Microsoft Entra 多要素認証と AD FS を使用したクラウド リソースのセキュリティ保護

  • [アーティクル]

組織が Microsoft Entra ID とフェデレーションされている場合は、Microsoft Entra 多要素認証または Active Directory フェデレーション サービス (AD FS) を使用して、Microsoft Entra ID によってアクセスされるリソースをセキュリティで保護します。 Microsoft Entra 多要素認証または Active Directory フェデレーション サービス (ADFS) を使用して Microsoft Entra リソースをセキュリティで保護するには、次の手順に従います。

Note

ドメイン設定 federatedIdpMfaBehaviorenforceMfaByFederatedIdp に設定するか (推奨)、SupportsMFA$True に設定します。 両方が設定されている場合、federatedIdpMfaBehavior 設定によって SupportsMFA がオーバーライドされます。

AD FS を使用して Microsoft Entra リソースのセキュリティを確保する

クラウド リソースをセキュリティで保護するには、ユーザーが 2 段階認証の実行に成功したときに、Active Directory フェデレーション サービスが multipleauthn 要求を出力するよう要求規則を設定します。 この要求は、Microsoft Entra ID に渡されます。 以下では、その手順を説明します。

  1. AD FS 管理を開きます。

  2. 左側で、 [証明書利用者信頼] を選択します。

  3. [Microsoft Office 365 ID プラットフォーム] を右クリックし、 [要求規則の編集] を選択します。

    ADFS Console - Relying Party Trusts

  4. [発行変換規則] で、 [規則の追加] をクリックします。

    Editing Issuance Transform Rules

  5. 変換要求規則追加ウィザードで、ドロップダウンから [入力方向の要求をパス スルーまたはフィルター処理] を選択し、 [次へ] をクリックします。

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. 規則に名前を付けます。

  7. 受信要求の種類として [認証方法の参照] を選択します。

  8. [すべての要求値をパススルーする] を選択します。

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. [完了] をクリックします。 AD FS 管理コンソールを閉じます。

フェデレーション ユーザー用の信頼できる IP

管理者は信頼できる IP を使用すると、特定の IP アドレス、またはイントラネット内から要求が送信されているフェデレーション ユーザーの 2 段階認証をバイパスできます。 次のセクションでは、信頼できる IP を使用してバイパスを構成する方法について説明します。 これは、要求の種類 [企業ネットワーク内] で [入力方向の要求をパス スルーまたはフィルター処理] テンプレートを使用するように AD FS を構成することによって実現されます。

ここで示す例では、証明書利用者信頼で Microsoft 365 を使用します。

AD FS 要求規則を構成する

最初に実行する必要があるのは、AD FS の要求を構成することです。 2 つの要求規則を作成します。1 つは [企業ネットワーク内] という要求の種類用であり、もう 1 つはユーザーのサインイン状態を維持するためのものです。

  1. AD FS 管理を開きます。

  2. 左側で、 [証明書利用者信頼] を選択します。

  3. [Microsoft Office 365 ID プラットフォーム] を右クリックし、 [要求規則の編集…] を選択します

    ADFS Console - Edit Claim Rules

  4. [発行変換規則] で、 [規則の追加] をクリックします。

    Adding a Claim Rule

  5. 変換要求規則追加ウィザードで、ドロップダウンから [入力方向の要求をパス スルーまたはフィルター処理] を選択し、 [次へ] をクリックします。

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. [要求規則名] の横にあるボックスに、規則の名前を入力します。 次に例を示します。InsideCorpNet。

  7. [入力方向の要求の種類] の横にあるドロップダウンから、 [企業ネットワーク内] を選択します。

    Adding Inside Corporate Network claim

  8. [完了] をクリックします。

  9. [発行変換規則] で、 [規則の追加] をクリックします。

  10. 変換要求規則の追加ウィザードで、ドロップダウンから [カスタム規則を使用して要求を送信] を選択し、 [次へ] をクリックします。

  11. [要求規則名] の下のボックスに 「Keep Users Signed In」(ユーザーをサインインしたままにする) と入力します。

  12. [カスタム規則:] ボックスに次のように入力します。

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. [完了] をクリックします。

  14. [Apply] をクリックします。

  15. [OK] をクリックします。

  16. AD FS 管理を閉じます。

フェデレーション ユーザーと Microsoft Entra 多要素認証の信頼された IP を構成する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

これで要求が準備できたので、信頼できる IP を構成できます。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. 条件付きアクセス>名前付きの場所を参照します。

  3. [条件付きアクセス - ネームド ロケーション] ブレードから [MFA の信頼できる IP の構成] を選択します。

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. [サービス設定] ページの [信頼できる IP] で、[イントラネット内のフェデレーション ユーザーからの要求の場合、多要素認証をスキップする] を選択します。

  5. [保存] をクリックします。

これで完了です。 この時点で、Microsoft 365 のフェデレーション ユーザーは、企業のイントラネットの外部から要求を送信するときに、MFA のみを使用するだけですみます。