Azure AD:SMS認証で不正アクセスに備える
はじめに
Azureなどのクラウドサービスを利用していると避けては通れない問題点として不正アクセスなどを防ぐセキュリティ面です。
現代社会にではITが発達し、ネットワークが非常に便利で身近なものになりました。そんな中、同時に発達しているものとして不正アクセスなどのネットワーク犯罪です。
ネットワーク犯罪は不正アクセスからデータ破壊など多岐にわたります。そのため被害に遭わないように対策を講じてもまた新手の手法が開発され、イタチごっことなって常に攻撃のリスクに晒され続けます。だからといって対策を講じなければ格好の餌食になります。
そこで今回はAzure ADを利用しているユーザーのセキュリティを手軽に向上させる方法をいくつかご紹介します。導入して損はありません。
Azure ADの認証設定について
Azure ADのアカウントにサインインする方法として最も基本的な方法は[ユーザー名]と[パスワード]になります。しかし今ではさらに認証を高度にするためにユーザー自身が任意で設定する認証方法を加えることが可能です。
Azure ADには基本的な認証に加える事ができる方法として以下の認証方法が存在します。
各認証方法の強度
[Windows Hello for Business]:セキュリティ[高い] 使いやすさ[高い] 可用性[高い]
[Microsoft Authenticator アプリ]:セキュリティ[高い] 使いやすさ[高い] 可用性[高い]
[FIDO2 セキュリティ キー]:セキュリティ[高い] 使いやすさ[高い] 可用性[高い]
[OATH ハードウェア トークン]:セキュリティ[普通] 使いやすさ[普通] 可用性[高い]
[OATH ソフトウェア トークン]:セキュリティ[普通] 使いやすさ[普通] 可用性[高い]
[SMS(電話番号)]:セキュリティ[普通] 使いやすさ[高い] 可用性[普通]
[音声]:セキュリティ[普通] 使いやすさ[普通] 可用性[普通]
[パスワード]:セキュリティ[低い] 使いやすさ[高い] 可用性[高い]
※可用性とは「提供されているサービスの稼働が停止すること無く継続して作業が行える能力や割合のこと」を指します。逆に「継続して安定した稼働を続けることの出来る可能性」である信頼性とは似ているようで似ていませんので混同に注意してください。
となります。
それぞれを基本的なパスワードでの認証方法と組み合わせたセキュリティレベルとしてMicrosoft社は以下の4段階に分類しています。
Microsoft社が設定する各セキュリティのセキュリティレベル
セキュリティが[低い]:パスワードのみ
セキュリティが[可]:パスワード + [SMS(電話番号登録)]あるいは[音声認証]
セキュリティが[良]:パスワード + [Microsoft Authenticatorアプリ]あるいは[ソフトウェアトークン]、[ハードウェアトークン]
セキュリティが[最高]:パスワード + [Windows Hello]あるいは[Microsoft Authenticator]、[FIDO2 セキュリティ キー]
Azure ADへ多要素認証設定を行う
それでは比較的手軽で簡単に導入することが出来るSMS(電話番号)を利用した認証方法を導入していきます。しかし行うにあたって以下の注意点が存在します。一読ください。
・SMS(電話番号)ベースの認証を行った場合、Azure Multi-Factor Authenticationとの互換性はありません。
・基本的にTeamsを除いてSMS(電話番号)ベースの認証にはOfficeアプリケーションとの互換性はありません。
・B2Bアカウントをお使いのユーザーは今回のSMS(電話番号)認証は推奨いたしません。必ず他の多要素認証設定を行ってください。
・フェデレーションユーザーの場合、クラウドでの認証のみ行われ、ホームテナントの認証には使用できません。
Azure ADにSMS(電話番号)ベースの認証を設定する
SMS(電話番号)を有効にして設定を行う手順として[認証ポリシーを有効にする]→[SMS(電話番号)ベースの認証方法を使用するユーザーやグループを指定して許可する]→[各自のユーザーアカウントへ自身の電話番号を設定する]の3つのプロセスが存在し、順を追ってご説明致します。
SMS(電話番号)ポリシーを有効にする
①所持しているAzure portalに「全体管理者」としてサインインを行います。
②「Azure Active Directory」を検索して選択を行います。
③表示された検索結果の左側にある[セキュリティ]→[認証方法]→[認証方法ポリシー(プレビュー)]を順に選択します。
④利用可能な認証方法の一覧から[テキストメッセージ]を選択し、[有効にする]を[はい]へ変更します。
※[すべてのユーザー]あるいは[選択されたユーザー・グループ]に対してSMS(電話番号)ベース認証を利用できるように設定することも可能です。
ユーザーやグループにSMS(電話番号)ベース認証を割り当てる
Azure AD上で作成したテナント内でSMS(電話番号)ベース認証が有効になっている状態で行います。
①テキスト メッセージ認証ポリシー画面にて[ターゲット]を「選択されたユーザー」へ設定を行います。
②[ユーザーまたはグループの追加]を選択し、対象となるユーザーやグループを選択します。
③ユーザー・グループを指定したら、更新された認証ポリシーにて「選択」→「保存」を順に選択して割り当てが保存されます。
※もしテキストメッセージ認証ポリシーが有効になっているユーザーが存在している場合、これらの方法を使用しない場合でもライセンスを取得しておく必要があります。適切なライセンスが取得されていない場合、認証ポリシーが有効にならない場合があります。
設定したユーザー・グループに電話番号を設定
あとはサインインのために必要となる電話番号がAzure AD上のユーザープロファイルに関連づけられている必要があります。
①Azure portalにて[Azure Active Directory]を検索します。
②Azure Active Directoryが表示されたら左側にある[ユーザー]を選択します。
③先程までの手順で行ったSMS(電話番号)ベース認証を有効にしたユーザーを選択して[認証方法]を選択します。
④国番号を含むユーザーの電話番号を入力し、保存します。Azure portalでは保存の際に電話番号が正しい形式なのか自動的に検証が行われます。※ちなみにここで設定する電話番号はテナント内で重複しないようにする必要があります。複数のユーザーが共通した電話番号を使用しようとした場合、エラーが生じます。
サインインのテストを行う
上記の作業で無事にSMS(電話番号)ベース認証が有効になっているかのテストを行います。
①Webブラウザの[プレイベートモード]を使用して[https://www.office.com]へアクセスします。
②右上に表示されている[サインイン]からサインインを行います。
③サインイン画面でユーザーに設定した電話番号を入力します。
④指定された電話番号宛にSMSでテキストメッセージが送信されます。送られてきたSMSを確認し、6桁のコードをWebブラウザに表示されているサインインプロンプトへ入力します。
⑤正しく認証・設定が有効になっていた場合無事にサインインが行われます。
さいごに
いかがでしょうか。ここまでAzure ADでのSMS(電話番号)ベース認証を例にした多要素認証設定をご紹介しました。今回のSMS以外にも専用のアプリケーションやトークンを使用した、より強固なセキュリティが存在しますので是非興味がお有りの方はそちらも導入を検討されてみてください。少しでもサービス利用の防犯につながれば幸いです。稚拙な記事ですがここまで読んで頂きありがとうございました。
