Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

M365 の MFA を利用しよう

170 views

Published on

これが私のおすすめリモート対応 Tips
Microsoft 365 の MFA を利用してセキュアな環境を構築しよう!

Published in: Technology
  • Be the first to comment

  • Be the first to like this

M365 の MFA を利用しよう

  1. 1. Microsoft 365 で Multi Factor Authentication 設定を行おう こんなにかんたんMFA これが私のおすすめリモート開発事例 by MS MVP - MSTechNight #12
  2. 2. モダンな認証方式についての再確認 No レイヤー 実装 戦略 1 OS Windows Hello / TouchID パスワードの入力を簡単にする 2 Windows Hello for Business パス入力の簡易化とSSO 3 サーバー/サービス Federation サーバー側パスワードの排除 4 Multi Factor Authentication 複数種類の認証 5 アプリ SSOアプリケーション (Edge、Chrome…) 入力回数の削減 (キーロガー、ショルダーハック) 6 FIDO2 パスワードの排除 認証関連は常に話題が尽きませんが、 本日の話題はこの Multi Factor Authentication 通称 MFA です!
  3. 3. そのまえに
  4. 4. アンケート!
  5. 5. 皆さん、認証に気を使っていますか? https://forms.office.com/Pages/ResponsePage.aspx?id=24anSOQEyUqN2 WHJbEi6L5ttoL3Zi0NKg_E8gIimj1FUQ1FVUktTODg5MlM5QVYxVzNLREI yWkxZTy4u (期間限定) 説明の度合いを測るためにもぜひご回答ください!
  6. 6. 回答してもらっている間に 自己紹介 • 名: Tomoharu Misawa (みさわ ともは る) • 職業: SIer のマネージャー • 主な業務: Microsoft 365 の導入支援 • その他 • ブログやってます • https://mitomoha.hatenablog.com/ • https://www.fsi.co.jp/blog/teclist/misawa/ • Outlook の本書きました • https://book.impress.co.jp/books/1119101188
  7. 7. 閑話休題、、、、 皆さん Bing ってますか? Bing は Windows 10 と連動して画像検 索する機能が追加されています。 今回みたいな画像をみたら、ぜひ検索をか けてみてくださいね。
  8. 8. 危険なユーザー を確認したこと はありますか? • このアドレスから危険な ユーザーを確認することが できます • 表示は契約中の Azure ADによって変わります 1,000 人規模のテナントで 50 人ほどがリスク「危険」な状態に https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM /SecurityMenuBlade/RiskyUsers
  9. 9. 危険とは • パスワードが簡易的 • よくあるパスワード • いつもと異なる動き パターンは様々 ただし、大抵は MFA で回避可能
  10. 10. US-Certでも推奨中 • US-Cert でも Office 365 の 初期設定に MFA が含まれてい ないことを懸念として挙げてい ます ・管理者アカウントのMFAが無効 ・メールボックス監査が無効 ・パスワード同期が行われている ・古いプロトコルが有効のまま https://us-cert.cisa.gov/ncas/analysis-reports/AR19- 133A
  11. 11. だから MFA を推します!
  12. 12. そろそろ 回答してもらえました?
  13. 13. 皆さんの回答はこちら https://app.powerbi.com/view?r=eyJrIjoiMzNjZWMxZTItOTU0NC00MWU2 LWJlNDYtMzkwMTI2NjQ4YTJmIiwidCI6IjQ4YTc4NmRiLTA0ZTQtNGFjOS 04ZGQ5LTYxYzk2YzQ4YmEyZiJ9 (期間限定)
  14. 14. 意外な結果?
  15. 15. ちなみに、、、 その推してる MFA って何者?
  16. 16. MFA とは! • Word を使ってウィキペ ディアで調べてみました • "多要素認証(たようそにんしょう、英語: Multi-Factor Authentication、英: MFA) は、アクセス権限を得るのに必要な本人確 認のための複数の種類の要素(証拠)を ユーザーに要求する認証方式である。 必要な要素が二つの場合は、二要素認証 (にようそにんしょう、英語: Two- Factor Authentication、英: 2FA)、二 段階認証(にだんかいにんしょう)とも呼 ばれる。" • ソース: 多要素認証 - https://ja.wikipedia.org
  17. 17. 学術的表現って難しいですよね
  18. 18. みさわ版 MFA とは! • パスワード以外に指紋や虹彩、スマホ、ワンタイムパスワード キーなどを2つ目の情報として認証時に入力させる方式のこと • 1つ目の情報はパスワードでなくても OK! • 手っ取り早く始めるならスマホ利用!
  19. 19. MFA のどこが良いのか! • MFA があると、ネットワークだけで認証が完結しなくなる。 • パスワードだけでは総当たりすれば理論上誰でもアクセスできる。 • 要素の確認は要所要所のみなのでユーザー負担が少ない。 • Microsoft 365 の場合。一般的には欲しい強度との兼ね合い。 • 追加費用が不要。 • Microsoft 365 の場合。 • ユーザーのスマホを使う場合、セキュリティ協力金を出しているケー スも。
  20. 20. イメージ 事前登録 ワンタイム (都度違う) 数打てば 当たるかも 実施の都度 変わるので わからない
  21. 21. さあ本題の Microsoft 365 MFA 設定についてです
  22. 22. MFA 設定の方 法(全体設定 1) • まずは Azure AD の管理セ ンターに入りましょう • プロパティ内のセキュリティ の既定値群の設定をクリック します https://portal.azure.com/#blade/Microso ft_AAD_IAM/ActiveDirectoryMenuBlade /Properties
  23. 23. MFA 設定の方法(全体 設定2) • セキュリティの既定値群設定の有効化を行います • 設定はこれだけで終了です。簡単でしょ? • セキュリティの既定値群は、Azure portal で有効 にします。 2019 年 10 月 22 日以降に作成さ れたテナントの場合、セキュリティの既定値群はテ ナントで既に有効になっている可能性があります
  24. 24. MFA 設定の方法(注意!) https://docs.microsoft.com/ja-jp/azure/active- directory/fundamentals/concept-fundamentals-security-defaults • この方法を使うと一斉に MFA の利用が始まります。以下の点を 注意しましょう • すべてのユーザーは 14 日以内に Azure Multi-Factor Authentication に登録する必要があります。 14 日が経過すると、 ユーザーは登録が完了するまでサインインできなくなります。 • 管理操作実行時に多要素認証を要求します。 • 旧 MAPI 接続や POP3 などレガシ認証プロトコルをブロックし ます。 • Azure AD のアプリはサービスに寄らず多要素認証を要求します。 • Azure portal へのアクセスなどの特権が必要なコマンド実行時も 多要素認証を要求します。
  25. 25. ぶっちゃけ ハードル高すぎ、、、
  26. 26. 実用性が高いのはこちら
  27. 27. MFA 設定の方 法(個別設定 1) • まずは Microsoft 365 の 管理センターに入りましょ う • アクティブなユーザーに入 り、三点リーダー、多要素 認証の順にクリックします https://admin.microsoft.com/AdminPorta l/Home#/users
  28. 28. MFA 設定の方 法(個別設定 2) • サインイン可能なユーザー がすべて表示されますが、 Azure AD Premium を 利用しない場合は自テナン トのユーザーのみに適用が 可能です • チェックボックスをオンに しましょう https://account.activedirectory.windowsazure.c om/UserManagement/MultifactorVerification.a spx?BrandContextID=O365
  29. 29. MFA 設定の方 法(個別設定 3) • チェックボックスをオンに したら右側にユーザーの情 報が出てきます • 有効にするをクリックしま しょう
  30. 30. MFA 設定の方 法(個別設定 4) • Multi-factor auth を有効 にするをクリックしましょ う
  31. 31. MFA 設定の方 法(個別設定 5) • ブラウザからアクセスする初 回は MFA の設定確認が行わ れます • ブラウザからアクセスするこ とが無い場合は以下 URL か ら初期設定が行えます • 必要に応じてこのアドレスを ユーザーに伝えましょう • 認証に使える方法は環境に寄 り 2 から 6 個表示されま す https://aka.ms/MFASetup
  32. 32. MFA 設定の方 法(個別設定 6) • これで設定は完了です • 実際にアクセスしてみま しょう
  33. 33. MFA 設定後 ~忘れずに!1 • Teams、動いていると再認 証が聞かれます
  34. 34. MFA 設定後 ~忘れずに!2 • Officeアプリも動いている と再認証が聞かれます
  35. 35. MFA 設定後 ~忘れずに!3 • 一度サインアウトしてから サインインし直す必要があ るようです 今後動きが変わってくれると よいなぁ。。。
  36. 36. MFA 設定後 ~忘れずに!4 • ファイルの保存は忘れない 様にしましょう
  37. 37. いかがでしたか?
  38. 38. MFA 設定を自分で できそうですよね
  39. 39. 一般的なユーザーは セキュリティ強化に コストを支払ってくれません (難しい操作はしない)
  40. 40. 自分に関連しない問題は 簡単な解決に走ります (クレジットカード番号の保護 レベルにならないと難しい パスワードは設定しません)
  41. 41. 簡単に導入でき ユーザー負荷も少ない Microsoft 365 MFA ぜひ利用してみてください

×