Microsoft 365徹底解説

第12回

Azure ADの多要素認証を活用してセキュリティを強化

  • 川添 貴生

2020年4月22日 06:00

 「Azure Active Directory(Azure AD)」には数多くの機能があるが、中でもセキュリティに有効な機能として、積極的に利用したいのが多要素認証だ。その仕組みや設定方法について解説していきたい。

多要素認証をサポートするAzure AD

 Microsoft 365にはAzure ADが標準で組み込まれており、これを利用してユーザーやデバイスを管理できる。第6回で解説した機能で、1度の認証だけでBoxなど、ほかのクラウドサービスへのアクセスを可能にするシングルサインオンも、Azure ADで提供されているものの1つだ。

 Azure ADにはシングルサインオン以外にも数多くの機能があるが、その1つとしてぜひ注目したいのが多要素認証である。これは、ユーザーがサインインする際、パスワードを用いた認証に加え、スマートフォンや携帯電話へのSMS(ショートメッセージ)の送信、あるいはスマートフォンアプリを用いて確認を行うことで、認証を強化する機能だ。

多要素認証を有効にすると、パスワードを使ってサインインした後、さらに認証コードの入力を求められる

 パスワードのみの認証では、第三者にパスワードが漏えいした場合に、簡単に本人になりすまされるリスクがある。そこでAzure ADの多要素認証では、本人だけが持つスマートフォンや携帯電話を用いた認証も行う。

 具体的には、IDとパスワードを入力してサインインしようとすると、システム側で生成した認証コードが要求される。この認証コードは、ユーザーが持つスマートフォンや携帯電話に対して、SMSあるいは専用のアプリを通じて配信される。ユーザーは受け取った認証コードを入力すれば、サインインが成功するという流れだ。

 一方、本人ではないユーザーが、漏えいしたパスワードを利用して、Microsoft 365にサインインしようとした場合、認証コードが送られるのは、正当なユーザーが持つスマートフォンまたは携帯電話であるため、正しい認証コードを入力することができない。こうした仕組みにより、仮にパスワードが漏えいしたとしても、スマートフォンや携帯電話を本人が持っている限り、不正なアクセスを阻止することができるわけだ。

SMSで送られてきた認証コード。この数値をサインイン画面で入力すればいい
専用アプリである「Microsoft Authenticator」を使ってサインインすることもできる

アクセスをきめ細かく制御する「条件付きアクセス」

Azure Active Directory管理センターで「すべてのユーザー」画面を開き、メニューから「Multi-Factor Authentication」を選ぶ

 この多要素認証は、「Azure Active Directory管理センター」で設定できる。「ユーザー」-「すべてのユーザー」とアクセスし、メニューから「Multi-Factor Authentication」を選択し、有効にしたいユーザーにチェックマークを付けて、「有効にする」のリンクをクリックすればいい。

 Azure ADの多要素認証では、特定のIPアドレスからのアクセスの場合、多要素認証をスキップできる。これを利用すれば、社内からのアクセスに限りパスワードだけで認証できるように設定可能だ。

多要素認証の画面が開くので、多要素認証を有効にするユーザーにチェックマークを付け、「有効にする」のリンクをクリックする

 セキュリティ強化の観点から積極的に活用したいのが、Azure ADの「条件付きアクセス」だ。これを利用すれば、ユーザー/グループや利用するクラウドアプリケーション、デバイスの種類や状態を条件として、アクセスを制御することができる。

 例えば、シングルサインオンでアクセスできるように設定したCRMアプリケーションにおいて、顧客情報が記録されているためにアクセスを制限したいといった場合には、ドメインに参加しているPCからのアクセスのみを許可するといった設定ができる。

「信頼済みip」に、オフィスからMicrosoft 365にサインインする際に送信元とIPアドレスのサブネットを指定しておくと、そのIPアドレスからのアクセスはパスワードによる認証だけでアクセスできる

 なお、Azure ADは無料で利用できる「FREE」、Office 365ユーザー向けに提供される「Office 365アプリ」、そして「Premium P1」と「Premium P2」の4つのプランが用意されている。

 Microsoft 365 Business(4月22日以降はMicrosoft 365 Business Premiumに改称される)に含まれているのはPremium P1のサブセットであり、すべての機能が使えるわけではなかった。しかし、新たにMicrosoft 365 Businessを契約するユーザーには、Premium P1のすべての機能が提供されるほか、既存のユーザーへのロールアウトも数週間以内に行われる予定だ。

条件付きアクセスで新たなポリシーを作成しているところ。ユーザーとグループ、クラウドアプリ、デバイスなどを条件としてアクセスを制御できる

 Premium P1の全機能が利用できるようになれば、従業員が利用しているクラウドアプリの検出や、オンプレミスで運用しているアプリケーションにクラウド経由で接続するアプリケーションプロキシ、属性に基づいてユーザーをセキュリティグループに自動的に追加/削除する動的グループ、Windows Hello for Businessなどを用いたパスワードなしの認証を利用できるようになる。

 これらの機能は、コロナウイルスの感染拡大の防止を目的として各企業に広まっている在宅勤務において、ユーザーおよびデバイスの適切な管理とセキュリティの強化を果たしていく上で有効だろう。ぜひ活用を検討してほしい。

「Windows 7サポート終了! 「どうしたらいい?」を解決!」記事一覧