Office 365のための多要素認証
~安全にOffice 365にアクセスする方法
株式会社ソフィアネットワーク 国井 傑 (くにい すぐる) スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/自己紹介
Copyright 2014 Sophia Network Ltd.
2
Microsoft MVP for Directory Services (2006~2014)
マイクロソフト認定トレーナー (1997~)
ブログ
Always on the clock @sophiakunii 株式会社ソフィアネットワーク 所属 連載~基礎から分かる Active Directory再入門 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
ADFS トレーニングコースがリニューアルします!
Copyright 2014 Sophia Network Ltd.
3 ニーズに合わせて、2つのコースをご提供! Office 365ユーザー認証ベストプラクティス (2日コース) Microsoft Azureを活用したADFS構築 (1日コース) こんな人におすすめです。 テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。 今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。 クラウド連携の案件で先行者利益を取りたい! 詳しくはクリエ・イルミネートWebサイトでご確認ください。 http://www.crie-illuminate.jp
こんな人に聞いてもらいたい
多要素認証って、なんだかわからないけど、
とにかくサインインの安全性を高めたい人
多要素認証の実装を検討している人
Copyright 2014 Sophia Network Ltd.
4
スライドは↓こちら↓からダウンロード
これからお話しすること
1. 多要素認証とは?
2. Azure Active Directoryの多要素認証
3. ADFSの多要素認証
Copyright 2014 Sophia Network Ltd.
5
スライドは↓こちら↓からダウンロード
多要素認証とは?
Copyright 2014 Sophia Network Ltd.
ユーザー名とパスワードだけでは、もう限界
誰でも知ることができる情報だけでは、不正アクセスの可能性がある
Office 365への不正アクセスの可能性を考えてみる
Copyright 2014 Sophia Network Ltd.
多要素認証とは?
複数の要素を利用して本人確認(認証)を行うこと
認証に使われる「要素」
1要素目 = ユーザー名/パスワード (知っていることを前提とした認証)
2要素目 = 電話、メール、OTPデバイスなど (所有していることを前提とした認証)
Copyright 2014 Sophia Network Ltd.
9
Office 365の多要素認証
Office 365では以下の方法による多要素認証をサポート
Copyright 2014 Sophia Network Ltd.
多要素認証..その前に ~ Office 365の認証方法
Copyright 2014 Sophia Network Ltd.
11
クラウド ID
オンプレとクラウドで同じID オンプレIDをクラウドと連携 クラウドの ID で認証
【参考】Azure Active Directory(AAD)とは?
AADとは、マイクロソフトが提供するクラウドサービスの認証/承認で 利用するディレクトリサービス Office 365 Windows Intune Dynamics CRM Online Microsoft AzureのサインインにはMicrosoftアカウントを使用しているが、 Microsoft Azureの管理ポータルからAADを管理できるCopyright 2014 Sophia Network Ltd.
Office 365のユーザー管理にはAADを利用している
Copyright 2014 Sophia Network Ltd.
Azure Active Directoryの多要素認証
Copyright 2014 Sophia Network Ltd.
AADの多要素認証
ユーザー単位で多要素認証の強制・有効・無効を設定可能 管理者は多要素認証の有効化を設定 ユーザーは初回サインイン時に利用する認証方法を選択 多要素認証に使用できる認証方法 電話(通話) 電話(SMS) モバイルアプリCopyright 2014 Sophia Network Ltd.
スマートフォン用アプリとして提供されているMulti-Factor
Authentication (Phone Factor, Inc)を利用する
初期設定方法
「モバイルアプリからOffice 365の多要素認証を使う」 (always on the clock)
モバイルアプリケーションによる多要素認証
Copyright 2014 Sophia Network Ltd.
Office 365にアクセスするアプリケーションの多要素認証対応
アプリケーション 認証の第1要素 認証の第2要素 ブラウザー Office365に登録した ユーザー名とパスワード 多要素認証の設定で定義した認証要素・電話 ・モバイルアプリケーション Outlook Word/Excel/PowerPoint Lyncクライアント Office365に登録したユーザー名と アプリケーションパスワード Exchange ActiveSync (スマートフォン/タブレットからのアクセス) Office365に登録したユーザー名とアプリケーションパスワード OneDrive Pro アプリケーション Office365に登録したユーザー名とアプリケーションパスワード※Copyright 2014 Sophia Network Ltd.
17
※多要素認証に切り替えても、OneDrive Proアプリケーションからパスワード変更を要求することはなく、 Officeアプリケーションにおけるサインイン設定をそのまま引き継ぐと思われる。
多要素認証に対応していないアプリケーション用に 「アプリケーションパスワード」と呼ばれる、自動生成のパスワードを用意 アプリケーションパスワードの生成は一度限りで、忘れたら再生成が必要 複数のアプリケーションパスワードの生成が可能 アプリケーション種類やデバイス種類に合わせて複数のアプリケーションパスワードを 生成しておき、アプリケーションの不正利用やデバイス紛失などが発覚した場合には アプリケーションパスワードを削除する運用が可能
アプリケーションパスワード
Copyright 2014 Sophia Network Ltd.
アプリケーションパスワードの設定
初期セットアップ後のアプリケーションパスワード設定
https://account.activedirectory.windowsazure.com/proofup.aspx
Copyright 2014 Sophia Network Ltd.
ADFSの多要素認証
Copyright 2014 Sophia Network Ltd.
ADFS ~ クラウドとの信頼関係
クラウドはドメインに参加していないので、別途サインインが必要
Active Directoryフェデレーションサービス(ADFS)を活用すれば、
クラウドを「1回のサインインでアクセスできる範囲」にできる
ADFS経由のOffice 365アクセス (社内ブラウザー編)
Copyright 2014 Sophia Network Ltd.
22 Office365 認証サーバー AAD クライアント ①Office 365 サイトで認証を要求 ADFS サーバー ②認証先の指定 ③認証&トークンの発行 ④AADにアクセスし、認証トークンをもとに認可を実施 ⑤AADで発行された認可トークンを利用してサインイン ここで多要素認証を実装
ADFS経由のOffice 365アクセス (社外ブラウザー編)
Copyright 2014 Sophia Network Ltd.
23 Office365 認証サーバー AAD ①Office 365 サイトで認証を要求 ADFS サーバー ②認証先の指定 ③認証ページへリダイレクト ⑤AADにアクセスし、認証トークンをもとに認可を実施 ⑥AADで発行された認可トークンを利用してサインイン ここで多要素認証を実装 ADFS プロキシ クライアント ④認証&トークンの発行
ADFSの多要素認証
様々な単位で多要素認証の有効・無効を設定可能 ADFSを利用する、すべてのユーザー Office365を利用する、すべてのユーザー Domain Usersに所属するユーザーのみ、など条件式自体を管理者が 定義できるので、自由に多要素認証を利用するユーザーを指定可能 実装方法「ADFS+Office365でブラウザーアクセスのみ多要素認証を設定」 (Always on the clock) ADFSの管理者が多要素認証の有効化と認証方法を設定
多要素認証には様々な認証方法を実装可能だが、
既定では証明書による認証のみをサポート
Copyright 2014 Sophia Network Ltd.
多要素認証で利用可能な認証方法を追加する
認証方法の追加
Microsoft Azure Multi-Factor Authenticationの利用
Microsoft.IdentityServer.web.dllファイルのカスタマイズ
参考「カスタム多要素認証プロバイダーの作成(概要のみ)」 (Always on the clock)
Copyright 2014 Sophia Network Ltd.
Microsoft Azure Multi-Factor Authentication
AAD の有償オプションとして用意された多要素認証機能
サポートされる認証方法
電話
テキストメッセージ (SMS)
モバイルアプリ (Phone Factor, Inc)
OAUTHトークン (サードパーティのOTPデバイスを利用) AAD自体の多要素認証との違い 「多要素認証プロバイダー」という名称で機能を提供 レポート機能の提供 ワンタイムバイパスによる多要素認証を一時的に使わない設定 音声メッセージのカスタマイズ など
Copyright 2014 Sophia Network Ltd.
Microsoft Azure Multi-Factor Authentication
Copyright 2014 Sophia Network Ltd.
27 利用開始方法 1. Azure管理ポータルから新規 または既存のAADテナントを登録 2. Azure管理ポータルから 多要素認証プロバイダーを登録 3. Azure管理ポータルから 多要素認証プロバイダー ポータルにアクセス
Azure Multi-Factor Authenticationアプリケーション
Azure管理ポータルから提供される、ADFSの多要素認証をカスタマイズするアプリケーション
参考「Windows Azure Multi-Factor Authenticationを利用した
ADFSの多要素認証の設定」
Copyright 2014 Sophia Network Ltd.
ADFS経由のOffice 365アクセス (リッチクライアント編)
Copyright 2014 Sophia Network Ltd.
29 Office365 認証サーバー AAD ①ユーザー名/パスワードをもってサービスへアクセス ADFS サーバー ②認証先の指定 ③認証要求をリダイレクト ⑤AADにアクセスし、認証トークンをもとに認可を実施 ⑥AADで発行された認可トークンを利用してサインイン どこで多要素認証を実装? ADFS プロキシ クライアント ④認証&トークンの発行
多要素認証利用のためのアクセス制御設定
Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定 基本的な構文 条件=>処理 条件部分の書き方 ここでの「処理」とは「多要素認証を行いなさい」ということCopyright 2014 Sophia Network Ltd.
30 issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/ claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”); Exists([Type==○○, Value==××]) c:[Type==○○, Value==××]
多要素認証利用のためのアクセス制御設定
条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合
条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合
Copyright 2014 Sophia Network Ltd.
31
exists([Type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path",
Value == "/adfs/ls/wia"])
c:[Type == "http://schemas.microsoft.com/2012/01/
devicecontext/claims/isregistereduser", Value == "false"]
NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser"])
多要素認証利用のためのアクセス制御設定
条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.
32 ‘exists([Type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) => issue(Type = “http://schemas.microsoft.com/ws/2008/06/ identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);’
まとめ
Copyright 2014 Sophia Network Ltd.
33
Azure Active Directory ADFS
多要素認証の有効化 管理者が定義 管理者が定義 多要素認証を利用する条件 ユーザー単位で定義 ADFSの設定で細かく条件指定が可能 多要素認証に使用する認証方法 電話、SMS、モバイルアプリ ・証明書 (既定の方法) ・電話、SMS、モバイルアプリ (Azure MFA ※1) ・カスタム 認証ログ × Azureポータルで確認 ※2 ブラウザー以外での多要素認証 ×(アプリケーションパスワードで対応) × ※3 ※1 電話、SMS、モバイルアプリによる多要素認証はAADプレミアムの機能として提供 ※2 有償サービスにて提供。イベントビューアから概要を確認することも可能 ※3 ブラウザー以外では多要素認証を使わないようにすることで対応が可能。ただし、利用できるとの情報も??
Azure 多要素認証(MFA) vs Office 365 多要素認証
Office 365 MFA Microsoft Azure MFA
管理者はエンドユーザーに対して MFA を有効化/強制可能 あり あり 第 2 認証要素としてモバイル アプリ (オンラインおよび OTP) を使用 あり あり 第 2 認証要素として電話を使用 あり あり 第 2 認証要素として SMS を使用 あり あり ブラウザー以外のクライアント (Outlook、Lync など) のアプリケーション パスワード あり あり 認証の電話の際の Microsoft の既定案内応答 あり あり 認証の電話の際のカスタムの案内応答 あり 不正の警告 あり MFA SDK あり セキュリティ レポート あり オンプレミス アプリケーション/MFA Server の MFA あり 1 回限りのバイパス あり ユーザーのブロック/ブロック解除 あり 認証用の電話のカスタマイズ可能な発信者 ID あり
Office 365サインイン関連の今後
Copyright 2014 Sophia Network Ltd.
35 ディレクトリ同期(DirSync)ツールの他に、AADSyncツールが提供予定 ADとの双方向同期 パスワードリセット マルチフォレストでのAADとの同期 Outlook等アプリケーションからのサインインは パッシブプロファイルによる認証となるため、 アプリケーションからのサインインにも多要素認証が利用できる(と思われる)
36
We don’t even have to try, It’s always a good time.