More Related Content
Similar to Office365のための多要素認証 (20)
More from Suguru Kunii (6)
Office365のための多要素認証
- 2. 自己紹介
Copyright 2014 Sophia Network Ltd.2
Microsoft MVP for Directory Services
(2006~2014)
マイクロソフト認定トレーナー
(1997~)
ブログ
Always on the clock
@sophiakunii
株式会社ソフィアネットワーク 所属
連載~基礎から分かる
Active Directory再入門
- 3. ADFS トレーニングコースがリニューアルします!
Copyright 2014 Sophia Network Ltd.3
ニーズに合わせて、2つのコースをご提供!
Office 365ユーザー認証ベストプラクティス (2日コース)
Microsoft Azureを活用したADFS構築 (1日コース)
こんな人におすすめです。
テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。
今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。
クラウド連携の案件で先行者利益を取りたい!
詳しくはクリエ・イルミネートWebサイトでご確認ください。
http://www.crie-illuminate.jp
- 11. 多要素認証..その前に ~ Office 365の認証方法
Copyright 2014 Sophia Network Ltd.11
クラウド ID
オンプレとクラウドで同じID オンプレIDをクラウドと連携クラウドの ID で認証
ディレクトリとパスワードの同期 ID 連携
- 12. 【参考】Azure Active Directory(AAD)とは?
AADとは、マイクロソフトが提供するクラウドサービスの認証/承認で
利用するディレクトリサービス
Office 365
Windows Intune
Dynamics CRM Online
Microsoft AzureのサインインにはMicrosoftアカウントを使用しているが、
Microsoft Azureの管理ポータルからAADを管理できる
Copyright 2014 Sophia Network Ltd.12
- 17. Office 365にアクセスするアプリケーションの多要素認証対応
アプリケーション 認証の第1要素 認証の第2要素
ブラウザー Office365に登録した
ユーザー名とパスワード
多要素認証の設定で定義した認証要素
・電話
・モバイルアプリケーション
Outlook
Word/Excel/PowerPoint
Lyncクライアント
Office365に登録したユーザー名と
アプリケーションパスワード
Exchange ActiveSync
(スマートフォン/タブレットからのアクセス)
Office365に登録したユーザー名と
アプリケーションパスワード
OneDrive Pro
アプリケーション
Office365に登録したユーザー名と
アプリケーションパスワード※
Copyright 2014 Sophia Network Ltd.17
※多要素認証に切り替えても、OneDrive Proアプリケーションからパスワード変更を要求することはなく、
Officeアプリケーションにおけるサインイン設定をそのまま引き継ぐと思われる。
(私の環境では、アプリケーションパスワードを設定しなければ同期は保留のままとなっていました)
- 22. ADFS経由のOffice 365アクセス (社内ブラウザー編)
Copyright 2014 Sophia Network Ltd.22
Office365認証サーバー AADクライアント
①Office 365 サイトで認証を要求
ADFS サーバー
②認証先の指定
③認証&トークンの発行
④AADにアクセスし、認証トークンをもとに認可を実施
⑤AADで発行された認可トークンを利用してサインイン
ここで多要素認証を実装
- 23. ADFS経由のOffice 365アクセス (社外ブラウザー編)
Copyright 2014 Sophia Network Ltd.23
Office365認証サーバー AAD
①Office 365 サイトで認証を要求
ADFS サーバー
②認証先の指定
③認証ページへリダイレクト
⑤AADにアクセスし、認証トークンをもとに認可を実施
⑥AADで発行された認可トークンを利用してサインイン
ここで多要素認証を実装
ADFS プロキシ クライアント
④認証&トークンの発行
- 26. Microsoft Azure Multi-Factor Authentication
AAD の有償オプションとして用意された多要素認証機能
サポートされる認証方法
電話
テキストメッセージ (SMS)
モバイルアプリ (Phone Factor, Inc)
OAUTHトークン (サードパーティのOTPデバイスを利用)
AAD自体の多要素認証との違い
「多要素認証プロバイダー」という名称で機能を提供
レポート機能の提供
ワンタイムバイパスによる多要素認証を一時的に使わない設定
音声メッセージのカスタマイズ
など
Copyright 2014 Sophia Network Ltd.26
- 27. Microsoft Azure Multi-Factor Authentication
Copyright 2014 Sophia Network Ltd.27
利用開始方法
1. Azure管理ポータルから新規
または既存のAADテナントを登録
2. Azure管理ポータルから
多要素認証プロバイダーを登録
3. Azure管理ポータルから
多要素認証プロバイダー
ポータルにアクセス
- 29. ADFS経由のOffice 365アクセス (リッチクライアント編)
Copyright 2014 Sophia Network Ltd.29
Office365認証サーバー AAD
①ユーザー名/パスワードをもってサービスへアクセス
ADFS サーバー
②認証先の指定
③認証要求をリダイレクト
⑤AADにアクセスし、認証トークンをもとに認可を実施
⑥AADで発行された認可トークンを利用してサインイン
どこで多要素認証を実装?
ADFS プロキシ クライアント
④認証&トークンの発行
- 31. 多要素認証利用のためのアクセス制御設定
条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合
条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合
Copyright 2014 Sophia Network Ltd.31
exists([Type == "http://schemas.microsoft.com/2012/01/
requestcontext/claims/x-ms-endpoint-absolute-path",
Value == "/adfs/ls/wia"])
c:[Type == "http://schemas.microsoft.com/2012/01/
devicecontext/claims/isregistereduser", Value == "false"]
NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/
devicecontext/claims/isregistereduser"])
- 32. 多要素認証利用のためのアクセス制御設定
条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.32
‘exists([Type == "http://schemas.microsoft.com/2012/01/
requestcontext/claims/x-ms-endpoint-absolute-path",
Value == "/adfs/ls/wia"])
=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/
identity/claims/authenticationmethod”,
Value = “http://schemas.microsoft.com/claims/multipleauthn”);’
- 33. まとめ
Copyright 2014 Sophia Network Ltd.33
Azure Active Directory ADFS
多要素認証の有効化 管理者が定義 管理者が定義
多要素認証を利用する条件 ユーザー単位で定義 ADFSの設定で細かく条件指定が可能
多要素認証に使用する認証方法 電話、SMS、モバイルアプリ ・証明書 (既定の方法)
・電話、SMS、モバイルアプリ (Azure MFA ※1)
・カスタム
認証ログ × Azureポータルで確認 ※2
ブラウザー以外での多要素認証 ×(アプリケーションパスワードで対応) × ※3
※1 電話、SMS、モバイルアプリによる多要素認証はAADプレミアムの機能として提供
※2 有償サービスにて提供。イベントビューアから概要を確認することも可能
※3 ブラウザー以外では多要素認証を使わないようにすることで対応が可能。ただし、利用できるとの情報も??
- 34. Azure 多要素認証(MFA) vs Office 365 多要素認証
Office 365 MFA Microsoft Azure MFA
管理者はエンドユーザーに対して MFA を有効化/強制可能 あり あり
第 2 認証要素としてモバイル アプリ (オンラインおよび OTP) を使用 あり あり
第 2 認証要素として電話を使用 あり あり
第 2 認証要素として SMS を使用 あり あり
ブラウザー以外のクライアント (Outlook、Lync など) のアプリケーション パスワード あり あり
認証の電話の際の Microsoft の既定案内応答 あり あり
認証の電話の際のカスタムの案内応答 あり
不正の警告 あり
MFA SDK あり
セキュリティ レポート あり
オンプレミス アプリケーション/MFA Server の MFA あり
1 回限りのバイパス あり
ユーザーのブロック/ブロック解除 あり
認証用の電話のカスタマイズ可能な発信者 ID あり
イベントの確認 あり
- 35. Office 365サインイン関連の今後
Copyright 2014 Sophia Network Ltd.35
ディレクトリ同期(DirSync)ツールの他に、AADSyncツールが提供予定
ADとの双方向同期
パスワードリセット
マルチフォレストでのAADとの同期
Outlook等アプリケーションからのサインインは
パッシブプロファイルによる認証となるため、
アプリケーションからのサインインにも多要素認証が利用できる(と思われる)