2014年6月14日 ～ Cloud OS MVP Roadshow

1. Office 365のための多要素認証
～安全にOffice 365にアクセスする方法
株式会社ソフィアネットワーク
国井 傑 (くにい すぐる)

2. 自己紹介
Copyright 2014 Sophia Network Ltd.2
Microsoft MVP for Directory Services
(2006～2014)
マイクロソフト認定トレーナー
(1997～)
ブログ
Always on the clock
＠sophiakunii
株式会社ソフィアネットワーク 所属
連載～基礎から分かる
Active Directory再入門

3. ADFS トレーニングコースがリニューアルします！
Copyright 2014 Sophia Network Ltd.3
 ニーズに合わせて、2つのコースをご提供！
Office 365ユーザー認証ベストプラクティス (2日コース)
Microsoft Azureを活用したADFS構築 (1日コース)
 こんな人におすすめです。
テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。
今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。
クラウド連携の案件で先行者利益を取りたい！
 詳しくはクリエ・イルミネートWebサイトでご確認ください。
http://www.crie-illuminate.jp

4. こんな人に聞いてもらいたい
多要素認証って、なんだかわからないけど、
とにかくサインインの安全性を高めたい人
多要素認証の実装を検討している人
Copyright 2014 Sophia Network Ltd.4

5. これからお話しすること
1. 多要素認証とは？
2. Azure Active Directoryの多要素認証
3. ADFSの多要素認証
Copyright 2014 Sophia Network Ltd.5

6. 多要素認証とは？
Copyright 2014 Sophia Network Ltd.6

7. ユーザー名とパスワードだけでは、もう限界
誰でも知ることができる情報だけでは、不正アクセスの可能性がある
7

8. Office 365への不正アクセスの可能性を考えてみる
Copyright 2014 Sophia Network Ltd.8

9. 多要素認証とは？
 複数の要素を利用して本人確認(認証)を行うこと
 認証に使われる「要素」
 1要素目 = ユーザー名/パスワード (知っていることを前提とした認証)
 2要素目 = 電話、メール、OTPデバイスなど (所有していることを前提とした認証)
Copyright 2014 Sophia Network Ltd.9
+

10. Office 365の多要素認証
 Office 365では以下の方法による多要素認証をサポート
Copyright 2014 Sophia Network Ltd.10

11. 多要素認証..その前に ～ Office 365の認証方法
Copyright 2014 Sophia Network Ltd.11
クラウド ID
オンプレとクラウドで同じID オンプレIDをクラウドと連携クラウドの ID で認証
ディレクトリとパスワードの同期 ID 連携

12. 【参考】Azure Active Directory(AAD)とは？
 AADとは、マイクロソフトが提供するクラウドサービスの認証/承認で
利用するディレクトリサービス
Office 365
Windows Intune
Dynamics CRM Online
 Microsoft AzureのサインインにはMicrosoftアカウントを使用しているが、
Microsoft Azureの管理ポータルからAADを管理できる
Copyright 2014 Sophia Network Ltd.12

13. Office 365のユーザー管理にはAADを利用している
Copyright 2014 Sophia Network Ltd.13

14. Azure Active Directoryの多要素認証
Copyright 2014 Sophia Network Ltd.14

15. AADの多要素認証
 ユーザー単位で多要素認証の強制・有効・無効を設定可能
 管理者は多要素認証の有効化を設定
 ユーザーは初回サインイン時に利用する認証方法を選択
 多要素認証に使用できる認証方法
電話(通話)
電話(SMS)
モバイルアプリ
Copyright 2014 Sophia Network Ltd.15

16.  スマートフォン用アプリとして提供されているMulti-Factor
Authentication (Phone Factor, Inc)を利用する
 初期設定方法
「モバイルアプリからOffice 365の多要素認証を使う」
(always on the clock)
モバイルアプリケーションによる多要素認証
Copyright 2014 Sophia Network Ltd.16

17. Office 365にアクセスするアプリケーションの多要素認証対応
アプリケーション 認証の第1要素 認証の第2要素
ブラウザー Office365に登録した
ユーザー名とパスワード
多要素認証の設定で定義した認証要素
・電話
・モバイルアプリケーション
Outlook
Word/Excel/PowerPoint
Lyncクライアント
Office365に登録したユーザー名と
アプリケーションパスワード
Exchange ActiveSync
(スマートフォン/タブレットからのアクセス)
Office365に登録したユーザー名と
アプリケーションパスワード
OneDrive Pro
アプリケーション
Office365に登録したユーザー名と
アプリケーションパスワード※
Copyright 2014 Sophia Network Ltd.17
※多要素認証に切り替えても、OneDrive Proアプリケーションからパスワード変更を要求することはなく、
Officeアプリケーションにおけるサインイン設定をそのまま引き継ぐと思われる。
(私の環境では、アプリケーションパスワードを設定しなければ同期は保留のままとなっていました)

18.  多要素認証に対応していないアプリケーション用に
「アプリケーションパスワード」と呼ばれる、自動生成のパスワードを用意
 アプリケーションパスワードの生成は一度限りで、忘れたら再生成が必要
 複数のアプリケーションパスワードの生成が可能
アプリケーション種類やデバイス種類に合わせて複数のアプリケーションパスワードを
生成しておき、アプリケーションの不正利用やデバイス紛失などが発覚した場合には
アプリケーションパスワードを削除する運用が可能
アプリケーションパスワード
Copyright 2014 Sophia Network Ltd.18

19. アプリケーションパスワードの設定
初期セットアップ後のアプリケーションパスワード設定
https://account.activedirectory.windowsazure.com/proofup.aspx
Copyright 2014 Sophia Network Ltd.19

20. ADFSの多要素認証
Copyright 2014 Sophia Network Ltd.20

21. ADFS ～ クラウドとの信頼関係
クラウドはドメインに参加していないので、別途サインインが必要
Active Directoryフェデレーションサービス(ADFS)を活用すれば、
クラウドを「1回のサインインでアクセスできる範囲」にできる
Copyright 2014 Sophia Network Ltd.

22. ADFS経由のOffice 365アクセス (社内ブラウザー編)
Copyright 2014 Sophia Network Ltd.22
Office365認証サーバー AADクライアント
①Office 365 サイトで認証を要求
ADFS サーバー
②認証先の指定
③認証＆トークンの発行
④AADにアクセスし、認証トークンをもとに認可を実施
⑤AADで発行された認可トークンを利用してサインイン
ここで多要素認証を実装

23. ADFS経由のOffice 365アクセス (社外ブラウザー編)
Copyright 2014 Sophia Network Ltd.23
Office365認証サーバー AAD
①Office 365 サイトで認証を要求
ADFS サーバー
②認証先の指定
③認証ページへリダイレクト
⑤AADにアクセスし、認証トークンをもとに認可を実施
⑥AADで発行された認可トークンを利用してサインイン
ここで多要素認証を実装
ADFS プロキシ クライアント
④認証＆トークンの発行

24. ADFSの多要素認証
 様々な単位で多要素認証の有効・無効を設定可能
ADFSを利用する、すべてのユーザー
Office365を利用する、すべてのユーザー
Domain Usersに所属するユーザーのみ、など条件式自体を管理者が
定義できるので、自由に多要素認証を利用するユーザーを指定可能
実装方法「ADFS+Office365でブラウザーアクセスのみ多要素認証を設定」
(Always on the clock)
 ADFSの管理者が多要素認証の有効化と認証方法を設定
 多要素認証には様々な認証方法を実装可能だが、
既定では証明書による認証のみをサポート
Copyright 2014 Sophia Network Ltd.24

25. 多要素認証で利用可能な認証方法を追加する
 認証方法の追加
Microsoft Azure Multi-Factor Authenticationの利用
Microsoft.IdentityServer.web.dllファイルのカスタマイズ
参考「カスタム多要素認証プロバイダーの作成(概要のみ)」
(Always on the clock)
Copyright 2014 Sophia Network Ltd.25

26. Microsoft Azure Multi-Factor Authentication
 AAD の有償オプションとして用意された多要素認証機能
サポートされる認証方法
電話
テキストメッセージ (SMS)
モバイルアプリ (Phone Factor, Inc)
OAUTHトークン (サードパーティのOTPデバイスを利用)
 AAD自体の多要素認証との違い
「多要素認証プロバイダー」という名称で機能を提供
レポート機能の提供
ワンタイムバイパスによる多要素認証を一時的に使わない設定
音声メッセージのカスタマイズ
など
Copyright 2014 Sophia Network Ltd.26

27. Microsoft Azure Multi-Factor Authentication
Copyright 2014 Sophia Network Ltd.27
 利用開始方法
1. Azure管理ポータルから新規
または既存のAADテナントを登録
2. Azure管理ポータルから
多要素認証プロバイダーを登録
3. Azure管理ポータルから
多要素認証プロバイダー
ポータルにアクセス

28. Azure Multi-Factor Authenticationアプリケーション
 Azure管理ポータルから提供される、
ADFSの多要素認証をカスタマイズするアプリケーション
参考「Windows Azure Multi-Factor Authenticationを利用した
ADFSの多要素認証の設定」
Copyright 2014 Sophia Network Ltd.28

29. ADFS経由のOffice 365アクセス (リッチクライアント編)
Copyright 2014 Sophia Network Ltd.29
Office365認証サーバー AAD
①ユーザー名/パスワードをもってサービスへアクセス
ADFS サーバー
②認証先の指定
③認証要求をリダイレクト
⑤AADにアクセスし、認証トークンをもとに認可を実施
⑥AADで発行された認可トークンを利用してサインイン
どこで多要素認証を実装？
ADFS プロキシ クライアント
④認証＆トークンの発行

30. 多要素認証利用のためのアクセス制御設定
 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定
 基本的な構文
条件=>処理
条件部分の書き方
ここでの「処理」とは「多要素認証を行いなさい」ということ
Copyright 2014 Sophia Network Ltd.30
issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/
claims/authenticationmethod”,
Value = “http://schemas.microsoft.com/claims/multipleauthn”);
Exists([Type==○○, Value==××])
c:[Type==○○, Value==××]

31. 多要素認証利用のためのアクセス制御設定
 条件のシナリオ1：社内ネットワークからブラウザーでアクセスした場合
 条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合
Copyright 2014 Sophia Network Ltd.31
exists([Type == "http://schemas.microsoft.com/2012/01/
requestcontext/claims/x-ms-endpoint-absolute-path",
Value == "/adfs/ls/wia"])
c:[Type == "http://schemas.microsoft.com/2012/01/
devicecontext/claims/isregistereduser", Value == "false"]
NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/
devicecontext/claims/isregistereduser"])

32. 多要素認証利用のためのアクセス制御設定
 条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.32
‘exists([Type == "http://schemas.microsoft.com/2012/01/
requestcontext/claims/x-ms-endpoint-absolute-path",
Value == "/adfs/ls/wia"])
=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/
identity/claims/authenticationmethod”,
Value = “http://schemas.microsoft.com/claims/multipleauthn”);’

33. まとめ
Copyright 2014 Sophia Network Ltd.33
Azure Active Directory ADFS
多要素認証の有効化 管理者が定義 管理者が定義
多要素認証を利用する条件 ユーザー単位で定義 ADFSの設定で細かく条件指定が可能
多要素認証に使用する認証方法 電話、SMS、モバイルアプリ ・証明書 (既定の方法)
・電話、SMS、モバイルアプリ (Azure MFA ※1)
・カスタム
認証ログ × Azureポータルで確認 ※2
ブラウザー以外での多要素認証 ×(アプリケーションパスワードで対応) × ※3
※1 電話、SMS、モバイルアプリによる多要素認証はAADプレミアムの機能として提供
※2 有償サービスにて提供。イベントビューアから概要を確認することも可能
※3 ブラウザー以外では多要素認証を使わないようにすることで対応が可能。ただし、利用できるとの情報も？？

34. Azure 多要素認証(MFA) vs Office 365 多要素認証
Office 365 MFA Microsoft Azure MFA
管理者はエンドユーザーに対して MFA を有効化/強制可能 あり あり
第 2 認証要素としてモバイル アプリ (オンラインおよび OTP) を使用 あり あり
第 2 認証要素として電話を使用 あり あり
第 2 認証要素として SMS を使用 あり あり
ブラウザー以外のクライアント (Outlook、Lync など) のアプリケーション パスワード あり あり
認証の電話の際の Microsoft の既定案内応答 あり あり
認証の電話の際のカスタムの案内応答 あり
不正の警告 あり
MFA SDK あり
セキュリティ レポート あり
オンプレミス アプリケーション/MFA Server の MFA あり
1 回限りのバイパス あり
ユーザーのブロック/ブロック解除 あり
認証用の電話のカスタマイズ可能な発信者 ID あり
イベントの確認 あり

35. Office 365サインイン関連の今後
Copyright 2014 Sophia Network Ltd.35
 ディレクトリ同期(DirSync)ツールの他に、AADSyncツールが提供予定
ADとの双方向同期
パスワードリセット
マルチフォレストでのAADとの同期
 Outlook等アプリケーションからのサインインは
パッシブプロファイルによる認証となるため、
アプリケーションからのサインインにも多要素認証が利用できる(と思われる)

36. Microsoft Confidential36
We don’t even have to try,
It’s always a good time.
from “good time” by owl city & carly rae jepsen