EUC Specialized SAの渡邉(@gentaw0)です。Amazon WorkSpaces は、AWS で稼働するマネージド型でセキュアな DaaS (Desktop-as-a-Service) ソリューションです。Amazon WorkSpaces を使用すると、仮想的な、クラウドベースの Microsoft Windows デスクトップを簡単にプロビジョニングし、ユーザーは必要なドキュメント、アプリケーション、リソースにサポートされている任意のデバイスから、いつでもどこでもアクセスできるようになります。Amazon WorkSpacesでは多要素認証(Multi-Factor Authentication)をサポートしており、オンプレミスまたはクラウド上のRADIUSサーバーと連携することにより認証のセキュリティを強化することが可能です。 Show 多要素認証(MFA)とは、本人確認(認証)する方法として複数の手段を使う事です。認証にパスワードを使用する事が多いかと思いますが、これは本人だけが知っているはずの情報を確認して、認証を行います。MFA を使用する場合は、このパスワードに加えてトークン等が生成するワンタイムパスワード(OTP)も確認する事で、本人しか持っていないはずのトークン(物)も持っている事を確認して認証できます。 Amazon WorkSpaces での認証は、フルマネージド型のディレクトリサービスであるMicrosoft AD、または既存の Active Directory で認証するための AD Connector を選択することができます。お客様は MFA で使用するワンタイムパスワードを認証できる RADIUS サーバーを別途用意する必要があります。RADIUS サーバーはオンプレミスにあっても、AWS 上にあっても構いません。RADIUSに対応しているものであればさまざまな製品を利用することが可能ですが、このブログ記事ではそのなかでもAzure Multi-Factor Authenticationサーバーを使用してAmazon WorkSpacesのMFAを構成する方法について解説します。 ディレクトリの構成まず、MFAを有効にするためのディレクトリを作成します。現在のところ、以下のタイプのディレクトリでMFAを構成することが可能です。Simple ADはMFAに対応していないため、このシナリオでは利用することはできません。
オンプレミスまたはVPC上にすでにActive Directoryドメインを展開する場合は、AD Connectorを使用します。VPC上に独立したActive Directoryドメインを作成する、またはオンプレミスのActive Directoryドメインと信頼関係を結ぶ場合はMicrosoft ADを使用します。AD Connectorの作成方法については、こちら(https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/create_ad_connector.html)、Microsoft ADの作成方法についてはこちら(https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/create_managed_ad.html)のドキュメントを参照してください。ディレクトリの作成が完了したら、AWSマネージメントコンソールからAD ConnectorもしくはMicrosoft ADのIPアドレスを確認しておきます。 Azure MFAサーバーの構成つぎに、AzureポータルにログオンしてAzure MFAサーバーをダウンロードしてインストールします。Active Directoryドメインに参加したオンプレミス、もしくはAmazon EC2のWindowsインスタンス上にAzure MFAサーバーを構成することが可能です。ダウンロードおよびインストール手順の詳細は、こちら(https://docs.microsoft.com/ja-jp/azure/multi-factor-authentication/multi-factor-authentication-get-started-server)を参照してください。 MFAサーバーのインストールが完了したら、MFAサーバーでRADIUS認証を構成します。Azure MFAサーバーでは、認証プロトコルとしてPAP(パスワード認証プロトコル)またはMS-CHAPv2(Microsoft チャレンジハンドシェイク認証プロトコル)をサポートします。 MFAサーバーをインストールしたWindowsインスタンス上で「Multi-Factor Authentication Server」を開き、「RADIUS認証」で「RADIUS認証を有効にする」にチェックをつけます。「クライアント」タブで「追加」をクリックし、以下のように入力します。
ディレクトリのIPアドレスは2つあるため、同様にして2つのIPアドレスを追加します。MFAサーバーの構成が完了すると以下のようになります。 次に、MFAサーバーでユーザーの構成を行います。「ユーザー」で「Active Directoryからインポート」をクリックすると、Active Directoryユーザーをインポートすることが可能です。「ユーザーの編集」をクリックして、必要に応じて認証方法や電話番号を入力して「有効」にチェックをつけ、設定内容を適用します。 現在のところ、Amazon WorkSpacesの多要素認証に利用可能なのは以下の認証方法となります。
MFAサーバーの構成が完了したら、次のステップで使用するためにMFAサーバーのIPアドレスを確認して記録しておきます。また、EC2インスタンス上にMFAサーバーを構築している場合はセキュリティグループでAD ConnectorまたはMicrosoft ADからのUDP 1812によるインバウンドアクセスを許可しておく必要があります。その他、Azure MFAサーバーにおけるRADIUS認証の構成方法についてはこちら(https://docs.microsoft.com/ja-jp/azure/multi-factor-authentication/multi-factor-authentication-get-started-server-radius)を参照してください。 多要素認証の有効化AWSマネージメントコンソールで、ディレクトリを選択します。「多要素認証」タブをクリックして「多要素認証の有効化」にチェックをつけ、以下のように入力します。
「ディレクトリの更新」をクリックします。しばらくしてMFAサーバーへの接続が成功したら、「RADIUSステータス」が「完了済み」になります。 Amazon WorkSpacesへの接続ディレクトリで多要素認証の構成が完了したら、Amazon WorkSpacesコンソールからディレクトリを登録してWorkSpacesを起動します。WorkSpacesの起動が完了したら、ユーザーはAzure MFAによる多要素認証を利用してWorkSpacesにログオンできるようになります。WorkSpacesクライアントをインストールして、以下のように入力してログオンします。 ユーザー名:Active Directoryユーザーのユーザー名 パスワード:Active Directoryユーザーのパスワード MFAコード:上と同じ ここで、MFAコードにActive Directoryユーザーのパスワードを入力する必要があることに注意してください。Azure MFAサーバーは、ここで第一認証としてActive Directoryユーザー認証を要求するためこの段階でワンタイムパスワードを入力することができません。 パスワードによる第一認証が成功すると、ワンタイムパスワードなどによる第二認証をおこなうことができます。SMSでTwo-Way OTPを有効している場合は、登録した電話番号に対してワンタイムパスワードが通知されますのでそれをそのままSMSに入力することにより認証が成功し、そのままWorkSpacesにログオンできるようになります。 まとめこのブログ記事では、Azure Multi-Factor Authenticationサーバーを使用してAmazon WorkSpacesの多要素認証を構成する方法について解説しました。そのほかのRADIUSサーバーと同様に、Azure MFAを使用して多要素認証を有効にして認証のセキュリティを強化することが可能ですが、Azure MFAは2段階認証を前提とするためはじめにMFAサーバーに対してActive Directoryユーザー認証を行う必要があることに注意してください。また、タイムアウトを長めに設定することによりログオン認証が失敗するリスクを回避することができます。 Microsoft Authenticatorの承認方法は?サインイン ページでユーザー名を入力します。 [次へ] を選択します。 必要に応じて、[その他のサインイン方法] を選択します。 Microsoft Authenticator アプリで要求を承認するを選択します。
Microsoft Authenticatorの設定方法は?職場または学校アカウントを追加する
Authenticator アプリを開き、右上の [カスタマイズと制御] アイコンから [アカウントの追加] を選択し、[職場または学校アカウント] を選択します。 コードを手動で選択または入力します。 手順 1 からコードと URL を入力し、[完了] を選択します。
Microsoft Authenticator バックアップがありますか?Microsoft Authenticator アプリは、アカウントの資格情報と関連するアプリ設定 (アカウントの順序など) をクラウドにバックアップします。 その後、アプリを使用して新しいデバイスの情報を回復できます。 これにより、ロックアウトされたり、アカウントを再作成したりする必要がなくなります。
Microsoft Authenticator なんのため?Microsoft Authenticator アプリを使う理由
認証アプリは、ユーザーを証明するための安全で便利な方法です。 パスワードを忘れた場合にサインインする方法として Authenticator アプリを使用できます。 アプリを使用して、他のすべてのアカウント資格情報をバックアップおよび復元できます。
|