こんにちは、上坂です。
この記事はAzure Active Directoryについての連載記事になります。
多要素認証とは、Id/PWによる認証にもう一つ認証を加えることでより強固なセキュリティを担保しましょう、ということなんですが、AzureADではこれが簡単に実現できます。それでは早速試してみましょう。
今回は第2回 Azure Active Directoryで簡単認証~OpenIdConnect編~ の続きになります。前回の記事を参照してディレクトリを作成しておいてください。
・新規ユーザー作成時に多要素認証を指定する
まずは新規にユーザーを作成するときに多要素認証を有効にする方法を見ていきましょう。
1.ディレクトリの選択
管理ポータルを開き、左側のメニューからAzureADを選択し、表示されたディレクトリの一覧から前回作成したディレクトリをクリックしてください。
2.ユーザー一覧の表示
上部メニューの「ユーザー」を選択します。
3.ユーザーの追加
下部メニューの「ユーザーの追加」を選択するとウィザードが立ち上がりますので、ユーザー情報を入力していきます。私は次のように入力しました。
- ユーザーの種類:組織内の新しいユーザー
- ユーザー名:mfauser@uesaka02.onmicrosoft.com
- 名:すけーぷ
- 性:ねくすと
- 表示名:ネクストスケープ
- ロール:ユーザー
- Multi-Factor Authenticaionの有効化にチェックを入れる
今回のポイントはここです。Multi-Factor Authenticationの有効化にチェックを入れる。です。逆にいうと、ポイントはここしかありません。このチェックを入れるだけで多要素認証になります。ウィザードの最後「一時パスワードの取得」で作成ボタンをクリックします。一時パスワードが表示されますのでメモっておきましょう。レ点クリックでユーザーの新規登録は終了です。
4.テスト
それでは早速試してみましょう。前回の記事を一緒に作業していただいている場合は、作成したWebアプリケーション起動して作成したユーザーでログインしてみてください。そうでない方は管理ポータルにさきほど作成したユーザーでログインしてみてください。といっても、今ままで作業していた管理ポータルからわざわざログアウトするのはちょっと嫌でしょうから、別の種類のブラウザを立ちあげるか、IEをご利用でしたら InPrivateブラウズで新しく窓を立ちあげるのが便利だと思います。立ち上げたら、管理ポータルにアクセスして、先ほど作ったユーザーでログインしてください。以下は作成したWebアプリケーションの場合ですが、流れは同じです。
すると、ID/PWを入力して新しいパスワードの登録が済んでも初期画面が表示されず、次のような画面が表示されます。多要素認証の設定を求める画面です。「今すぐセットアップ」をクリックしましょう。
「追加のセキュリティ確認」画面では、多要素認証の方法を選択することができます。次の4つのうちのどれかをユーザーが選択します。
- 携帯電話に電話がかかってくる
- 携帯電話にSMSメッセージが送信されてくる
- 会社の電話に内線番号付きで電話がかかってくる
- スマホやタブレットのアプリを使う
「追加のセキュリティ確認」という画面になります。完了をクリックすると多要素認証のセットアップは終了です。
指示通りにすると再度ログイン画面に戻りますので、再設定したパスワードでログインします。多要素認証が起動して電話をかけていることを示す画面が表示されます。実際に電話がかかってきますので指示に従いましょう。
認証に成功すると、初期画面が表示されます。管理ポータルに対してログインをした場合は、「サブスクリプションが存在しません。」というエラー画面になりますが、これは文字通りサブスクリプションが割り当てられていないためであり、認証そのものは成功しています。
長々と説明しましたが、要するに「Multi-Factor Authentication」の有効化にチェックを入れておくだけです。簡単ですね。思ったより長くなってしまったので、既に作成済みのユーザーに対して追加で多要素認証してもらう方法は次回にしたいと思います。