しくみ: Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

2 段階認証のセキュリティは、レイヤー アプローチによってもたらされます。The security of two-step verification lies in its layered approach. 攻撃者にとって、多要素認証を侵害することはかなり困難です。Compromising multiple authentication factors presents a significant challenge for attackers. 攻撃者がユーザーのパスワードを手に入れても、付加的な認証方法がなければ役に立ちません。Even if an attacker manages to learn the user's password, it is useless without also having possession of the additional authentication method. 多要素認証は次の認証方法のうち 2 つ以上を要求することで機能します。It works by requiring two or more of the following authentication methods:

  • ユーザーが知っているもの (通常はパスワード)Something you know (typically a password)
  • ユーザーが持っているもの (携帯電話など、簡単には複製できない信頼できるデバイス)Something you have (a trusted device that is not easily duplicated, like a phone)
  • ユーザー自身 (生体認証)Something you are (biometrics)

認証方法の概念イメージ
Conceptual authentication methods image

Azure Multi-Factor Authentication (MFA) を利用すれば、データやアプリケーションへのアクセスを保護し、ユーザーには簡単なサインイン プロセスを提供できます。Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for users. 2 つ目の認証を要求することでセキュリティを追加し、使い勝手の良いさまざまな認証方法によって強力な認証を与えます。It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods.

Multi-Factor Authentication の入手方法How to get Multi-Factor Authentication?

Multi-Factor Authentication は以下のサービスに付属します。Multi-Factor Authentication comes as part of the following offerings:

  • Azure Active Directory Premium ライセンス - Azure Multi-Factor Authentication Service (クラウド) または Azure Multi-Factor Authentication Server (オンプレミス) のすべての機能を使用できます。Azure Active Directory Premium licenses - Full featured use of Azure Multi-Factor Authentication Service (Cloud) or Azure Multi-Factor Authentication Server (On-premises).
    • Azure MFA Service (クラウド) - このオプションは新しいデプロイに推奨されますAzure MFA Service (Cloud) - This option is the recommended path for new deployments. クラウドの Azure MFA はオンプレミス インフラストラクチャを必要とせず、フェデレーション ユーザーまたはクラウド専用ユーザーと共に利用できます。Azure MFA in the cloud requires no on-premises infrastructure and can be used with your federated or cloud-only users.
    • Azure MFA Server - 組織が関連付けられているインフラストラクチャ要素の管理を希望し、オンプレミスの環境に AD FS をデプロイしている場合は、この方法がオプションになる可能性があります。Azure MFA Server - If your organization wants to manage the associated infrastructure elements and has deployed AD FS in your on-premises environment this way may be an option.
  • Office 365 の Multi-Factor Authentication - Azure Multi-Factor Authentication の一部の機能を集めたものであり、サブスクリプションの一環として利用できます。Multi-Factor Authentication for Office 365 - A subset of Azure Multi-Factor Authentication capabilities are available as a part of your subscription. MFA for Office 365 の詳細については、「Office 365 展開用の多要素認証の計画」という記事を参照してください。For more information about MFA for Office 365, see the article Plan for multi-factor authentication for Office 365 Deployments.
  • Azure Active Directory 全体管理者 - Azure Multi-Factor Authentication の一部の機能を集めたものであり、全体管理者アカウントを保護するための手段として利用されます。Azure Active Directory Global Administrators - A subset of Azure Multi-Factor Authentication capabilities are available as a means to protect global administrator accounts.

注意

2018 年 9 月 1 日以降、新しいお客様は、スタンドアロン オファーとして Azure Multi-Factor Authentication を購入できなくなります。New customers may no longer purchase Azure Multi-Factor Authentication as a standalone offering effective September 1st, 2018. 多要素認証認証は、今後も Azure AD Premium ライセンスで利用できます。Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

サポートSupportability

ユーザーの多くはパスワードのみを使用した認証に慣れているため、組織はこのプロセスに関してすべてのユーザーに通達することが重要です。Since most users are accustomed to using only passwords to authenticate, it is important that your organization communicates to all users regarding this process. 通達により、ユーザーが MFA 関連の重要でない問題についてヘルプ デスクに問い合わせる可能性が低くなります。Awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. ただし、一部のシナリオでは MFA を一時的に無効にすることが必要になる場合があります。However, there are some scenarios where temporarily disabling MFA is necessary. 次のガイドラインに従って、これらのシナリオへの対処方法を理解してください。Use the following guidelines to understand how to handle those scenarios:

  • 認証方法にアクセスできないか、認証方法が正しく動作せず、ユーザーがサインインできない状況に対応できるよう、サポート スタッフをトレーニングしてください。Train your support staff to handle scenarios where the user can't sign in because they do not have access to their authentication methods or they are not working correctly.
    • サポート スタッフは Azure MFA Service の条件付きアクセス ポリシーを利用することで、MFA を要求するポリシーから除外されるグループにユーザーを追加できます。Using conditional access policies for Azure MFA Service, your support staff can add a user to a group that is excluded from a policy requiring MFA.
    • サポート スタッフは Azure MFA Server ユーザーの一時的なワンタイム バイパスを有効にし、2 段階認証なしの認証をユーザーに許可できます。Support staff can enable a temporary one-time bypass for Azure MFA Server users to allow a user to authenticate without two-step verification. このバイパスは一時的なものであり、指定された秒数が経過すると無効になります。The bypass is temporary and expires after a specified number of seconds.
  • 2 段階検証の要求を最小限に抑える方法として、信頼できる IP や名前付きの場所の利用を検討します。Consider using Trusted IPs or named locations as a way to minimize two-step verification prompts. この機能を使用すると、管理者常駐型テナントまたはフェデレーション テナントの管理者は、組織イントラネットなど、信頼されたネットワークの場所からサインインするユーザーの 2 段階認証をバイパスできます。With this feature, administrators of a managed or federated tenant can bypass two-step verification for users that are signing in from a trusted network location such as their organization's intranet.
  • Azure AD Identity Protection をデプロイし、リスク イベントに基づいて 2 段階検証をトリガーします。Deploy Azure AD Identity Protection and trigger two-step verification based on risk events.

次の手順Next steps