クラウドベースの Azure Multi-Factor Authentication を計画するPlanning a cloud-based Azure Multi-Factor Authentication

ユーザーが組織のリソースに接続するシナリオはますます複雑になっています。People are connecting to organizational resources in increasingly complicated scenarios. ユーザーは、スマート フォン、タブレット、PC、ラップトップを使用し、多くの場合は複数のプラットフォームで、会社のネットワーク内またはネットワーク外にある、組織所有デバイス、個人デバイス、パブリック デバイスから接続します。People connect from organization-owned, personal, and public devices on and off the corporate network using smart phones, tablets, PCs, and laptops, often on multiple platforms. このような常時接続でマルチ デバイスおよびマルチ プラットフォームの世界では、ユーザー アカウントのセキュリティがますます重要になります。In this always-connected, multi-device and multi-platform world, the security of user accounts is more important than ever. デバイス、ネットワーク、プラットフォームで共通して使用されるパスワードは、その複雑さに関係なく、ユーザー アカウントのセキュリティを確保するのにもはや十分ではありません。ユーザーが複数のアカウントでパスワードを再利用する傾向がある場合は特にそうです。Passwords, no matter their complexity, used across devices, networks, and platforms are no longer sufficient to ensure the security of the user account, especially when users tend to reuse passwords across accounts. 高度になったフィッシングやその他のソーシャル エンジニア リング攻撃により、ユーザー名とパスワードが悪質な Web で投稿されたり販売されたりする可能性があります。Sophisticated phishing and other social engineering attacks can result in usernames and passwords being posted and sold across the dark web.

Azure Multi-Factor Authentication (MFA) は、データやアプリケーションへのアクセスを保護するのに役立ちます。Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications. 第 2 の形式の認証を使用して、セキュリティのレイヤーが追加されます。It provides an additional layer of security using a second form of authentication. 組織では、条件付きアクセスを使用して、固有のニーズにソリューションを合わせることができます。Organizations can use conditional access to make the solution fit their specific needs.

前提条件Prerequisites

Azure Multi-factor Authentication のデプロイを始める前に考慮すべき前提条件があります。Before starting a deployment of Azure Multi-Factor Authentication, there are prerequisite items that should be considered.

シナリオScenario 前提条件Prerequisite
先進認証を使用するクラウド専用の ID 環境Cloud-only identity environment with modern authentication 追加の前提条件タスクはありませんNo additional prerequisite tasks
ハイブリッド ID のシナリオHybrid identity scenarios Azure AD Connect がデプロイされ、ユーザー ID はオンプレミスの Active Directory Domain Services および Azure Active Directory と同期またはフェデレーションされています。Azure AD Connect is deployed and user identities are synchronized or federated with the on-premises Active Directory Domain Services with Azure Active Directory.
クラウド アクセス用に公開されたオンプレミスのレガシ アプリケーションOn-premises legacy applications published for cloud access Azure AD のアプリケーション プロキシがデプロイされています。Azure AD Application Proxy is deployed.
Azure MFA と RADIUS 認証の使用Using Azure MFA with RADIUS Authentication ネットワーク ポリシー サーバー (NPS) がデプロイされています。A Network Policy Server (NPS) is deployed.
ユーザーが Microsoft Office 2010 以前または Apple Mail for iOS 11 以前を使用しているUsers have Microsoft Office 2010 or earlier, or Apple Mail for iOS 11 or earlier Microsoft Office 2013 以降および Apple mail for iOS 12 以降にアップグレードします。Upgrade to Microsoft Office 2013 or later and Apple mail for iOS 12 or later. 従来の認証プロトコルでは、条件付きアクセスはサポートされていません。Conditional access is not supported by legacy authentication protocols.

ユーザーのロールアウトを計画するPlan user rollout

MFA のロールアウト計画には、パイロット デプロイと、それに続くサポート キャパシティ内でのデプロイ ウェーブが含まれる必要があります。Your MFA rollout plan should include a pilot deployment followed by deployment waves that are within your support capacity. 小規模なグループまたはパイロット ユーザーに条件付きアクセス ポリシーを適用することで、ロールアウトを開始します。Begin your rollout by applying your conditional access policies to a small group of pilot users. パイロット ユーザー、使用されたプロセス、および登録動作への影響を評価した後、ポリシーにグループを追加するか、既存のグループにユーザーを追加することができます。After evaluating the effect on the pilot users, process used, and registration behaviors, you can either add more groups to the policy or add more users to the existing groups.

ユーザーへの伝達User Communications

今後の変更、Azure MFA の登録要件、必要なユーザー アクションについて、計画的にユーザーに通知することが重要です。It is critical to inform users, in planned communications, about upcoming changes, Azure MFA registration requirements, and any necessary user actions. 通信部門、変更管理部門、人事部門など、組織内の代表者と連携して、伝達方法を用意することをお勧めします。We recommend communications are developed in concert with representatives from within your organization, such as a Communications, Change Management, or Human Resources departments.

Microsoft では、伝達方法の原案として役立つ通信テンプレートエンドユーザー文書が用意されています。Microsoft provides communication templates and end-user documentation to help draft your communications. ユーザーに https://myprofile.microsoft.com にアクセスさせ、そのページの [セキュリティ情報] リンクを選択して直接登録させることができます。You can send users to https://myprofile.microsoft.com to register directly by selecting the Security Info links on that page.

デプロイに関する考慮事項Deployment Considerations

Azure Multi-factor Authentication は、条件付きアクセスでポリシーを適用することによってデプロイされます。Azure Multi-factor Authentication is deployed by enforcing policies with conditional access. 条件付きアクセス ポリシーでは、次のような特定の条件が満たされたら多要素認証を実行するようユーザーに要求できます。A conditional access policy can require users to perform multi-factor authentication when certain criteria are met such as:

  • すべてのユーザー、特定のユーザー、グループのメンバー、または割り当てられたロールAll users, a specific user, member of a group, or assigned role
  • 特定のクラウド アプリケーションでのアクセスSpecific cloud application being accessed
  • デバイスのプラットフォームDevice platform
  • デバイスの状態State of device
  • ネットワークの場所または地理的な場所にある IP アドレスNetwork location or geo-located IP address
  • クライアント アプリケーションClient applications
  • サインイン リスク (ID 保護が必要)Sign-in risk (Requires Identity Protection)
  • 準拠デバイスCompliant device
  • ハイブリッド Azure AD 参加済みデバイスHybrid Azure AD joined device
  • 承認されたクライアント アプリケーションApproved client application

[多要素認証のロールアウト教材] にあるカスタマイズ可能なポスターと電子メール テンプレートを使用して、多要素認証を組織にデプロイします。Use the customizable posters and email templates in [multi-factor authentication rollout materials] to roll out multi-factor authentication to your organization. (https://www.microsoft.com/en-us/download/details.aspx?id=57600&WT.mc_id=rss_alldownloads_all)(https://www.microsoft.com/en-us/download/details.aspx?id=57600&WT.mc_id=rss_alldownloads_all)

条件付きアクセスを使用して Multi-Factor Authentication を有効にするEnable Multi-Factor Authentication with Conditional Access

条件付きアクセス ポリシーでは登録が強制され、未登録ユーザーには最初のサインイン時に登録を完了することが要求されます。これは、セキュリティ上の重要な考慮事項です。Conditional access policies enforce registration, requiring unregistered users to complete registration at first sign-in, an important security consideration.

Azure AD Identity Protection は、Azure Multi-factor Authentication の状況に対し、登録ポリシーと、自動化されたリスクの検出と修復のポリシーの両方の点で寄与します。Azure AD Identity Protection contributes both a registration policy for and automated risk detection and remediation policies to the Azure Multi-Factor Authentication story. ID 侵害の脅威があるときにパスワードの変更を強制するポリシー、または次のイベントによってサインインにリスクがあると認められるときに MFA を要求するポリシーを作成できます。Policies can be created to force password changes when there is a threat of compromised identity or require MFA when a sign-in is deemed risky by the following events:

  • 漏洩した資格情報Leaked credentials
  • 匿名の IP アドレスからのサインインSign-ins from anonymous IP addresses
  • 特殊な場所へのあり得ない移動Impossible travel to atypical locations
  • 未知の場所からのサインインSign-ins from unfamiliar locations
  • 感染しているデバイスからのサインインSign-ins from infected devices
  • 不審なアクティビティのある IP アドレスからのサインインSign-ins from IP addresses with suspicious activities

Azure Active Directory Identity Protection によって検出されるリスク イベントには、リアルタイムで発生するものや、オフライン処理が必要なものがあります。Some of the risk events detected by Azure Active Directory Identity Protection occur in real time and some require offline processing. 管理者は、リスクのある動作を示すユーザーをブロックして手動で修復する、パスワードの変更を要求する、または条件付きアクセス ポリシーの一部として多要素認証を要求することを選択できます。Administrators can choose to block users who exhibit risky behaviors and remediate manually, require a password change, or require a multi-factor authentication as part of their conditional access policies.

ネットワークの場所を定義するDefine network locations

組織では条件付きアクセスを使用し、名前付きの場所を使用してネットワークを定義することをお勧めしました。We recommended that organizations use conditional access to define their network using named locations. 組織で Identity Protection を使用している場合は、名前付きの場所ではなく、リスクベースのポリシーを使用することを検討します。If your organization is using Identity Protection, consider using risk-based policies instead of named locations.

名前付きの場所を構成するConfiguring a named location

  1. Azure portal で [Azure Active Directory] を開きますOpen Azure Active Directory in the Azure portal
  2. [条件付きアクセス] をクリックしますClick Conditional Access
  3. [名前付きの場所] をクリックしますClick Named Locations
  4. [新しい場所] をクリックしますClick New Location
  5. [名前] フィールドに、わかりやすい名前を入力しますIn the Name field, provide a meaningful name
  6. 場所の定義に IP 範囲または国/地域のどちらを使用するかを選択しますSelect whether you are defining the location using IP ranges or Countries/Regions
    1. IP 範囲を使用する場合If using IP Ranges
      1. 場所を信頼済みとしてマークするかどうかを決定します。Decide whether to mark the location as Trusted. 信頼できる場所からサインインすることで、ユーザーのサインイン リスクが低下します。Signing in from a trusted location lowers a user's sign-in risk. 入力した IP 範囲が確立され、組織内で信用されていることがわかる場合のみ、この場所を信頼できる場所とマークしてください。Only mark this location as trusted if you know the IP ranges entered are established and credible in your organization.
      2. IP 範囲を指定しますSpecify the IP Ranges
    2. 国/地域を使用する場合If using Countries/Regions
      1. ドロップダウン メニューを開き、この名前付きの場所に対して定義する国または地域を選択します。Expand the drop-down menu and select the countries or regions you wish to define for this named location.
      2. 不明な領域を含めるかどうかを決定します。Decide whether to Include unknown areas. 不明な領域は、国/地域にマップできない IP アドレスです。Unknown areas are IP addresses that can't be mapped to a country/region.
  7. [作成]Click Create

認証方法を計画するPlan authentication methods

管理者は、ユーザーに対して使用可能にする認証方法を選択できます。Administrators can choose the authentication methods that they want to make available for users. 主要な方法を使用できないときにユーザーがバックアップの方法を使用できるよう、複数の認証方法を許可することが重要です。It is important to allow more than a single authentication method so that users have a backup method available in case their primary method is unavailable. 管理者は次の方法を有効にできます。The following methods are available for administrators to enable:

モバイル アプリでの通知Notification through mobile app

モバイル デバイスの Microsoft Authenticator アプリに、プッシュ通知が送信されます。A push notification is sent to the Microsoft Authenticator app on your mobile device. ユーザーは通知を表示し、[承認] を選択して認証を完了します。The user views the notification and selects Approve to complete verification. モバイル アプリによるプッシュ通知では、ユーザーへの影響が最も少ないオプションが提供されます。Push notifications through a mobile app provide the least intrusive option for users. テレフォニーではなくデータ接続を使用するため、最も信頼性が高くて安全なオプションでもあります。They are also the most reliable and secure option because they use a data connection rather than telephony.

注意

組織に中国勤務のスタッフや中国に出張中のスタッフがいる場合、Android デバイスでのモバイル アプリによる通知メソッドはその国では機能しません。If your organization has staff working in or traveling to China, the Notification through mobile app method on Android devices does not work in that country. それらのユーザーには別の方法を使用できるようにする必要があります。Alternate methods should be made available for those users.

モバイル アプリからの確認コードVerification code from mobile app

Microsoft Authenticator アプリなどのモバイル アプリで、30 秒ごとに新しい OATH 確認コードが生成されます。A mobile app like the Microsoft Authenticator app generates a new OATH verification code every 30 seconds. ユーザーは確認コードをサインイン インターフェイスに入力します。The user enters the verification code into the sign-in interface. モバイル アプリのオプションは、スマート フォンがデータ信号でも携帯ネットワーク信号でも使用できます。The mobile app option can be used whether or not the phone has a data or cellular signal.

電話の呼び出しCall to phone

ユーザーに自動音声通話を行います。An automated voice call is placed to the user. ユーザーは、呼び出しに応答し、電話のキーパッドの # を押して認証を承認します。The user answers the call and presses # on the phone keypad to approve their authentication. 電話の呼び出しは、モバイル アプリからの通知または確認コードに対する優れたバックアップ方法です。Call to phone is a great backup method for notification or verification code from a mobile app.

電話へのテキスト メッセージText message to phone

確認コードを含むテキスト メッセージがユーザーに送信され、ユーザーは確認コードをサインイン インターフェイスに入力するよう求められます。A text message that contains a verification code is sent to the user, the user is prompted to enter the verification code into the sign-in interface.

認証オプションを選択するChoose verification options

  1. [Azure Active Directory][ユーザー][Multi-Factor Authentication] に移動します。Browse to Azure Active Directory, Users, Multi-Factor Authentication.

    Azure Portal の Azure AD ユーザー ブレードから Multi-Factor Authentication ポータルへのアクセス

  2. 開いた新しいタブで、[サービスの設定] に移動します。In the new tab that opens browse to service settings.

  3. [検証オプション] で、ユーザーが使用できる方法のすべてのボックスをオンにします。Under verification options, check all of the boxes for methods available to users.

    Multi-Factor Authentication の [サービスの設定] タブで認証方法を構成する

  4. [Save] をクリックします。Click on Save.

  5. [サービスの設定] タブを閉じます。Close the service settings tab.

登録ポリシーを計画するPlan registration policy

管理者は、ユーザーが方法を登録する方法を決定する必要があります。Administrators must determine how users will register their methods. 組織では、Azure MFA とパスワード リセットのセルフサービス (SSPR) に対する新しい組み合わせの登録エクスペリエンスを有効にする必要があります。Organizations should enable the new combined registration experience for Azure MFA and self-service password reset (SSPR). SSPR では、ユーザーは、多要素認証に使用するのと同じ方法を使用して、セキュリティで保護された方法でパスワードをリセットすることができます。SSPR allows users to reset their password in a secure way using the same methods they use for multi-factor authentication. 両方のサービスに 1 回で登録できるユーザーにとって優れたエクスペリエンスであるため、この組み合わせ登録 (現在パブリック プレビュー中) をお勧めします。We recommend this combined registration, currently in public preview, because it’s a great experience for users, with the ability to register once for both services. SSPR と Azure MFA に対して同じ方法を有効にすると、ユーザーは両方の機能を使用するよう登録できます。Enabling the same methods for SSPR and Azure MFA will allow your users to be registered to use both features.

Identity Protection を使用する登録Registration with Identity Protection

組織が Azure Active Directory Identity Protection を使用して場合は、ユーザーが対話形式で次にサインインするときに登録を求めるよう、MFA 登録ポリシーを構成します。If your organization is using Azure Active Directory Identity Protection, configure the MFA registration policy to prompt your users to register the next time they sign in interactively.

Identity Protection を使用しない登録Registration without identity Protection

組織が Identity Protection を有効にするライセンスを持っていない場合は、ユーザーは、次に MFA を必要とするサインインを行うときに、登録を求められます。If your organization does not have licenses that enable Identity Protection, users are prompted to register the next time that MFA is required at sign-in. MFA で保護されたアプリケーションを使用していないユーザーは、MFA に登録されない可能性があります。Users may not be registered for MFA if they don't use applications protected with MFA. 悪意のあるユーザーがユーザーのパスワードを推測し、ユーザーに代わって MFA に登録して、効果的にアカウントを制御できるようになるのを防ぐため、すべてのユーザーに登録させることが重要です。It's important to get all users registered so that bad actors cannot guess the password of a user and register for MFA on their behalf, effectively taking control of the account.

登録を強制するEnforcing registration

次の手順を使用して、条件付きアクセス ポリシーでユーザーに Multi-Factor Authentication への登録を強制できますUsing the following steps a conditional access policy can force users to register for Multi-Factor Authentication

  1. グループを作成し、現在登録されていないすべてのユーザーを追加します。Create a group, add all users not currently registered.
  2. 条件付きアクセスを使用して、このグループに対しすべてのリソースへのアクセスに多要素認証を強制します。Using conditional access, enforce multi-factor authentication for this group for access to all resources.
  3. 定期的に、グループのメンバーシップを再評価し、登録の済んだユーザーをグループから削除します。Periodically, reevaluate the group membership, and remove users who have registered from the group.

MSOnline PowerShell モジュールに依存する PowerShell コマンドを使用して、登録済みと未登録の Azure MFA ユーザーを識別できます。You may identify registered and non-registered Azure MFA users with PowerShell commands that rely on the MSOnline PowerShell module.

登録済みのユーザーを識別するIdentify registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods -ne $null} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

未登録のユーザーを識別するIdentify non-registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods.Count -eq 0} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

条件付きアクセス ポリシーを計画するPlan conditional access policies

どのようなときに MFA および他のコントロールが必要かを決定する条件付きアクセス ポリシーの戦略を計画するには、「Azure Active Directory の条件付きアクセスとは」をご覧ください。To plan your conditional access policy strategy, which will determine when MFA and other controls are required, refer to What is conditional access in Azure Active Directory?.

誤って自分が Azure AD テナントからロックアウトされないようにすることが重要です。It is important that you prevent being inadvertently locked out of your Azure AD tenant. テナントに複数の緊急アクセス用アカウントを作成し、条件付きアクセス ポリシーからそれらを除外することによって、不注意で管理アクセスが不可能になることによる影響を軽減できます。You can mitigate the impact of this inadvertent lack of administrative access by creating two or more emergency access accounts in your tenant and excluding them from your conditional access policy.

条件付きアクセス ポリシーを作成するCreate conditional access policy

  1. グローバル管理者アカウントを使用して Azure portal にサインインします。Sign in to the Azure portal using a global administrator account.
  2. [Azure Active Directory][条件付きアクセス] の順に移動しますBrowse to Azure Active Directory, Conditional Access.
  3. [新しいポリシー] を選択します。Select New policy.
  4. ポリシーのわかりやすい名前を指定します。Provide a meaningful name for your policy.
  5. [ユーザーとグループ] で次の手順を実行します。Under users and groups:
    • [Include](追加) タブで、[All users](すべてのユーザー) ラジオ ボタンを選択しますOn the Include tab, select the All users radio button
    • [除外] タブで [ユーザーとグループ] のボックスをオンにして、緊急アクセス用アカウントを選択します。On the Exclude tab, check the box for Users and groups and choose your emergency access accounts.
    • [Done] をクリックします。Click Done.
  6. [クラウド アプリ] で、[すべてのクラウド アプリ] ラジオ ボタンを選択します。Under Cloud apps, select the All cloud apps radio button.
    • オプション:[Exclude](除外) タブで、組織において MFA の必要がないクラウド アプリを選択します。OPTIONALLY: On the Exclude tab, choose cloud apps that your organization does not require MFA for.
    • [Done] をクリックします。Click Done.
  7. [条件] セクションで次の手順を実行します。Under Conditions section:
    • オプション:Azure Identity Protection を有効にしてある場合は、ポリシーの一部としてサインイン リスクを評価することを選択できます。OPTIONALLY: If you have enabled Azure Identity Protection, you can choose to evaluate sign-in risk as part of the policy.
    • オプション:信頼できる場所または名前付きの場所を構成してある場合は、これらの場所をポリシーに追加するか、ポリシーから除外するよう指定できます。OPTIONALLY: If you have configured trusted locations or named locations, you can specify to include or exclude those locations from the policy.
  8. [許可] で、[アクセス権の付与] ラジオ ボタンが選択されていることを確認します。Under Grant, make sure the Grant access radio button is selected.
    • [多要素認証を要求する] のボックスをオンにします。Check the box for Require multi-factor authentication.
    • [選択] をクリックします。Click Select.
  9. [セッション] セクションはスキップしますSkip the Session section.
  10. [ポリシーを有効にする] トグルを [オン] に設定します。Set the Enable policy toggle to On.
  11. Create をクリックしてください。Click Create.

パイロット グループ内の Azure portal のユーザーに対して MFA を有効にする条件付きアクセス ポリシーを作成する

オンプレミスのシステムとの統合を計画するPlan integration with on-premises systems

Azure AD に対して直接認証を行わない一部の従来およびオンプレミスのアプリケーションでは、MFA を使用するために次のような追加手順が必要です。Some legacy and on-premises applications that do not authenticate directly against Azure AD require additional steps to use MFA including:

  • 従来のオンプレミス アプリケーションでは、アプリケーション プロキシを使用する必要があります。Legacy on-premises applications, which will need to use Application proxy.
  • オンプレミスの RADIUS アプリケーションでは、MFA アダプターと NPS サーバーを使用する必要があります。On-premises RADIUS applications, which will need to use MFA adapter with NPS server.
  • オンプレミスの AD FS アプリケーションでは、MFA アダプターと AD FS 2016 を使用する必要があります。On-premises AD FS applications, which will need to use MFA adapter with AD FS 2016.

Azure AD でに対して直接認証を行い、先進認証 (WS-Fed、SAML、OAuth、OpenID Connect) を使用するアプリケーションでは、条件付きアクセス ポリシーを直接使用することができます。Applications that authenticate directly with Azure AD and have modern authentication (WS-Fed, SAML, OAuth, OpenID Connect) can make use of conditional access policies directly.

Azure AD アプリケーション プロキシで Azure MFA を使用するUse Azure MFA with Azure AD Application Proxy

オンプレミスに存在するアプリケーションは、Azure AD アプリケーション プロキシを使用して Azure AD テナントに公開でき、Azure AD の事前認証を使用するように構成されている場合は、Azure Multi-Factor Authentication を利用できます。Applications residing on-premises can be published to your Azure AD tenant via Azure AD Application Proxy and can take advantage of Azure Multi-Factor Authentication if they are configured to use Azure AD pre-authentication.

これらのアプリケーションは、他の Azure AD に統合されたアプリケーションと同様、Azure Multi-Factor Authentication を適用する条件付きアクセス ポリシーの対象になります。These applications are subject to conditional access policies that enforce Azure Multi-Factor Authentication, just like any other Azure AD-integrated application.

同様に、すべてのユーザー サインインに対して Azure Multi-Factor Authentication が強制されている場合は、Azure AD アプリケーション プロキシで公開されたオンプレミスのアプリケーションは保護されます。Likewise, if Azure Multi-Factor Authentication is enforced for all user sign-ins, on-premises applications published with Azure AD Application Proxy will be protected.

Azure Multi-Factor Authentication とネットワーク ポリシー サーバーを統合するIntegrating Azure Multi-Factor Authentication with Network Policy Server

Azure MFA のネットワーク ポリシー サーバー (NPS) 拡張機能は、既存のサーバーを使用してクラウド ベースの MFA 機能を認証インフラストラクチャに追加します。The Network Policy Server (NPS) extension for Azure MFA adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. NPS 拡張機能を使用すると、電話、テキスト メッセージ、またはモバイル アプリによる検証を、既存の認証フローに追加できます。With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow. この統合には次の制限事項があります。This integration has the following limitations:

  • CHAPv2 プロトコルでは、認証アプリのプッシュ通知と音声通話のみがサポートされます。With the CHAPv2 protocol, only authenticator app push notifications and voice call are supported.
  • 条件付きアクセス ポリシーは適用できません。Conditional access policies cannot be applied.

NPS 拡張機能は、RADIUS とクラウドベースの Azure MFA の間のアダプターとして機能し、VPNリモート デスクトップ ゲートウェイ接続、またはその他の RADIUS 対応アプリケーションを保護するための、第 2 の認証要素を提供します。The NPS extension acts as an adapter between RADIUS and cloud-based Azure MFA to provide a second factor of authentication to protect VPN, Remote Desktop Gateway connections, or other RADIUS capable applications. この環境の Azure MFA に登録したユーザーは、すべての認証の試行に対してチャレンジされ、条件付きアクセス ポリシーがないため常に MFA が要求されます。Users that register for Azure MFA in this environment will be challenged for all authentication attempts, the lack of conditional access policies mean MFA is always required.

NPS サーバーを実装するImplementing Your NPS Server

既に NPS インスタンスがデプロイされて使用されている場合は、「Azure Multi-Factor Authentication と既存の NPS インフラストラクチャの統合」をご覧ください。If you have an NPS instance deployed and in use already, reference Integrate your existing NPS Infrastructure with Azure Multi-Factor Authentication. NPS を初めて設定する場合は、「ネットワーク ポリシー サーバー (NPS)」の手順をご覧ください。If you are setting up NPS for the first time, refer to Network Policy Server (NPS) for instructions. トラブルシューティングのガイダンスについては、「Azure Multi-Factor Authentication の NPS 拡張機能からのエラー メッセージを解決する」をご覧ください。Troubleshooting guidance can be found in the article Resolve error messages from the NPS extension for Azure Multi-Factor Authentication.

MFA に登録されていないユーザーのために NPS を準備するPrepare NPS for users that aren't enrolled for MFA

MFA に登録されていないユーザーが認証を試みたときの処理を選択します。Choose what happens when users that aren’t enrolled with MFA try to authenticate. レジストリ パス HKLM\Software\Microsoft\AzureMFA のレジストリ設定 REQUIRE_USER_MATCH を使用して、機能の動作を制御します。Use the registry setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA to control the feature behavior. この設定の構成オプションは 1 つだけです。This setting has a single configuration option.

キーKey Value 既定値Default
REQUIRE_USER_MATCH TRUE / FALSETRUE / FALSE 未設定 (TRUE に相当)Not set (equivalent to TRUE)

この設定により、MFA に登録されていないユーザーの扱いが決まります。The purpose of this setting is to determine what to do when a user is not enrolled for MFA. この設定を変更したときの効果を、次の表に示します。The effects of changing this setting are listed in the table below.

設定Settings ユーザーの MFA の状態User MFA Status 効果Effects
キーが存在しないKey does not exist 登録されていないNot enrolled MFA チャレンジは失敗MFA challenge is unsuccessful
値が True に設定されている/設定されていないValue set to True / not set 登録されていないNot enrolled MFA チャレンジは失敗MFA challenge is unsuccessful
キーが False に設定されているKey set to False 登録されていないNot enrolled MFA なしの認証Authentication without MFA
キーが False または True に設定されているKey set to False or True 登録されているEnrolled MFA で認証する必要があるMust authenticate with MFA

Active Directory フェデレーション サービス (AD FS) と統合するIntegrate with Active Directory Federation Services

組織が Azure AD とフェデレーションされている場合は、オンプレミスとクラウドの両方で、Azure Multi-Factor Authentication を使用して AD FS リソースをセキュリティ保護することができます。If your organization is federated with Azure AD, you can use Azure Multi-Factor Authentication to secure AD FS resources, both on-premises and in the cloud. Azure MFA を使用すると、パスワードを減らし、より安全な認証方法を提供できます。Azure MFA enables you to reduce passwords and provide a more secure way to authenticate. Windows Server 2016 以降、プライマリ認証用に Azure MFA を構成できるようになりました。Starting with Windows Server 2016, you can now configure Azure MFA for primary authentication.

Windows Server 2012 R2 での AD FS とは異なり、AD FS 2016 の Azure MFA アダプターは Azure AD と直接統合されるので、オンプレミスの Azure MFA サーバーは必要ありません。Unlike with AD FS in Windows Server 2012 R2, the AD FS 2016 Azure MFA adapter integrates directly with Azure AD and does not require an on-premises Azure MFA server. Azure MFA アダプターは Windows Server 2016 に組み込まれており、追加のインストールは必要ありません。The Azure MFA adapter is built into Windows Server 2016, and there is no need for an additional installation.

AD FS 2016 で Azure MFA を使用し、ターゲット アプリケーションが条件付きアクセス ポリシーの対象になっているときは、追加の考慮事項があります。When using Azure MFA with AD FS 2016 and the target application is subject to conditional access policy, there are additional considerations:

  • アプリケーションが Azure AD の証明書利用者で、AD FS 2016 とフェデレーションされている場合、条件付きアクセスを使用できます。Conditional access is available when the application is a relying party to Azure AD, federated with AD FS 2016.
  • アプリケーションが AD FS 2016 の証明書利用者で、AD FS 2016 で管理またはフェデレーションされている場合、条件付きアクセスは使用できません。Conditional access is not available when the application is a relying party to AD FS 2016 and is managed or federated with AD FS 2016.
  • AD FS 2016 がプライマリ認証方法として Azure MFA を使用するように構成されている場合も、条件付きアクセスを使用できません。Conditional access is also not available when AD FS 2016 is configured to use Azure MFA as the primary authentication method.

AD FS のログ記録AD FS Logging

Windows セキュリティ ログと AD FS 管理者ログ両方の標準的な AD FS 2016 ログ記録には、認証要求とその成功または失敗に関する情報が含まれます。Standard AD FS 2016 logging in both the Windows Security Log and the AD FS Admin log, contains information about authentication requests and their success or failure. これらのイベント内のイベント ログ データでは、Azure MFA が使用されたかどうかが示されます。Event log data within these events will indicate whether Azure MFA was used. たとえば、AD FS の監査イベント ID 1200 には、次のような情報が含まれる場合があります。For example, an AD FS Auditing Event ID 1200 may contain:

<MfaPerformed>true</MfaPerformed>
<MfaMethod>MFA</MfaMethod>

証明書の更新と管理を行うRenew and manage Certificates

各 AD FS サーバーでは、ローカル コンピューターの My ストアに、OU=Microsoft AD FS Azure MFA というタイトルの自己署名された Azure MFA 証明書があり、証明書の有効期限の日付が含まれます。On each AD FS server, in the local computer My Store, there will be a self-signed Azure MFA certificate titled OU=Microsoft AD FS Azure MFA, which contains the certificate expiration date. 有効期限を確認するには、各 AD FS サーバーでこの証明書の有効期間を調べます。Check the validity period of this certificate on each AD FS server to determine the expiration date.

証明書の有効期限が近づいている場合は、各 AD FS サーバーで新しい MFA 証明書を生成して検証します。If the validity period of your certificates is nearing expiration, generate and verify a new MFA certificate on each AD FS server.

次のガイダンスでは、AD FS サーバー上の Azure MFA 証明書を管理する方法について詳しく説明します。The following guidance details how to manage the Azure MFA certificates on your AD FS servers. Azure MFA で AD FS を構成するとき、New-AdfsAzureMfaTenantCertificate PowerShell コマンドレットで生成される証明書の有効期間は 2 年です。When you configure AD FS with Azure MFA, the certificates generated via the New-AdfsAzureMfaTenantCertificate PowerShell cmdlet are valid for 2 years. MFA サービスが中断するのを防ぐため、期限が切れる前に証明書を更新してインストールします。Renew and install the renewed certificates prior to expiration to ovoid disruptions in MFA service.

計画を実装するImplement your Plan

ソリューションの計画が済んだので、以下の手順に従って実装できます。Now that you have planned your solution, you can implement by following the steps below:

  1. 必要な前提条件をすべて満たしますMeet any necessary prerequisites
    1. ハイブリッド シナリオの場合は Azure AD Connect をデプロイしますDeploy Azure AD Connect for any hybrid scenarios
    2. クラウド アクセス用に公開されるすべてのオンプレミス アプリには Azure AD アプリケーション プロキシを展開しますDeploy Azure AD Application Proxy for on any on-premises apps published for cloud access
    3. RADIUS 認証の場合は NPS をデプロイしますDeploy NPS for any RADIUS authentication
    4. ユーザーが先進認証を有効にしたサポートされるバージョンの Microsoft Office にアップグレードしたことを確認しますEnsure users have upgraded to supported versions of Microsoft Office with modern authentication enabled
  2. 選択した認証方法を構成しますConfigure chosen authentication methods
  3. 名前付きのネットワークの場所を定義しますDefine your named network locations
  4. MFA のロールアウトを開始するグループを選択します。Select groups to begin rolling out MFA.
  5. 条件付きアクセス ポリシーを構成しますConfigure your conditional access policies
  6. MFA 登録ポリシーを構成しますConfigure your MFA registration policy
    1. 結合された MFA と SSPRCombined MFA and SSPR
    2. Identity Protection の場合With Identity Protection
  7. ユーザーに通知を送り、https://aka.ms/mfasetup でユーザーに登録させますSend user communications and get users to enroll at https://aka.ms/mfasetup
  8. 登録したユーザーを追跡しますKeep track of who’s enrolled

ソリューションを管理するManage your solution

Azure MFA に対するレポートReports for Azure MFA

Azure Multi-Factor Authentication では、Azure portal でレポートが提供されます。Azure Multi-Factor Authentication provides reports through the Azure portal:

レポートReport LocationLocation 説明Description
利用状況と不正アクセス アラートUsage and fraud alerts [Azure AD] > [サインイン数]Azure AD > Sign-ins 全体的な利用状況、ユーザーの概要、およびユーザーの詳細に関する情報を提供します。また、指定した日付範囲の間に送信された不正アクセス アラートの履歴も提供します。Provides information on overall usage, user summary, and user details; as well as a history of fraud alerts submitted during the date range specified.

MFA の問題のトラブルシューティングTroubleshoot MFA Issues

Azure MFA での一般的な問題の解決策については、Microsoft サポート センターで Azure Multi-Factor Authentication のトラブルシューティングに関する記事を検索してください。Find solutions for common issues with Azure MFA at the Troubleshooting Azure Multi-Factor Authentication article on the Microsoft Support Center.

次の手順Next steps