ステップバイステップ: Azure AD での多要素認証 (MFA) の構成

ステップバイステップ: Azure AD での多要素認証 (MFA) の構成

2024 年 2 月 1 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Azure Active Directory (現在の Microsoft Entra ID) で多要素認証 (MFA) を構成および実装できるようにガイドすることを目的としています。 MFA は、ユーザーがアクセスする前に身元を証明するために 2 つ以上の形式の検証を提供することを要求する重要なセキュリティ層であり、アカウント侵害のリスクを大幅に軽減します [1]。

はじめに

今日のサイバー脅威の状況では、パスワードだけではユーザー アカウントを保護するのに十分ではなくなりました。フィッシング攻撃、パスワード スプレー、資格情報の盗難は、攻撃者が使用する一般的な戦術です。多要素認証 (MFA) は、ユーザーが知っているもの (パスワード)、持っているもの (電話、ハードウェア トークン)、または自分自身のもの (指紋、顔認識) を提供することを要求することにより、セキュリティの重要な層を追加します。 MFA の実装は、組織が Microsoft Entra ID および関連サービスのリソースを保護するために実行できる最も効果的なセキュリティ対策の 1 つです [2]。

このハウツー ガイドでは、基本構成からより詳細な制御のための条件付きアクセス ポリシーの使用まで、さまざまな実装方法に焦点を当てて、Azure AD で MFA を設定する手順について説明します。読者が環境に MFA を効果的に適用できるように、段階的な手順、構成例、および検証方法が提供されます。

MFA が重要なのはなぜですか?

  • リスク軽減: パスワードが盗まれた場合でも、アカウントが侵害される可能性が大幅に減少します。
  • コンプライアンス: 多くのセキュリティ標準および規制では、機密データを保護するために MFA の実装が必要です。
  • フィッシング保護: 攻撃者はパスワードだけでなく 2 番目の要素も必要とするため、フィッシング攻撃に対する障壁を追加します。
  • 柔軟性: Azure AD は、Microsoft Authenticator アプリ、SMS、電話、ハードウェア トークンなどの複数の 2 要素オプションを提供し、ユーザーが最も便利で安全な方法を選択できるようにします。

前提条件

Azure AD で MFA を設定するには、次のものが必要です。

  1. ライセンス: Azure AD MFA 機能を含むライセンス。これは、Azure AD Free (セキュリティの既定値あり)、Azure AD Premium P1 または P2 (条件付きアクセス用)、または Azure AD Premium を含む Microsoft 365 ライセンスのいずれかです [3]。
  2. 管理アクセス: Azure portal (portal.azure.com) または Microsoft Entra 管理センター (entra.microsoft.com) の全体管理者または認証管理者のアクセス許可を持つアカウント。
  3. テスト デバイス: MFA を構成および検証するための、少なくとも 1 つのテスト ユーザー アカウントと 1 つのデバイス (スマートフォン)。
  4. 緊急アクセス アカウント: MFA システムに問題が発生した場合のロックアウトを回避するために、MFA が免除される非常用アカウントを作成して保護することをお勧めします [4]。

ステップバイステップ: Azure AD で多要素認証 (MFA) を構成する

Azure AD で MFA を有効にする方法はいくつかあります。最も一般的な 2 つ、セキュリティのデフォルト (簡単な基本構成用) と 条件付きアクセス ポリシー (詳細な制御用) について説明します。

オプション 1: セキュリティのデフォルトを使用して MFA を有効にする (中小企業に推奨)

セキュリティの既定値は、すべてのユーザーと管理者に MFA を要求するなど、Microsoft が推奨するセキュリティ ポリシーの基本セットを提供します。これは、セキュリティを迅速に強化するためのシンプルかつ効果的な方法です。

  1. Microsoft Entra 管理センター: https://entra.microsoft.com にアクセスします。
  2. 左側のナビゲーション ペインで、保護 > セキュリティの概要に移動します。
  3. [セキュリティのデフォルトを有効にする] セクションで、[セキュリティのデフォルトを管理] をクリックします。
  4. [セキュリティのデフォルト] ペインで、セキュリティのデフォルトを有効にする オプションを はい に設定します。
  5. [保存] をクリックします。

注意: セキュリティのデフォルトを有効にすると、すべてのユーザーが次回ログイン時に MFA を構成する必要があります。 Microsoft Authenticator アプリを登録するように求められます。セキュリティのデフォルトは、セキュリティを備えていない組織に最適です。m Azure AD Premium P1 または P2 ライセンスには、高速で標準化された MFA 実装が必要です。条件付きアクセスとセキュリティのデフォルトを同時に使用することはできません。一方がもう一方を無効にします。

オプション 2: 条件付きアクセス ポリシーを使用して MFA を有効にする (きめ細かな制御と大規模な企業に推奨)

条件付きアクセス (CA) ポリシーを使用すると、MFA が必要となる特定の条件を定義できるため、セキュリティの既定値よりもはるかに高い柔軟性が得られます。このオプションには、Azure AD Premium P1 または P2 ライセンスが必要です。

2.1.テストユーザーグループを作成する

条件付きアクセス ポリシーを組織全体に展開する前に、少数のユーザー グループでテストすることをお勧めします。

  1. Microsoft ログイン管理センターで、ID > グループ > すべてのグループ に移動します。
  2. [新しいグループ] をクリックします。
  3. 詳細を入力します。
    • グループ タイプ: セキュリティ
    • グループ名: MFA_Users_Test
    • Azure AD ロールはグループに割り当てることができます: いいえ
    • メンバーシップの種類: 割り当て済み
  4. テスト ユーザーをメンバーとして追加し、作成 をクリックします。

2.2. MFA を要求する条件付きアクセス ポリシーを作成する

  1. Microsoft ログイン管理センターで、保護 > 条件付きアクセス に移動します。
  2. [新しいポリシー] > [新しいポリシーの作成] をクリックします。
  3. 名前: 「すべてのユーザーに MFA が必要」 (テストの場合は「テスト グループに MFA が必要」)。
  4. 責任:
    • ユーザーまたはワークロードの識別: すべてのユーザー (またはテスト用の MFA_Users_Test グループ) を選択します。
    • 削除: ブロックされないように、ここで緊急アクセス アカウントを削除することが重要です。 MFA を使用できないサービス アカウントも追加します。
  5. クラウド リソースまたはアクション: すべてのクラウド アプリケーションを選択します。
  6. 条件 (オプション、粒度をさらに高めるため): ※企業ネットワーク外からのアクセスのみMFAを要求するなど、場所、デバイス、クライアントアプリケーションなどに応じた条件を設定できます。
  7. 許可:
    • [アクセスを許可] を選択します。
    • 多要素認証が必要 をオンにします。
    • [選択] をクリックします。
  8. セッション (オプション):
    • ログイン頻度の制御やセッションの永続性を設定できます。
  9. ポリシーを有効にする: 適用する前に影響をテストするには レポートのみ に設定し、すぐに適用するには オン に設定します。
  10. [作成] をクリックします。

###2.3.認証方法の構成

ユーザーがどの MFA メソッドを使用できるかを定義することが重要です。

  1. Microsoft ログイン管理センターで、保護 > 認証方法 > ポリシー に移動します。
  2. ここで、Microsoft Authenticator、SMS、音声通話などの方法を有効または無効にできます。Microsoft Authenticator と SMS を主な方法として有効にすることをお勧めします。
  3. Authenticator 登録モード (パスワードなしまたはプッシュ通知なし) など、各方法のオプションを構成します。

検証とテスト

MFA を構成した後、それが期待どおりに機能していることを検証することが重要です。

1. ユーザーログインをテストする

  1. シークレット/プライベート モードでブラウザ ウィンドウを開きます。
  2. MFA ポリシーが対象とするアプリケーション (例: 「portal.office.com」) に移動します。
  3. MFA ポリシーに含まれているユーザーのアカウントでログインします。
  4. ユーザーは、MFA を構成するか (有効化後の最初のログインの場合)、または 2 番目の要素を指定するように求められます (例: Microsoft Authenticator での通知を承認する、SMS コードを入力する)。

2. MFA 登録ステータスを確認する

  1. Microsoft ログイン管理センターで、ID > ユーザー > すべてのユーザー に移動します。
  2. ユーザーをクリックし、[認証方法] をクリックします。
  3. ユーザーに登録されている認証方式を確認します。これにより、ユーザーが MFA を正常にセットアップしたことが確認されます。

3. レポートのみモードを使用する (条件付きアクセスの場合)

レポートのみ モードで条件付きアクセス ポリシーを構成した場合は、適用せずに結果を確認できます。

  1. Microsoft ログイン管理センターで、保護 > 条件付きアクセス に移動します。
  2. 作成したポリシーをクリックし、レポートのみ タブに移動します。
  3. 結果を分析して、どのユーザーとアプリケーションがポリシーの影響を受けるか、MFA が必要かどうかを確認します。

セキュリティのヒントとベストプラクティス

  • 管理者には MFA が必要: 他のポリシーに関係なく、管理者アカウントには常に MFA が必要です。これらのアカウントは攻撃の主な標的となります。
  • ユーザー教育: MFA の重要性と、MFA を正しく構成および使用する方法についてユーザーをトレーニングします。 MFA フィッシングの試みを特定して報告する方法を説明します。
  • Microsoft Authenticator: プッシュ通知を使用した Microsoft Authenticator アプリの使用を促進します。これは、最も安全で簡単に使用できる方法の 1 つであり、一部の種類のフィッシング攻撃に耐性があると考えられているためです。
  • 詳細な条件付きアクセス ポリシー: 条件付きアクセスを使用して、MFA が必要な場合 (企業ネットワークの外部、高リスクのアプリケーション、特権ロールのユーザーなど) を調整します。
  • 定期的なレビュー: MFA ポリシーとユーザー登録の認証方法を定期的にレビューし、有効性と安全性が維持されていることを確認します。
  • 緊急アカウント: 認証情報の安全な保存や定期的な使用状況の監査など、緊急アクセス アカウントの厳格なプロセスを維持します。

一般的なトラブルシューティング

  • ユーザーは MFA を構成できません: ユーザーが適切なライセンスを持っており、必要な認証方法が有効になっていることを確認してください。登録手順に注意深く従うようにユーザーを案内します。
  • MFA を有効にした後にユーザーがブロックされました: ユーザーが条件付きアクセス ポリシーから除外されているかどうか、または構成された MFA 方法に問題があるかどうかを確認します。必要に応じて緊急アクセス アカウントを使用します。
  • MFA は要求されていません: 条件付きアクセス ポリシーが有効であり、正しいユーザーとアプリケーションに割り当てられていることを確認します。セキュリティのデフォルトを使用している場合は、競合する条件付きアクセス ポリシーがないことを確認してください。
  • 認証アプリの問題: モバイル デバイスのネットワーク接続と、アプリの通知が有効になっているかどうかを確認してください。アプリでアカウントを削除して再度追加してみてください。

結論

多要素認証は、最新の ID セキュリティの基本的な柱です。 Azure AD で MFA を構成すると、特に条件付きアクセス ポリシーを通じて、不正アクセスに対する堅牢な防御が提供されます。この記事のガイドラインに従うことで、組織はユーザー ID と重要なリソースを保護し、リスクを軽減し、全体的なセキュリティ体制を強化する体制が整います。セキュリティは継続的なプロセスであり、継続的な適応と改善が必要であることを忘れないでください。

参考文献:

[1] Microsoft Learn。 多要素認証とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft Learn。 Microsoft Entra 多要素認証の展開を計画します。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft Learn。 Microsoft Entra Multi-Factor Authentication ライセンス。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft Learn。 Microsoft Entra ID で緊急アクセス アカウントを作成します。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts