セールス: 1-800-867-1380

Azure 多要素認証

発行: 2013年5月

更新日: 2014年11月

このコンテンツに対するコメントやここに記載された情報に関するご質問については、フィードバックのガイダンスをご利用ください。

このトピックでは、一般的な Multi-Factor Authentication の概要と Azure Multi-Factor Authentication サービスについて説明します。このトピックではまた、グローバル管理者が Azure の Multi-Factor Authentication を利用し、クラウドにある組織の ID データを保護する方法について説明します。ソフトウェア開発キット (SDK) を利用し、Azure Active Directory (Azure AD) ユーザーまたはカスタムアプリケーションのために Multi-Factor Authentication サービスを有効にできます。Azure Multi-Factor Authentication Server を利用し、オンプレミスアプリケーションのために Multi-Factor Authentication サービスを有効にできます。

この概要に関する動画は、チャンネル 9 の「Azure Multi-Factor Authentication の概要」でご覧いただけます。

多要素認証 (MFA) とは、1 つの認証方法で、複数の検証方法の使用が必要とされ、ユーザーのサインインとトランザクションに重大な意味を持つ第 2 のセキュリティ層が追加されます。Multi-factor Authentication は、次の確認方法のうち 2 つ以上を必須にすることで機能します。

  • ユーザーが知っている情報 (通常はパスワード)

  • ユーザーの所持品 (電話など、容易には複製できない、信頼済みのデバイス)

  • ユーザー自身の特性 (生体認証)

Multi-factor Authentication のセキュリティは、その階層化された手法にあります。複数の認証要素を侵害することは、攻撃者にとって大きな障壁になります。攻撃者がユーザーのパスワードを探ろうとしても、信頼されたデバイスを持っていなければ無駄に終わります。反対に、ユーザーがデバイスを紛失してしまった場合、デバイスを見つけた人は、ユーザーのパスワードを知らない限り、デバイスを使用できません。

既定では、Azure AD サービスでは、ユーザー サインインの唯一の認証方法として、パスワードを使用します。Azure Multi-Factor Authentication とは、モバイル アプリ、通話、テキスト メッセージを利用してサインインを検証することをユーザーに要求するサービスです。このサービスを Azure AD と共に、または、SDK を使用してカスタム アプリケーションやカスタム ディレクトリともに使用できます。また、Multi-Factor Authentication Server サーバーを利用し、オンプレミス アプリケーションと共に使用できます。次の図は、Azure Multi-Factor Authentication のしくみを示したものです。

概要

Azure AD と共にこのサービスを使用するとき、管理者はディレクトリ ユーザーに対してこのサービスを有効にできます。ユーザーは次回サインインするときに、Multi-Factor Authentication の詳細を設定するよう求められます。通話またはテキスト メッセージを使用して認証できるように最大 3 つの電話番号 (携帯電話、会社の電話、代理) を指定できます。また、Multi-Factor Authentication モバイル アプリを使用するかどうかを指定する必要があります。このアプリでは、帯域外プッシュ通知オプションと 1 回限りのパスコード認証オプションを利用できます。

組織の多要素設定の詳細については、「オンプレミス アプリケーションと Windows サーバーの Multi-Factor Authentication を有効にする」を参照してください。

次のオプションを提供することで、Azure Multi-Factor Authentication はユーザーに柔軟性を与え、ユーザーが優先方法で認証を通らない場合のバックアップ オプションを提供します。

  • Multi-Factor Authentication アプリは、Windows PhoneAndroid、および IOS デバイスで利用できます。ユーザーはデバイス ストアから無料のアプリをダウンロードし、設定中に与えられるコードを利用してアプリをアクティベートできます。ユーザーがサインインすると、モバイル デバイスのアプリに通知がプッシュされます。ユーザーはタップ操作で認証の要求を承認するか拒否します。アプリのインストールとセットアップには、携帯ネットワークまたは Wi-Fi アクセスが必要です。アプリをインストールしたら、次のモードで動作させ、Multi-Factor Authentication によるセキュリティを与えることができます。

    • 通知。このモードでは、Multi-Factor Authentication アプリはアカウントへの無許可のアクセスを防ぎ、不正な処理を止めます。電話または登録したデバイスにプッシュ通知を送ります。ユーザーは通知を見て、問題がなければ、[認証] を選択します。適切でない場合、拒否を選択できます。あるいは、拒否を選択し、不正通知を報告できます。不正通知の報告に関する詳細については、「How to configure and use Fraud Alert for Azure Multi-Factor Authentication」を参照してください。

    • ワンタイム パスコード。このモードでは、Multi-Factor Authentication アプリをオープン認証 (OATH) パスコードを生成するためのソフトウェア トークンとして使用できます。ユーザーはユーザー名とパスワードと共にこのパスコードを入力し、2 つ目の認証を実行できます。このオプションは電話がつながりにくい場所で役に立ちます。

  • 自動通話は、Multi-Factor Authentication サービスによって、あらゆる電話 (固定電話または携帯電話) に転送できます。ユーザーは通話に応答し、電話のシャープ記号 (#) を押してサインインを完了します。

  • Multi-Factor Authentication サービスは、任意の携帯電話にテキスト メッセージを送信できます各テキスト メッセージにワンタイム パスコードが 1 つ含まれます。ユーザーは、テキスト メッセージにパスコードで返信するように、またはサインイン画面にパスコードを入力するように求められます。

noteメモ
Multi-Factor Authentication SDK では、現在のところ、通話とテキスト メッセージのみ利用できます。

Multi-Factor Authentication サービスを利用すると、Windows Server Active Directory Domain Services (AD DS) または Azure AD との連動で、クラウド アプリケーションとオンプレミス アプリケーションの両方を守ることができます。SDK を利用し、カスタム アプリケーションを守ることもできます。次のソリューションは、Azure Multi-Factor Authentication と共に利用できます。

  • Azure Active Directory に Multi-Factor Authentication を追加する。Azure AD ID の Multi-Factor Authentication を有効にします。ユーザーは次回サインインしたときに追加の検証を設定するように求められます。Multi-Factor Authentication を利用し、Azure、Microsoft Office 365 や Microsoft Dynamics CRM オンラインなどのマイクロソフト オンライン サービス、マイクロソフト以外で Azure AD と統合されるクラウド サービスに安全にアクセスします。多数のグローバル ユーザーとグローバル アプリケーションの Multi-Factor Authentication を短時間で有効にできます。

  • オンプレミス アプリケーションと Windows サーバーの Multi-Factor Authentication を有効にする。Azure Multi-Factor Authentication Server を利用し、Internet Information Services (IIS) や AD DS など、オンプレミス リソースの Multi-Factor Authentication を有効にします。Multi-Factor Authentication Server を利用すると、管理者は IIS 認証と統合し、Microsoft IIS Web アプリケーション、Remote Authentication Dial-In User Service (RADIUS) 認証、Lightweight Directory Access Protocol (LDAP) 認証、Windows 認証を保護することができます。

  • カスタム アプリに Multi-Factor Authentication を構築する (SDK)。SDK を利用すると、クラウド サービスとオンプレミス カスタム アプリケーションと直接統合できます。Multi-Factor Authentication の通話およびテキスト メッセージ検証をアプリケーションのサインインまたはトランザクション プロセスに組み込み、アプリケーションの既存のユーザー データベースを利用します。

Azure Multi-Factor Authentication により動作する Office 365 向け Multi-Factor Authentication は、Office 365 アプリケーション限定で連動するほか、Office 365 ポータルから管理できます。管理者は Multi-Factor Authentication を利用して Office 365 リソースを守ることができるようになりました。

Azure 管理者は Office 365 の Multi-Factor Authentication 機能の一部を無料で利用できます。この Multi-Factor Authentication のコア機能を有効にすることで、Azure サブスクリプションのすべての管理アカウントで追加保護を受けられるようになりました。Azure ポータルにアクセスして VM と Web サイトを作成し、ストレージ、モバイル サービス、その他の Azure サービスを管理する管理者は、自分の管理者アカウントに Multi-Factor Authentication を追加できます。

次の図を利用すると、最適な Multi-Factor Authentication を決定できます。

MFA の比較

Azure Multi-Factor Authentication をすべてのユーザーに拡張する場合、または、管理ポータル、独自のあいさつ、レポートなどの機能をグローバル管理者が利用できるようにするには、サービスを購入し、設定する必要があります。

Multi-Factor Authentication を使用するには、その前に Azure サブスクリプションが必要です。Azure サブスクリプションを入手するには、「Azure 無料評価版」をご覧ください。その後、Azure 管理ポータルにサインインし、新しい Multi-Factor Authentication プロバイダーを作成します。請求には次の 2 つの方法があります。

  • ユーザーごとに。通常、認証を定期的に必要とする固定数の従業員のために Multi-Factor Authentication を有効にする企業向けです。

  • 認証ごとに。通常、ほとんど認証を必要としない大規模グループの外部ユーザーのために Multi-Factor Authentication を有効にする企業向けです。

組織に最適なモデルを選択します。Multi-Factor Authentication プロバイダーの作成後は、その請求モデルを変更できないことに注意してください。新しいプロバイダーを作成できますが、構成とユーザー設定は継承されません。Azure Multi-Factor Authentication の購入に関する詳細については、「Azure の価格の詳細」を参照してください。

次のトピックでは、Azure Multi-Factor Authentication について詳しく説明します。

この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました
表示:
© 2014 Microsoft