Office 365 のための多要素認証 ~ 安全に Office 365 にアクセスする方法 株式会社ソフィアネットワーク 国井傑 ( くにいすぐる ) スライドは こちら からダウンロード http://www.slideshare.net/sugurukunii/
自己紹介 スライドは こちら からダウンロード http://www.slideshare.net/sugurukunii/ 株式会社ソフィアネットワーク所属 Microsoft MVP for Directory Services (2006~2014) マイクロソフト認定トレーナー (1997~) 連載 ~ 基礎から分かる Active Directory 再入門ブログ Always on the clock @sophiakunii 2
ADFS トレーニングコースがリニューアルします! ニーズに合わせて 2 つのコースをご提供! Office 365 ユーザー認証ベストプラクティス (2 日コース ) Microsoft Azure を活用した ADFS 構築 (1 日コース ) こんな人におすすめです テスト環境を用意するだけでも大変なので 手っ取り早く学習したい 今はとりあえず ADFS が動いているけど トラブルが起きたらどうしよう クラウド連携の案件で先行者利益を取りたい! 詳しくはクリエ イルミネート Web サイトでご確認ください http://www.crie-illuminate.jp 3
こんな人に聞いてもらいたい スライドは こちら からダウンロード http://www.slideshare.net/sugurukunii/ 多要素認証って なんだかわからないけど とにかくサインインの安全性を高めたい人 多要素認証の実装を検討している人 4
これからお話しすること スライドは こちら からダウンロード http://www.slideshare.net/sugurukunii/ 1. 多要素認証とは? 2. Azure Active Directory の多要素認証 3. ADFS の多要素認証 5
多要素認証とは? 6
ユーザー名とパスワードだけでは もう限界 誰でも知ることができる情報だけでは 不正アクセスの可能性がある 7
Office 365 への不正アクセスの可能性を考えてみる 8
多要素認証とは 複数の要素を利用して本人確認(認証)を行うこと 認証に使われる 要素 1要素目 = ユーザー名/パスワード (知っていることを前提とした認証) 2要素目 = 電話 メール OTPデバイスなど (所有していることを前提とした認証) + 9
Office 365 の多要素認証 Office 365 では以下の方法による多要素認証をサポート 10
多要素認証.. その前に ~ Office 365 の認証方法 クラウドの ID で認証 クラウド ID オンプレとクラウドで同じ ID ディレクトリとパスワードの同期 オンプレ ID をクラウドと連携 ID 連携 11
参考 Azure Active Directory(AAD) とは? AADとは マイクロソフトが提供するクラウドサービスの認証 / 承認で利用するディレクトリサービス Office 365 Windows Intune Dynamics CRM Online Microsoft AzureのサインインにはMicrosoftアカウントを使用しているが Microsoft Azureの管理ポータルからAADを管理できる 12
Office 365 のユーザー管理には AAD を利用している 13
Azure Active Directory の多要素認証 14
AAD の多要素認証 ユーザー単位で多要素認証の強制 有効 無効を設定可能 管理者は多要素認証の有効化を設定 ユーザーは初回サインイン時に利用する認証方法を選択 多要素認証に使用できる認証方法 電話 ( 通話 ) 電話 (SMS) モバイルアプリ 15
モバイルアプリケーションによる多要素認証 スマートフォン用アプリとして提供されているMulti-Factor Authentication (Phone Factor, Inc) を利用する 初期設定方法 モバイルアプリからOffice 365の多要素認証を使う (always on the clock) 16
Office 365 にアクセスするアプリケーションの多要素認証対応 アプリケーション認証の第 1 要素認証の第 2 要素 ブラウザー Outlook Word/Excel/PowerPoint Lyncクライアント Exchange ActiveSync ( スマートフォン / タブレットからのアクセス ) OneDrive Pro アプリケーション Office365 に登録したユーザー名とパスワード Office365 に登録したユーザー名とアプリケーションパスワード Office365に登録したユーザー名とアプリケーションパスワード Office365に登録したユーザー名とアプリケーションパスワード 多要素認証の設定で定義した認証要素 電話 モバイルアプリケーション 多要素認証に切り替えても OneDrive Pro アプリケーションからパスワード変更を要求することはなく Office アプリケーションにおけるサインイン設定をそのまま引き継ぐと思われる ( 私の環境では アプリケーションパスワードを設定しなければ同期は保留のままとなっていました ) 17
アプリケーションパスワード 多要素認証に対応していないアプリケーション用に アプリケーションパスワード と呼ばれる 自動生成のパスワードを用意 アプリケーションパスワードの生成は一度限りで 忘れたら再生成が必要 複数のアプリケーションパスワードの生成が可能 アプリケーション種類やデバイス種類に合わせて複数のアプリケーションパスワードを生成しておき アプリケーションの不正利用やデバイス紛失などが発覚した場合にはアプリケーションパスワードを削除する運用が可能 18
アプリケーションパスワードの設定 初期セットアップ後のアプリケーションパスワード設定 https://account.activedirectory.windowsazure.com/proofup.aspx 19
ADFS の多要素認証 20
ADFS ~ クラウドとの信頼関係 クラウドはドメインに参加していないので 別途サインインが必要 Active Directory フェデレーションサービス (ADFS) を活用すれば クラウドを 1 回のサインインでアクセスできる範囲 にできる
ADFS経由のOffice 365アクセス (社内ブラウザー編) クライアント 認証サーバー ADFS サーバー AAD Office365 ①Office 365 サイトで認証を要求 ②認証先の指定 ここで多要素認証を実装 ③認証 トークンの発行 ④AADにアクセスし 認証トークンをもとに認可を実施 ⑤AADで発行された認可トークンを利用してサインイン 22
ADFS経由のOffice 365アクセス (社外ブラウザー編) 認証サーバー ADFS サーバー ADFS プロキシ クライアント AAD ①Office 365 サイトで認証を要求 ②認証先の指定 ここで多要素認証を実装 ③認証ページへリダイレクト ④認証 トークンの発行 ⑤AADにアクセスし 認証トークンをもとに認可を実施 ⑥AADで発行された認可トークンを利用してサインイン 23 Office365
ADFS の多要素認証 様々な単位で多要素認証の有効 無効を設定可能 ADFS を利用する すべてのユーザー Office365 を利用する すべてのユーザー Domain Users に所属するユーザーのみ など条件式自体を管理者が定義できるので 自由に多要素認証を利用するユーザーを指定可能実装方法 ADFS+Office365 でブラウザーアクセスのみ多要素認証を設定 (Always on the clock) ADFS の管理者が多要素認証の有効化と認証方法を設定 多要素認証には様々な認証方法を実装可能だが 既定では証明書による認証のみをサポート 24
多要素認証で利用可能な認証方法を追加する 認証方法の追加 Microsoft Azure Multi-Factor Authentication の利用 Microsoft.IdentityServer.web.dll ファイルのカスタマイズ参考 カスタム多要素認証プロバイダーの作成 ( 概要のみ ) (Always on the clock) 25
Microsoft Azure Multi-Factor Authentication AAD の有償オプションとして用意された多要素認証機能 26 サポートされる認証方法 電話 テキストメッセージ (SMS) モバイルアプリ (Phone Factor, Inc) OAUTH トークン ( サードパーティの OTP デバイスを利用 ) AAD 自体の多要素認証との違い 多要素認証プロバイダー という名称で機能を提供 レポート機能の提供 ワンタイムバイパスによる多要素認証を一時的に使わない設定 音声メッセージのカスタマイズなど
Microsoft Azure Multi-Factor Authentication 利用開始方法 1. Azure 管理ポータルから新規または既存の AAD テナントを登録 2. Azure 管理ポータルから多要素認証プロバイダーを登録 3. Azure 管理ポータルから多要素認証プロバイダーポータルにアクセス 27
Azure Multi-Factor Authentication アプリケーション Azure 管理ポータルから提供される ADFS の多要素認証をカスタマイズするアプリケーション 参考 Windows Azure Multi-Factor Authentication を利用した ADFS の多要素認証の設定 28
ADFS経由のOffice 365アクセス (リッチクライアント編) 認証サーバー ADFS サーバー ADFS プロキシ どこで多要素認証を実装 クライアント AAD ①ユーザー名/パスワードをもってサービスへアクセス ②認証先の指定 ③認証要求をリダイレクト ④認証 トークンの発行 ⑤AADにアクセスし 認証トークンをもとに認可を実施 ⑥AADで発行された認可トークンを利用してサインイン 29 Office365
多要素認証利用のためのアクセス制御設定 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定基本的な構文 条件 => 処理 条件部分の書き方 Exists([Type==, Value== ]) c:[type==, Value== ] ここでの 処理 とは 多要素認証を行いなさい ということ issue(type = http://schemas.microsoft.com/ws/2008/06/identity/ claims/authenticationmethod, Value = http://schemas.microsoft.com/claims/multipleauthn ); 30
多要素認証利用のためのアクセス制御設定 条件のシナリオ 1: 社内ネットワークからブラウザーでアクセスした場合 exists([type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) 条件のシナリオ 2 : Workplace Join によるデバイス認証をしていない場合 c:[type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser", Value == "false"] NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser"]) 31
多要素認証利用のためのアクセス制御設定 条件のシナリオ 1 の場合における アクセス制御設定の全文 exists([type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) => issue(type = http://schemas.microsoft.com/ws/2008/06/ identity/claims/authenticationmethod, Value = http://schemas.microsoft.com/claims/multipleauthn ); 32
まとめ Azure Active Directory ADFS 多要素認証の有効化管理者が定義管理者が定義 多要素認証を利用する条件ユーザー単位で定義 ADFS の設定で細かく条件指定が可能 多要素認証に使用する認証方法 電話 SMS モバイルアプリ 証明書 ( 既定の方法 ) 電話 SMS モバイルアプリ (Azure MFA 1) カスタム 認証ログ Azureポータルで確認 2 ブラウザー以外での多要素認証 ( アプリケーションパスワードで対応 ) 3 1 電話 SMS モバイルアプリによる多要素認証は AAD プレミアムの機能として提供 2 有償サービスにて提供 イベントビューアから概要を確認することも可能 3 ブラウザー以外では多要素認証を使わないようにすることで対応が可能 ただし 利用できるとの情報も?? 33
Azure 多要素認証 (MFA) vs Office 365 多要素認証 Office 365 MFA Microsoft Azure MFA 管理者はエンドユーザーに対して MFA を有効化 / 強制可能 あり あり 第 2 認証要素としてモバイルアプリ ( オンラインおよび OTP) を使用 あり あり 第 2 認証要素として電話を使用 あり あり 第 2 認証要素として SMS を使用 あり あり ブラウザー以外のクライアント (Outlook Lync など ) のアプリケーションパスワード あり あり 認証の電話の際の Microsoft の既定案内応答 あり あり 認証の電話の際のカスタムの案内応答 あり 不正の警告 あり MFA SDK あり セキュリティレポート あり オンプレミスアプリケーション /MFA Server の MFA あり 1 回限りのバイパス あり ユーザーのブロック / ブロック解除 あり 認証用の電話のカスタマイズ可能な発信者 ID あり イベントの確認 あり
Office 365 サインイン関連の今後 ディレクトリ同期 (DirSync) ツールの他に AADSync ツールが提供予定 ADとの双方向同期 パスワードリセット マルチフォレストでのAADとの同期 Outlook 等アプリケーションからのサインインはパッシブプロファイルによる認証となるため アプリケーションからのサインインにも多要素認証が利用できる ( と思われる ) 35
We don t even have to try, It s always a good time. 36 from good time by owl city & carly rae jepsen