい状態となっています。 (2023年5月現在)

一応、構成タブに Microsoft Authenticator のワンタイムパスワード (以下、OTP) を許可する設定はあるものの、この設定はどちらかというと SSPR で使用する OTP となっています。では、従来通り、モバイルアプリコードで MFA を実装する手順を紹介していきたいと思います。

サードパーティ製のソフトウェア OATH トークンを有効化する

1. Microsoft Entra 管理センター (https://entra.microsoft.com) にアクセスします。ナビゲーションメニューから [保護とセキュリティ保護]-[認証方法] を選択し [移行の管理] をクリックします。画面右側に移行の管理画面が表示されるので [移行前] から [移行が進行中] に変更し [保存] をクリックします。


2. [サードパーティ製のソフトウェア OATH トークン] を選択します。


3. サードパーティ製のソフトウェア OATH トークンの設定画面が表示されるので、[有効にする] を有効化し [保存] をクリックします。


4. ナビゲーションメニューから [保護とセキュリティ保護]-[パスワードリセット] を選択し、左ペイン [管理]-[認証方法] をクリックします。認証方法のチェックボックスをすべて外し [保存] をクリックします。


5. 続いて、ナビゲーションメニューから [ユーザー]-[すべてのユーザー] を選択します。画面右上の […] から [ユーザーごとの MFA] を選択します。


6. 多要素認証の画面が表示されるので [サービス設定] のタブを選択し、検証オプションのユーザーが利用可能な方法のすべてのチェックボックスをオフにします。その後、画面下部の [保存] をクリックします。


7. Microsoft Entra 管理センターに戻り、ナビゲーションメニューから [保護とセキュリティ保護]-[認証方法] を選択し [移行の管理] をクリックします。画面右側に移行の管理画面が表示されるので [移行が進行中] から [移行が完了済み] に変更し [保存] をクリックします。以上で、設定完了です。


新規ユーザーのログイン動作確認

1. あらかじめ新規ユーザーを登録しておき、例えば、マイアプリ (https://myapps.microsoft.com) にログインを試みます。※ 条件付きアクセスですべてのユーザーに MFA を要求しています。


2. MFA 登録が要求されます。


3. Microsoft Authenticator 登録の画面が表示されるので [次へ] をクリックします。


4. 画面の案内に従って [次へ] をクリックし、バーコードを読み取ります。


5. Microsoft Authenticator に表示されるアプリコードを入力できたら認証アプリの登録成功です。


6. 再度ブラウザを起動しなおし、例えば、マイアプリ (https://myapps.microsoft.com) にログインを試みます。


7. アプリコードの入力が求められ、従来通りの動作になっていることが確認できると思います。


終わりに

今回は、Azure AD 認証方法の移行の管理で Microsoft Authenticator のアプリコードを使用したいと題して、モバイルアプリコードを利用して MFA を行うシナリオのもと、認証方法ポリシーの設定方法について紹介してきました。認証方法ポリシーでは Microsoft Authenticator を使ったパスワードレス認証も実装可能なので、状況に応じて認証方法のポリシーを策定してみてください。

また、MFA の設定方法については以下の記事も参考にしてみてください。

コメント

タイトルとURLをコピーしました