こんにちは、インフラエンジニアのryuです。
今回の記事では、Azure Multi-Factor Authentication(多要素認証)の実装方法を解説していきます。多要素認証を設定することで、パスワードが流出しても不正にログインされないようにAzureのセキュリティを高めていきましょう。
多要素認証とは?
多要素認証とは、言葉の通り、複数の要素で認証するということです。普段はパスワードのみでAzureのポータルサイトにログインします。しかし、そのパスワードが流出した際、誰かからログインされてしまいます。
「パスワード + もう一つの要素」のように、ログインするために2つ以上の要素で認証すれば、パスワードが流出しても、最悪不正ログインされることは避けられます。
認証に使われる要素
認証には、以下のような要素を使います。
- 知る要素 → パスワード、暗唱番号(PIN)
- 持つ要素 → 携帯電話のSMS認証
- 備える要素 → 生体認証、指紋認証、虹彩認証
- 場所の要素 → GPSの位置情報、IPアドレス
Azureの多要素認証ではこの「知る要素」+「持つ要素」の二つの要素を使って多要素認証を構成します。
では、早速設定方法を解説していきます。
多要素認証の設定方法を解説
多要素認証の手順は簡単です。ざっくり言うと、「AzureADユーザを作る」→「多要素認証を有効」→「ログイン時に携帯電話を登録」この3つの手順です。
手順1. AzureADユーザを作る
まずはじめにAzureADユーザを作成します。AzureADユーザの作成方法は過去の記事で紹介しているので、こちらをご覧ください。
手順2. 多要素認証を有効にする
次に多要素認証を有効にします。設定する場所は、AzureADユーザを作成した場所と同じです。
「AzureActiveDiretory」→「ユーザー」→「すべてのユーザー」→「Multi-Factor-Authentication」をクリックします。
クリックすると、別ブラウザで設定画面が表示されます。
多要素認証を有効にしたいユーザをクリックして、「有効にする」をクリックします。
これで設定が完了です。
ちなみに、有効にするをクリックした後、「強制」をクリックすると多要素認証を強制させることができます。
手順3.ログイン時に携帯電話を登録
次に、持つ要素の携帯電話を登録します。SMS認証かアプリ認証の2種類登録できます。
Azureのポータルサイトに作成したAzureADユーザでログインしましょう。パスワードの入力が完了したのち、以下のような画面が表示されます。「次へ」を押して進みます。
次に携帯電話の登録を行います。登録方法は、「認証用携帯」、「会社携帯」、「モバイルアプリ」の3つがあり、 「認証用携帯」、「会社携帯」 はSMS認証になります。携帯の電話番号を登録しましょう。「モバイルアプリ」 は専用のアプリをインストールして認証します。
あとは、「次へ」を押して進みます。
登録が完了したら、もう一度ユーザーでログインしてみて、多要素認証ができるか試してみましょう。
さいごに
今回の記事では、Azureで多要素認証の設定方法を解説していきました。ログイン時のセキュリティを高めて、不正アクセスを防止しましょう。AzureADのライセンスを有料のものにすれば、さらに複数の条件を付けてアクセス制御をすることができます!Azureにはいろいろなセキュリティを高める方法があるので、ぜひ設定してみましょう。
