クラウドサービスを利用するなかで、「各種サービスへのログインが煩雑」「セキュリティが不安」と感じたことはありませんか? それらの不満は、Azure Active Directoryの導入で解決します。本記事では、Azure Active Directoryの特徴や多要素認証の設定方法を紹介します。
Azure Active Directory (Azure AD) とは
「Azure Active Directory (Azure AD)」 とは、Microsoftの提供するクラウドベースの認証サービスです。社内システムやクラウドサービスにアクセスするユーザーの認証・許可を行います。
Azure ADでは、多要素認証により従来のID/パスワードでのユーザー認証に比べ、安全なアカウント管理が可能です。また、一度Azure ADにサインオンすれば、サービスを切り替えるたびに再ログインを求められることもありません。高度なセキュリティ体制の整ったクラウド認証基盤を手軽に導入できます。
Azure Active Directory (Azure AD) の主な機能
Azure ADには、クラウドサービス認証を効率的かつ安全にするための、さまざまな機能が備わっています。ここでは、代表的な機能である「アカウント管理」「ID管理」「アクセス管理」の3つを紹介します。
アカウント管理
Microsoftが提供するサービスを始め、DropboxやGoogleなどさまざまなサービス・アプリケーションのアカウント管理が一括で行えます。これらのサービスをAzure ADと紐づけることで、シングルサインオンでのログインが可能です。
シングルサインオンとは、一度の認証で複数のサービスを利用できる認証方法です。Azure ADにログインすることで、紐づけたすべてのサービスについて、個別のログインなしで利用できます。同時に、Azure ADはセキュリティに非常にも優れており、安心です。詳しくは後述します。
ID管理
セキュリティを強固なものにするのが、こちらのID管理機能です。従来のID/パスワードのみを用いたID管理は、不正アクセスの手段が多様化する昨今、もはや完全ではありません。そこでAzure ADには、「2段階認証」「生体認証」「デバイス認証」などの認証方法が採用されています。
2段階認証とは、ログインに際して、登録メールアドレス・電話番号に送付される認証コードを求める認証方法です。認証コードを別のデバイス(パソコンでログインする場合、スマートフォン・タブレットなど)に送付すれば、より強固なセキュリティが保証されます。
生体認証やデバイス認証は、Windows 10対応デバイスでのみ利用できる認証方法です。顔や指紋などの要素や、デバイス情報を用いた高度なID管理が可能です。また、Azure ADにはAIを活用した検知機能が備わっています。機械学習により、怪しいサインインを検出し、ブロックしてくれます。
アクセス管理
ユーザーごとにアクセス可能なサービス・アプリケーションを制限するアクセス管理機能は、セキュリティ面において非常に重要です。
Azure ADでは、アクセス管理機能が細かく設定できます。ユーザーや場所ごとに、アプリケーションへのアクセス許可を設定可能。さらに同一ユーザー・同一アプリケーションについて、「会社からのアクセスは可能だが、それ以外の場所からはアクセス不可」・「貸与デバイスからならどこからでもアクセスできるが、それ以外のデバイスからだと会社からでもアクセスできない」など詳細な設定を組んでいけます。
また、各ユーザーの画面には、自身が利用可能なアプリケーションのみが表示されます。利用するサービスを探す手間が省けることから、業務効率化にも役立つでしょう。
Azure ADの多要素認証
Azure ADで用いられる、主な多要素認証の方法とセキュリティ強度を紹介します。
Windows Hello for Business セキュリティ強度:強
パスワードをPINや生体認証に置き換えてサインインする機能です。
Microsoft Authenticatorアプリ セキュリティ強度:強
こちらは、Android/iOS用の無料アプリです。アカウントを紐づけることで、アプリからPINや生体認証を用いてサインインできます。
FIDO2 セキュリティ キー セキュリティ強度:強
USBデバイスやBluetooth、無線通信による認証方法です。
OATH セキュリティ強度:中
ワンタイムパスワードによる認証です。コードは、Microsoft Authenticatorアプリなどのソフトウェアトークン、購入型のハードウェアトークンで生成されます。
SMS/音声 セキュリティ強度:中
電話番号を入力することで、テキストメッセージや音声にて認証コードを受け取ります。
パスワード セキュリティ強度:低
従来用いられている、ID/パスワードによる認証です。
Azure Multi-Factor Authentication
Azure Multi-Factor Authentication(MFA)は、コードの入力や指紋認証など、サインイン段階に追加で本人確認できるものをユーザーに求めるプロセスです。例えば、パスワードとハードウェアキー(デバイス情報など)を組み合わせたり、パスワードと生体認証を組み合わせたりして行われます。
複数の認証を行うことで、攻撃者による不正アクセスが困難になり、セキュリティが向上します。加えて、MFAの認証方式は、ユーザーの利便性を大きく損なうものではありません。前述の通り、アプリからのログインやワンタイムパスワードなどの簡易なアクセス性と、高いセキュリティとを兼ねそろえているのです。
各認証方法の仕組み
Windows Hello for Businessで用いられることが多いのが、生体認証です。顔認識は、特殊な赤外線 (IR) カメラとソフトウェアによって、写真と実際の人物の違いを確実に見分けます。指紋認識は、静電容量方式指紋センサーを使用して、指紋をスキャンします。なお、認証に使われる生体データはローカルデバイスのみに保存され、外部デバイスやサーバーには送信されません。
Microsoft AuthenticatorアプリやSMS認証で用いられることが多いのがワンタイムパスワードです。Azure ADに採用されているのは、時間ベースのワンタイムパスワードで、30~60秒ごとに生成されるパスワードを、ユーザーが手持ちのトークン(スマートフォンや専用デバイス)で確認し、入力することで本人確認とします。
多要素認証の設定方法
Azure ADの多要素認証を設定する手順は、管理者がMFAを有効化し、ユーザーが2要素目の認証方法を設定するという流れです。それぞれ詳しく見ていきましょう。
MFAの有効化
始めに管理者が、MFAを有効化するユーザーを選びます。Azure portalの管理画面から[ユーザー]→[すべてのユーザー]と進み、画面上部の[Multi-Factor Authentication]をクリックしましょう。新しいタブが開くので、そこからMFAを有効にするユーザーを全員選び、[有効にする]を選択します。再度、確認画面で承認を行うと、管理者の設定は完了です。
認証方法の設定
次に、ユーザーの操作に移ります。Azure portalに MFAが有効化されたユーザーがログインすると、2要素目の設定画面が表示されます。認証用電話、会社用電話、モバイルアプリなどから選べるので、適したものを選びましょう。なお、モバイルアプリを選択するには、事前にアプリのセットアップが必要です。
また、コードの送信方法もテキストメッセージや電話での受け取りなどが選択できます。
仮に「認証用電話(テキスト メッセージでコードを送信する)」を選択した場合、認証用電話として入力した電話番号に認証コードが届きます。表示される画面に認証コードを入力したら設定完了です。一度登録すると、次回以降のログイン時も、同じように認証コードが送られます。
まとめ
Azure Active Directoryは、Microsoftの提供するクラウド型ユーザー認証サービスです。生体認証やデバイス認証を採用した多要素認証により、強固なセキュリティを確保しつつ、シングルサインオンでの手軽なログインを実現します。
Azure ADでは多様なMFAを提供していますが、一方でデバイス制御等のセキュリティポリシーを満たすには別途オプションの契約が必要となります。そのような要件がある場合にはHENNGE Oneのようなサードパーティー製のMFAツールを検討してみてはいかがでしょうか。より安価に設定代行含めた手厚いサポートを受けることができるためコスト面、運用面のハードルを下げることが可能です。ぜひ比較検討の一助にしてください。
