Office 365のセキュリティを強化する「多要素認証」Office 365運用管理入門(5)

「Office 365」ではパスワード盗難、ID乗っ取り、不正アクセスなどから守るために、セキュリティを強化する手段が用意されている。今回は、IDとパスワード認証の他に、別の認証を追加して、よりセキュアな利用を検討してみよう。

» 2015年03月05日 21時00分 公開
[宮川麻里株式会社IPイノベーションズ]
「Office 365運用管理入門」のインデックス

連載目次

Office 365のセキュリティを認証でさらに強化

 Office 365におけるセキュリティの強化では、「Microsoft Azure Active Directory」や「Active Directoryフェデレーションサービス」との連携で実現できる「多要素認証」と「デバイス認証」を利用できる。今回は、Office 365で利用可能な以下の認証について解説する。

  • Microsoft Azure Active Directory(以下、Azure AD)による多要素認証
  • Active Directoryフェデレーションサービス(ADFS)による多要素認証

Microsoft Azure Active Directoryによる多要素認証

 Office 365を利用する際のID(ユーザーアカウント)の展開方法については、本連載第1回「Office 365のユーザーアカウントを作成する」で説明した通りだ。

 Office 365では「IDフェデレーション構成」でない場合、通常のIDとパスワードによる認証に加え、「認証用電話」「会社電話」「モバイルアプリケーション」による認証を行う「多要素認証」をAzure ADで実装できる。

 Office 365の管理ポータル「Office 365管理センター」で「アクティブなユーザー」→「複数の要因を含む認証要求を設定する」→「セットアップ」と進むと、多要素認証の設定画面が表示される。

 管理者によって多要素認証が設定されたユーザーは、Office 365へサインインする際に「追加のセキュリティ確認」画面が表示され、認証手段を「認証用電話」「会社電話」「モバイルアプリケーション」から選択しなければならなくなる(画面1)。

画面1 画面1 多要素認証が設定されたユーザーがOffice 365にサインインすると、「追加のセキュリティ確認」画面が表示され、認証手段を選択しなければならなくなる

[1]電話番号あるいはSMSによる認証

 登録した電話番号(デバイス)に電話またはSMS(Short Message Service)で連絡が行われ、そのデバイスで応答することで本人と確認される。SMSよりも電話番号の方が、応答までのレスポンスが速い傾向がある。なお、電話番号を記載する際には、先頭のゼロ(0)を外さないと認識されないので注意してほしい。

[2]モバイルアプリケーションによる認証

 利用するモバイルデバイスに対応した「Multi-Factor Authentication(多要素認証:MFA)」アプリを実行して認証を行う。MFAアプリの詳細については、以下のサイトを参照してほしい。

 MFAアプリに表示されたバーコードをスキャンすると認証確認が行われ、モバイルデバイス側で「認証」ボタンをクリックすることで認証が完了する。なお、Outlookなどのアプリケーションでは、別途「アプリパスワード」という認証方式が実装されているので、同じ画面に表示されるパスコードを保存しておく必要がある。

Active Directoryフェデレーションサービス(ADFS)による多要素認証

 Windows Server 2012 R2では、「Active Directoryフェデレーションサービス(ADFS)」による多要素認証がサポートされている。ADFSでは「証明書」「拡張プロバイダー」「Multi-Factor Authentication Server」の三つの多要素認証を実装できる。

[1]証明書による認証

 ルート証明機関として登録された認証局発行の「ユーザー証明書」を利用するデバイスにインストールすると、IDとパスワードによる認証後、証明書の提示で登録情報との整合性が確認されるようになる(画面2)。適正な証明書を所持していれば、アクセスが許可される仕組みだ。

画面2 画面2 ADFSで「認証ポリシーのプロパティ」をクリックすると、多要素認証の設定画面が表示される

 証明書は公的機関から有償で入手したものでも、社内の「Active Directory証明書サービス」で発行したものでも利用可能だ。非常にシンプルな認証方法だが、多要素認証を行うデバイス全てに証明書をインストールしておく必要がある。

[2]拡張プロバイダーによる多要素認証

 「拡張プロバイダー」は「Visual Studio」を使って作成する“独自の認証プロバイダー”であり、例えばPINコードを生成して、登録されたモバイルデバイスで入力させるといった認証方法を実装できるようになる(図1)。

図1 図1 「拡張プロバイダー」による多要素認証のイメージ。まず、Active Directoryからユーザーのデバイス情報を取得する。次にランダムなPINコードを生成してユーザーのモバイルデバイスへ送信し、最後にユーザーが認証画面から入力したPINコードを検証するという流れになる

 拡張プロバイダーでは、以下の3ステップで多要素認証を実現する。

  • ステップ1:認証プロバイダーの作成
  • ステップ2:Microsoft Azure Mobile ServiceでのSQLデータベース設定(画面3)(※Microsoft Azure Mobile Serviceを用いた多要素認証は、Microsoft Azure内での課金対象となることに注意)
  • ステップ3:認証アプリの作成
画面3 画面3 Microsoft Azure Mobile Serviceで、SQLデータベースにプッシュ通知登録用と認証用の二つのテーブルを作成する

 Visual Studio 2013で拡張プロバイダーのClassを実装する方法については、以下のサイトを参考にしてほしい。

 拡張プロバイダーの開発には相応の知識と技術が必要になるが、認証手段の幅が広がるので社内運用に適した方法を選択しやすくなる。また、証明書による認証と違い、クライアントデバイスにインストールなどの設定が必要なくなることも大きなメリットになる。

[3]Multi-Factor Authentication Server(MFA Server)

 ADFSに「Multi-Factor Authentication Server(MFA Server)」をインストールすると、ADFSを通過する全ての認証依頼に対して、電話やテキストメッセージなどの多要素認証を実装することが可能になる(図2)。つまり、「IDフェデレーションの構成」でユーザーアカウントを展開していても、前述のAzure ADと同じように多要素認証が実装できる仕組みだ。この機能はMicrosoft Azureから他のLDAPクライアントに対しても設定可能だが、今回はADFSを主体として紹介する。

図2 図2 「Multi-Factor Authentication Server」を利用した多要素認証イメージ

 まずは、Microsoft Azureの管理ポータルで「Active Directory」→「多要素認証」→「多要素認証プロバイダー」に移動して、「新規作成」をクリックする。なお、Microsoft Azure内でのMFA Serverによる多要素認証機能の利用は課金対象となる。

 多要素認証プロバイダーの作成が完了すると「管理」ボタンが表示されるので、これをクリックすると、「Azure Multi-Factor Authentication Server」のダウンロードページが表示される(画面4)。ここでMFA Serverのコンポーネントをダウンロードして、ADFSが稼働しているサーバーへインストールする。

画面4 画面4 Microsoft Azureで多要素認証を設定すると、MFA Serverコンポーネントのダウンロード画面が表示される

 コンポーネントのインストールが完了すると、MFA Server管理ツールが利用可能になる。MFA Server管理ツールでは、ADFSアダプターのインストールや多要素認証を行うユーザーを登録し、どの要素認証(電話、テキストメッセージ、モバイルアプリ、OAuthトークン)を利用するかを設定する(画面5)。

画面5 画面5 MFA Server管理ツール。左ペインのリストから「ADFS」を選択すると「ADFSアダプターのインストール」ボタンが表示される

 ADFSにMFA Serverによる多要素認証を設定すると、ADFSのクレームルールで「ブラウザーアクセスのみ多要素認証を利用する」などの条件で柔軟なアクセス制御が可能になる。詳細な条件設定には、以下の「Set-AdfsAdditionalAuthenticationRule」コマンドレットを利用する。

 今回はOffice 365のセキュリティ強化手段として、多要素認証を紹介した。今後、「Active Directory Authentication Library(ADAL)」による認証フローもサポートされる予定とのことだ(現在は「Private Preview」が公開)。ADALが実装されると、OutlookやLyncなどのOfficeアプリケーションで、アプリケーションパスワードではなく、管理者が設定した認証方式での統一した認証が可能になる。

 認証によるOffice 365のセキュリティ強化には、Azure ADを含め、多くの拡張が予定されているようだ。複数の選択肢から、自社の運用に最適な認証方法を選んでほしい。

筆者紹介

宮川 麻里(みやかわ まり)

株式会社IPイノベーションズ所属のマイクロソフト認定トレーナー。主に、Windows Server Active Directory、SQL Server、Office 365などを担当し、マイクロソフト認定コースや要望に沿ったカスタマイズコースを実施している。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。