office365のための多要素認証
Post on 10-Jun-2015
3.069 Views
Preview:
DESCRIPTION
TRANSCRIPT
Office 365のための多要素認証~安全にOffice 365にアクセスする方法
株式会社ソフィアネットワーク
国井 傑 (くにい すぐる)
自己紹介
Copyright 2014 Sophia Network Ltd.2
Microsoft MVP for Directory Services (2006~2014)
マイクロソフト認定トレーナー(1997~)
ブログAlways on the clock
@sophiakunii
株式会社ソフィアネットワーク 所属
連載~基礎から分かるActive Directory再入門
ADFS トレーニングコースがリニューアルします!
Copyright 2014 Sophia Network Ltd.3
ニーズに合わせて、2つのコースをご提供!
Office 365ユーザー認証ベストプラクティス (2日コース)
Microsoft Azureを活用したADFS構築 (1日コース)
こんな人におすすめです。テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。
今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。
クラウド連携の案件で先行者利益を取りたい!
詳しくはクリエ・イルミネートWebサイトでご確認ください。http://www.crie-illuminate.jp
こんな人に聞いてもらいたい
多要素認証って、なんだかわからないけど、とにかくサインインの安全性を高めたい人
多要素認証の実装を検討している人
Copyright 2014 Sophia Network Ltd.4
これからお話しすること
1. 多要素認証とは?
2. Azure Active Directoryの多要素認証
3. ADFSの多要素認証
Copyright 2014 Sophia Network Ltd.5
多要素認証とは?
Copyright 2014 Sophia Network Ltd.6
ユーザー名とパスワードだけでは、もう限界誰でも知ることができる情報だけでは、不正アクセスの可能性がある
7
Office 365への不正アクセスの可能性を考えてみる
Copyright 2014 Sophia Network Ltd.8
多要素認証とは? 複数の要素を利用して本人確認(認証)を行うこと
認証に使われる「要素」
1要素目 = ユーザー名/パスワード (知っていることを前提とした認証)
2要素目 = 電話、メール、OTPデバイスなど (所有していることを前提とした認証)
Copyright 2014 Sophia Network Ltd.9
+
Office 365の多要素認証 Office 365では以下の方法による多要素認証をサポート
Copyright 2014 Sophia Network Ltd.10
多要素認証..その前に ~ Office 365の認証方法
Copyright 2014 Sophia Network Ltd.11
クラウド ID
オンプレとクラウドで同じID オンプレIDをクラウドと連携クラウドの ID で認証
ディレクトリとパスワードの同期 ID 連携
【参考】Azure Active Directory(AAD)とは? AADとは、マイクロソフトが提供するクラウドサービスの認証/承認で利用するディレクトリサービス
Office 365
Windows Intune
Dynamics CRM Online
Microsoft AzureのサインインにはMicrosoftアカウントを使用しているが、Microsoft Azureの管理ポータルからAADを管理できる
Copyright 2014 Sophia Network Ltd.12
Office 365のユーザー管理にはAADを利用している
Copyright 2014 Sophia Network Ltd.13
Azure Active Directoryの多要素認証
Copyright 2014 Sophia Network Ltd.14
AADの多要素認証 ユーザー単位で多要素認証の強制・有効・無効を設定可能
管理者は多要素認証の有効化を設定
ユーザーは初回サインイン時に利用する認証方法を選択
多要素認証に使用できる認証方法
電話(通話)
電話(SMS)
モバイルアプリ
Copyright 2014 Sophia Network Ltd.15
スマートフォン用アプリとして提供されているMulti-FactorAuthentication (Phone Factor, Inc)を利用する
初期設定方法「モバイルアプリからOffice 365の多要素認証を使う」(always on the clock)
モバイルアプリケーションによる多要素認証
Copyright 2014 Sophia Network Ltd.16
Office 365にアクセスするアプリケーションの多要素認証対応
アプリケーション 認証の第1要素 認証の第2要素
ブラウザー Office365に登録したユーザー名とパスワード
多要素認証の設定で定義した認証要素・電話・モバイルアプリケーション
OutlookWord/Excel/PowerPoint Lyncクライアント
Office365に登録したユーザー名とアプリケーションパスワード
Exchange ActiveSync(スマートフォン/タブレットからのアクセス)
Office365に登録したユーザー名とアプリケーションパスワード
OneDrive Proアプリケーション
Office365に登録したユーザー名とアプリケーションパスワード※
Copyright 2014 Sophia Network Ltd.17
※多要素認証に切り替えても、OneDrive Proアプリケーションからパスワード変更を要求することはなく、Officeアプリケーションにおけるサインイン設定をそのまま引き継ぐと思われる。(私の環境では、アプリケーションパスワードを設定しなければ同期は保留のままとなっていました)
多要素認証に対応していないアプリケーション用に「アプリケーションパスワード」と呼ばれる、自動生成のパスワードを用意
アプリケーションパスワードの生成は一度限りで、忘れたら再生成が必要
複数のアプリケーションパスワードの生成が可能
アプリケーション種類やデバイス種類に合わせて複数のアプリケーションパスワードを生成しておき、アプリケーションの不正利用やデバイス紛失などが発覚した場合にはアプリケーションパスワードを削除する運用が可能
アプリケーションパスワード
Copyright 2014 Sophia Network Ltd.18
アプリケーションパスワードの設定初期セットアップ後のアプリケーションパスワード設定https://account.activedirectory.windowsazure.com/proofup.aspx
Copyright 2014 Sophia Network Ltd.19
ADFSの多要素認証
Copyright 2014 Sophia Network Ltd.20
ADFS ~ クラウドとの信頼関係クラウドはドメインに参加していないので、別途サインインが必要
Active Directoryフェデレーションサービス(ADFS)を活用すれば、クラウドを「1回のサインインでアクセスできる範囲」にできる
Copyright 2014 Sophia Network Ltd.
ADFS経由のOffice 365アクセス (社内ブラウザー編)
Copyright 2014 Sophia Network Ltd.22
Office365認証サーバー AADクライアント
①Office 365 サイトで認証を要求
ADFS サーバー
②認証先の指定
③認証&トークンの発行
④AADにアクセスし、認証トークンをもとに認可を実施
⑤AADで発行された認可トークンを利用してサインイン
ここで多要素認証を実装
ADFS経由のOffice 365アクセス (社外ブラウザー編)
Copyright 2014 Sophia Network Ltd.23
Office365認証サーバー AAD
①Office 365 サイトで認証を要求
ADFS サーバー
②認証先の指定
③認証ページへリダイレクト
⑤AADにアクセスし、認証トークンをもとに認可を実施
⑥AADで発行された認可トークンを利用してサインイン
ここで多要素認証を実装
ADFS プロキシ クライアント
④認証&トークンの発行
ADFSの多要素認証 様々な単位で多要素認証の有効・無効を設定可能
ADFSを利用する、すべてのユーザー
Office365を利用する、すべてのユーザー
Domain Usersに所属するユーザーのみ、など条件式自体を管理者が定義できるので、自由に多要素認証を利用するユーザーを指定可能実装方法「ADFS+Office365でブラウザーアクセスのみ多要素認証を設定」(Always on the clock)
ADFSの管理者が多要素認証の有効化と認証方法を設定
多要素認証には様々な認証方法を実装可能だが、既定では証明書による認証のみをサポート
Copyright 2014 Sophia Network Ltd.24
多要素認証で利用可能な認証方法を追加する 認証方法の追加
Microsoft Azure Multi-Factor Authenticationの利用
Microsoft.IdentityServer.web.dllファイルのカスタマイズ参考「カスタム多要素認証プロバイダーの作成(概要のみ)」(Always on the clock)
Copyright 2014 Sophia Network Ltd.25
Microsoft Azure Multi-Factor Authentication AAD の有償オプションとして用意された多要素認証機能
サポートされる認証方法電話
テキストメッセージ (SMS)
モバイルアプリ (Phone Factor, Inc)
OAUTHトークン (サードパーティのOTPデバイスを利用)
AAD自体の多要素認証との違い
「多要素認証プロバイダー」という名称で機能を提供
レポート機能の提供
ワンタイムバイパスによる多要素認証を一時的に使わない設定
音声メッセージのカスタマイズなど
Copyright 2014 Sophia Network Ltd.26
Microsoft Azure Multi-Factor Authentication
Copyright 2014 Sophia Network Ltd.27
利用開始方法
1. Azure管理ポータルから新規または既存のAADテナントを登録
2. Azure管理ポータルから多要素認証プロバイダーを登録
3. Azure管理ポータルから多要素認証プロバイダーポータルにアクセス
Azure Multi-Factor Authenticationアプリケーション
Azure管理ポータルから提供される、ADFSの多要素認証をカスタマイズするアプリケーション
参考「Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定」
Copyright 2014 Sophia Network Ltd.28
ADFS経由のOffice 365アクセス (リッチクライアント編)
Copyright 2014 Sophia Network Ltd.29
Office365認証サーバー AAD
①ユーザー名/パスワードをもってサービスへアクセス
ADFS サーバー
②認証先の指定
③認証要求をリダイレクト
⑤AADにアクセスし、認証トークンをもとに認可を実施
⑥AADで発行された認可トークンを利用してサインイン
どこで多要素認証を実装?
ADFS プロキシ クライアント
④認証&トークンの発行
多要素認証利用のためのアクセス制御設定 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定
基本的な構文
条件=>処理
条件部分の書き方
ここでの「処理」とは「多要素認証を行いなさい」ということ
Copyright 2014 Sophia Network Ltd.30
issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);
Exists([Type==○○, Value==××])
c:[Type==○○, Value==××]
多要素認証利用のためのアクセス制御設定 条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合
条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合
Copyright 2014 Sophia Network Ltd.31
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])
c:[Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value == "false"]
NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser"])
多要素認証利用のためのアクセス制御設定 条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.32
‘exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"])=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/
identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);’
まとめ
Copyright 2014 Sophia Network Ltd.33
Azure Active Directory ADFS
多要素認証の有効化 管理者が定義 管理者が定義
多要素認証を利用する条件 ユーザー単位で定義 ADFSの設定で細かく条件指定が可能
多要素認証に使用する認証方法 電話、SMS、モバイルアプリ ・証明書 (既定の方法)・電話、SMS、モバイルアプリ (Azure MFA ※1)・カスタム
認証ログ × Azureポータルで確認 ※2
ブラウザー以外での多要素認証 ×(アプリケーションパスワードで対応) × ※3
※1 電話、SMS、モバイルアプリによる多要素認証はAADプレミアムの機能として提供※2 有償サービスにて提供。イベントビューアから概要を確認することも可能※3 ブラウザー以外では多要素認証を使わないようにすることで対応が可能。ただし、利用できるとの情報も??
Azure 多要素認証(MFA) vs Office 365 多要素認証Office 365 MFA Microsoft Azure MFA
管理者はエンドユーザーに対して MFA を有効化/強制可能 あり あり
第 2 認証要素としてモバイル アプリ (オンラインおよび OTP) を使用 あり あり
第 2 認証要素として電話を使用 あり あり
第 2 認証要素として SMS を使用 あり あり
ブラウザー以外のクライアント (Outlook、Lync など) のアプリケーション パスワード あり あり
認証の電話の際の Microsoft の既定案内応答 あり あり
認証の電話の際のカスタムの案内応答 あり
不正の警告 あり
MFA SDK あり
セキュリティ レポート あり
オンプレミス アプリケーション/MFA Server の MFA あり
1 回限りのバイパス あり
ユーザーのブロック/ブロック解除 あり
認証用の電話のカスタマイズ可能な発信者 ID あり
イベントの確認 あり
Office 365サインイン関連の今後
Copyright 2014 Sophia Network Ltd.35
ディレクトリ同期(DirSync)ツールの他に、AADSyncツールが提供予定
ADとの双方向同期
パスワードリセット
マルチフォレストでのAADとの同期
Outlook等アプリケーションからのサインインはパッシブプロファイルによる認証となるため、アプリケーションからのサインインにも多要素認証が利用できる(と思われる)
Microsoft Confidential36
We don’t even have to try,It’s always a good time.
from “good time” by owl city & carly rae jepsen
top related