AzureAD条件付きアクセスによる多要素認証(AzureMFA)のアクセス許可について、備忘録として記載します。 Show
以下、条件付きアクセスの「アクセス権の付与」設定にある、”多要素認証を要求する”機能を使えば、多要素認証にてログインしたユーザーのみ、アクセスを許可することが可能になります。 多要素認証のログインは通常であれば、ユーザーID/パスワードを入力してログインする手順に対し、さらに別方法での認証も要求する機能です。 ここでは、多要素認証を要求する条件付きアクセスを導入するにあたり、Windows Hello for Business(本記事で後ほど出てきます)を使った多要素認証によるログインについて、検証した結果を記載しております。 目次
条件付きアクセスの多要素認証によるアクセス許可の導入検討について上述に記載した多要素認証機能は、セキュリティ向上する一方で、毎回ユーザーID/パスワードを入力した後に、もう一度認証することになるので、少しユーザーから見ると、利便性が下がります。 AzureAD条件付きアクセスは様々な”条件”に対し、”アクション”を実行できるため、上記のような社内から接続したものは、多要素認証をスキップする設計ができるわけです。 ただ、この場合、完全にセキュリティ対策ができていない可能性があります。万が一、ユーザーIDとパスワードが漏洩した場合、社内接続している端末からであればログインできてしまうわけです。 そこでWindows Hello for Businessを設定します。 Windows Hello for BusinessとはWindows Hello for Businessは、 パスワードを生体認証またはPINコード入力に置き換える新しい資格情報による認証方法です。 これにより、これまで、Windowsで度々、求められていた下記のような多要素認証要求画面を省略することが可能になります。 ■ユーザーID/パスワード入力後の多要素認証(SMS版) また、この資格情報はデバイスに紐づけられるため、他の端末がログインしようとしても、デバイスに紐づけられた資格情報がないため、従来通り、上記の多要素認証が求められます。 実際に条件付きアクセスとWindows hello for Businessを組み合わせて検証してみる実際にやってみました。 ①組織全体にWindows Hello for Businessを適用する 2020/12/29 更新
②Intuneデバイス構成プロファイルでWindows Hello for
Businessを適用する Intune デバイス構成プロファイルの設定(Identity Protection)エンドポイント管理センターにアクセスします。「https://devicemanagement.microsoft.com」 [構成プロファイル]-[+プロファイルの作成]で以下のようにプロファイルを作成します。 任意で名前、説明を入力します。 ここでWindows Hello for Businessの構成を[有効にする]を適用しましょう。 一部抜粋した設定項目の補足
次に適用グループを指定します。
共有PCに対しては、デバイスを適用対象として選択する必要がありそうです。ただし、1台のWindows10に対し、10人までという上限はありますので、ご注意ください。 適用性ルールは無視します。指定する場合、”OSEdition”、”OSversion”で適用するルールを設定可能です。 設定内容に問題なければ、[作成]をクリックします。 作成後、自動で適用されますが、対象デバイスを手動同期させて強制的に反映させます。 構成プロファイルが適用されました。 対象端末を再サインインしてみましょう。 来ました。”お客様の組織ではWindows Helloが必須です”というセットアップ画面が表示されました。 [PINのセットアップ]をクリックすると、AzureAD認証ポップ画面が表示されます。ここでもし、入力せずにキャンセルすると、エラーとなり、スキップができます。 よくある多要素認証(AzureMFA)のセットアップ画面が表示されます。 登録した電話番号の端末に確認コードが送られます。 すると、PINセットアップが求められるので、入力します。 これで設定完了です。 AzureMFA(多要素認証)による条件付きアクセス許可を設定するAzureAD条件付きアクセスのアクセス権の付与から、”多要素認証を要求する”にチェックを入れます。 多要素認証の要求がスキップされるかを確認する操作目線では、スキップという表現になりますが、厳密にいうと、多要素認証の要求がスキップされているわけではなく、多要素認証としてアクセスしているとして、みなされることになります。 まずは、Windows Hello for Businessを設定していない端末でアクセスしてみます。当然、従来通りに多要素認証を要求され、下記のような画面に遷移します。Windows Hello for Business登録時に設定したSMS確認コードによる認証を求められていますね。 では、次に、Windows Hello for
Businessを設定した端末でアクセスしてみます。 多要素認証も求められず、ログインできていますね。( 別ブラウザでも同じ動作となりました。) Windows Hello for Businessを設定している端末で多要素認証によるログイン操作をスキップできた操作上、多要素認証によるログイン操作をスキップできました。 ■失敗時の認証ログ ■成功時の認証ログ これまで長々とお話しましたが、あくまで自身の検証結果をもとに記載している内容になりますので、ご参考までにご愛読いただけますと幸いでございます。 ではまた。 Windows helloとWindows Hello for Businessの違いは?Windows Hello は、ローカル認証の結果がOKであれば 内部に保存されていたパスワードをもとにした情報が送出されます。 一方、Windows Hello for Businessは内部に保存されているデジタル証明書が送出されます。
Windows Hello for Businessの認証方式は?Windows Hello for Business はパスワード自体をログオン処理で使用しておらず、秘密鍵/公開鍵のペアによって認証する仕組みとなり、TPM にはパスワードではなく秘密鍵が格納されます。
Windows Helloの登録上限は?1 台のWindows 10 コンピューターでサポートされている登録の最大数は 10 です。 これにより、10 人のユーザーがそれぞれ顔と最大 10 個の指紋を登録できます。
Windows Helloの仕組みは?仕組み 指紋認証を利用するためには、指紋認証リーダーを搭載している必要があります。 指紋リーダーの下には無数の電極が配置されていて、指紋の凹凸に合わせて変化する電荷を検出して形状を読み取ります。 初回はリーダーに指紋を読み込ませて登録し、次回以降は登録した指紋との照合により当人か否かを判断します。
|