Azureの二要素認証について

Azureの二要素認証について

本記事では、Azure ADの二要素認証（多要素認証）の概要について紹介してきます。

Azure ADとは？

Azure AD（Azure Active Directory) は Microsoft社が提供するクラウドベースの ID およびアクセス管理サービスです。Azure上の様々なアプリケーションをAzure ADに登録することによって、一元的に管理をすることが可能となります。従来のオンプレミス環境においてはActive Directoryという認証システムが利用されていました。企業の社内システムはActive Directoryの「ドメイン」という仕組みで、社内の様々なサーバへのアクセスを一元的に管理することができていました。この「ドメイン」の範囲の中の認証システムによって、シングルサインオンが実現できていたのです。しかし、クラウド環境に移行するとさまざまなサービスは、Active Directoeyの「ドメイン」の範囲外となってしまい、上手く管理ができなくなってしまいます。そこでActive Directoryのクラウド版として誕生したのがAzure ADなのです。

Azure ADの主な機能

ユーザーの管理

Azureを利用するユーザーを管理することができます。ユーザーをグループ単位で管理し、アクセス権限、認証情報の管理ができます。

アプリケーション管理

Azure上には非常に多くのアプリケーションが存在しています。ユーザーやユーザーグループに対してどのアプリケーションへのアクセスを可能にするか管理・制御することができます。更に、Azure上に作成したWebサイト（Azure Webサイト）や、オンプレミスで外部公開しているWebサイトへのAzure ADを経由してのアクセスも管理することができます。

デバイスの管理

Azure AD のデータベースにデバイスを登録することにより、ユーザーはクラウド リソースにシームレスにサインオン (SSO) できるようになります。 またデバイスごとにアクセス 権限を適用することもできます。

レポートと監視

ユーザー認証やアプリケーションへのアクセス結果などは「アクセスログ」として、Webブラウザ上でレポートとして記録され、いつでも確認することができます。また、不正アクセス検出のためのレポートも同様に確認することができます。

Azure ADの2要素認証

Azure ADには以下の要素が認証方法として使用できます。

・パスワード

・Microsoft Authenticator アプリ

・FIDO2 セキュリティ キー

・OATH ハードウェア トークン

・SMS

・音声通話

・セキュリティの質問

・電子メール アドレス

・アプリ パスワード

Multi-Factor Authenticate（MFA）

Multi-Factor Authentication (MFA) は、サインインの段階で追加で本人確認できるものをユーザーに求めるプロセスです。 確認の際に二要素目として、各自の携帯電話にコードを入力したり、指紋スキャンを行ったりする方法が考えられます。 二つ目の認証形式を義務付けることで、その二次的な要素は攻撃者が容易に取得したり複製したりできるようなものではないため、高度なセキュリティを実現することができます。また、Azure Multi-Factor Authenticationを使用する際に、ユーザーやユーザーグループごとにアクセス条件を設定できるので、例えば、企業内の信頼できるユーザー、デバイスには二要素目の認証を行わないなど、柔軟な設定が可能です。

セルフサービス パスワード リセット (SSPR)

ユーザーがデバイスまたはアプリケーションにサインインできないときのスムーズなリカバリーシステムとして、Azure Active Directory (Azure AD) のユーザーアカウントでセルフサービス パスワード リセット (SSPR) を有効にすることができます。 SSPRが実行されると、パスワードの変更、リセット、ロック解除、オンプレミスのディレクトリへの行われ、ユーザー認証が再び行えるようになります。

認証要素と使用できる認証方式を以下の表に記載します。

まとめ

今や、クラウドでの環境が広がりつつある中で、オンプレミスからクラウドへ移行する際のセキュリティ対策は欠かすことのできないものとなっています。クラウド環境でのセキュリティの安全性を確保することは勿論、認証機能を強化することで更に強固なセキュリティで運用することが可能となります。