チュートリアル:Azure AD Multi-Factor Authentication を使用してユーザーのサインイン イベントのセキュリティを確保するTutorial: Secure user sign-in events with Azure AD Multi-Factor Authentication

Multi-Factor Authentication (MFA) は、サインイン イベント中に追加で本人確認できるものをユーザーに求めるプロセスです。Multi-factor authentication (MFA) is a process where a user is prompted during a sign-in event for additional forms of identification. その確認として、各自の携帯電話にコードを入力したり、指紋スキャンを行ったりする方法が考えられます。This prompt could be to enter a code on their cellphone or to provide a fingerprint scan. 2 つ目の認証形式を義務付ければ、その二次的な要素は攻撃者が容易に取得したり複製したりできるようなものではないため、セキュリティが向上します。When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Azure AD Multi-Factor Authentication と条件付きアクセス ポリシーを使用すると、特定のサインイン イベント時にユーザーの MFA を有効にするための柔軟性が得られます。Azure AD Multi-Factor Authentication and Conditional Access policies give the flexibility to enable MFA for users during specific sign-in events. 多要素認証を構成してテナントに適用する方法に関するビデオをご覧ください (推奨)。Here's a video on How to configure and enforce multi-factor authentication in your tenant (Recommended)

重要

このチュートリアルでは、Azure AD Multi-Factor Authentication を有効にする方法を管理者に示します。This tutorial shows an administrator how to enable Azure AD Multi-Factor Authentication.

IT チームが Azure AD Multi-Factor Authentication を使用する機能を有効にしていない場合、またはサインイン時に問題が発生した場合は、ヘルプデスクに連絡して追加のサポートを依頼してください。If your IT team hasn't enabled the ability to use Azure AD Multi-Factor Authentication or you have problems during sign-in, reach out to your helpdesk for additional assistance.

このチュートリアルで学習する内容は次のとおりです。In this tutorial you learn how to:

  • ユーザーのグループに対して Azure AD Multi-Factor Authentication を有効にする条件付きアクセス ポリシーを作成するCreate a Conditional Access policy to enable Azure AD Multi-Factor Authentication for a group of users
  • MFA を求めるポリシーの条件を構成するConfigure the policy conditions that prompt for MFA
  • ユーザーとして MFA プロセスをテストするTest the MFA process as a user

前提条件Prerequisites

このチュートリアルを完了するには、以下のリソースと特権が必要です。To complete this tutorial, you need the following resources and privileges:

  • 少なくとも Azure AD Premium P1 または試用版ライセンスが有効になっている、動作している Azure AD テナント。A working Azure AD tenant with at least an Azure AD Premium P1 or trial license enabled.
  • "グローバル管理者" 特権を持つアカウント。An account with global administrator privileges.
  • パスワードがわかっている管理者以外のユーザー (testuser など)。A non-administrator user with a password you know, such as testuser. このチュートリアルでは、このアカウントを使用してエンドユーザーの Azure AD Multi-Factor Authentication エクスペリエンスをテストします。You test the end-user Azure AD Multi-Factor Authentication experience using this account in this tutorial.
  • 管理者以外のユーザーが所属するグループ (MFA-Test-Group など)。A group that the non-administrator user is a member of, such as MFA-Test-Group. このチュートリアルでは、このグループに対して Azure AD Multi-Factor Authentication を有効にします。You enable Azure AD Multi-Factor Authentication for this group in this tutorial.

条件付きアクセス ポリシーを作成するCreate a Conditional Access policy

Azure AD Multi-Factor Authentication を有効にして使用する手段として、条件付きアクセス ポリシーを使った方法が推奨されます。The recommended way to enable and use Azure AD Multi-Factor Authentication is with Conditional Access policies. 条件付きアクセスを使用すると、サインイン イベントに反応して二次的なアクションを要求したうえで、アプリケーションまたはサービスへのアクセスをユーザーに許可するポリシーを作成、定義することができます。Conditional Access lets you create and define policies that react to sign in events and request additional actions before a user is granted access to an application or service.

条件付きアクセスによってサインイン プロセスにセキュリティを確保するしくみを示す概要図

条件付きアクセス ポリシーは、自分の組織を保護しながらも、時間や場所を問わず常にユーザーの生産性を高めることを目指し、粒度の細かい具体的な内容にすることができます。Conditional Access policies can be granular and specific, with the goal to empower users to be productive wherever and whenever, but also protect your organization. このチュートリアルでは、ユーザーが Azure portal にサインインしたときに MFA を求める基本的な条件付きアクセス ポリシーを作成してみましょう。In this tutorial, let's create a basic Conditional Access policy to prompt for MFA when a user signs in to the Azure portal. このシリーズの後続のチュートリアルでは、リスクベースの条件付きアクセス ポリシーを使用して Azure AD Multi-Factor Authentication を構成します。In a later tutorial in this series, you configure Azure AD Multi-Factor Authentication using a risk-based Conditional Access policy.

まず、次のとおり条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てます。First, create a Conditional Access policy and assign your test group of users as follows:

  1. "グローバル管理者" のアクセス許可を持つアカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal using an account with global administrator permissions.

  2. Azure Active Directory を検索して選択し、左側のメニューから [セキュリティ] を選択します。Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.

  3. [条件付きアクセス] を選択し、 [+ 新しいポリシー] を選択します。Select Conditional Access, then choose + New policy.

  4. ポリシーの名前を入力します (例: MFA Pilot)。Enter a name for the policy, such as MFA Pilot.

  5. [割り当て][ユーザーとグループ] を選択し、 [ユーザーとグループの選択] をクリックします。Under Assignments, choose Users and groups, then the Select users and groups radio button.

  6. [ユーザーとグループ] のチェック ボックスをオンにし、 [選択] をクリックして、選択可能な Azure AD ユーザーとグループを参照します。Check the box for Users and groups, then Select to browse the available Azure AD users and groups.

  7. 使用する Azure AD グループ (MFA-Test-Group など) を参照して選択し、 [選択] を選択します。Browse for and select your Azure AD group, such as MFA-Test-Group, then choose Select.

    条件付きアクセス ポリシーで使用する Azure AD グループを選択する Select your Azure AD group to use with the Conditional Access policy

  8. グループに対して条件付きアクセス ポリシーを適用するには、 [完了] を選択します。To apply the Conditional Access policy for the group, select Done.

多要素認証の条件を構成するConfigure the conditions for multi-factor authentication

条件付きアクセス ポリシーを作成し、ユーザーのテスト グループを割り当てたら、ポリシーをトリガーするクラウド アプリまたはアクションを定義します。With the Conditional Access policy created and a test group of users assigned, now define the cloud apps or actions that trigger the policy. これらのクラウド アプリまたはアクションは、追加の処理 (MFA を求めるなど) が必要なシナリオとして、ご自身で決めることになります。These cloud apps or actions are the scenarios you decide require additional processing, such as to prompt for MFA. たとえば、財務アプリケーションへのアクセスまたは管理ツールの使用には、追加認証プロンプトが必要という方針にすることが考えられます。For example, you could decide that access to a financial application or use of management tools requires as an additional verification prompt.

このチュートリアルでは、ユーザーが Azure portal にサインインするときに MFA を要求するよう条件付きアクセス ポリシーを構成します。For this tutorial, configure the Conditional Access policy to require MFA when a user signs in to the Azure portal.

  1. [クラウド アプリまたは操作] を選択します。Select Cloud apps or actions. 条件付きアクセス ポリシーの適用先として、 [すべてのクラウド アプリ] または [アプリの選択] を選択できます。You can choose to apply the Conditional Access policy to All cloud apps or Select apps. 柔軟に、特定のアプリをポリシーから除外することもできます。To provide flexibility, you can also exclude certain apps from the policy.

    このチュートリアルでは、 [Include](対象) ページで [アプリの選択] をクリックします。For this tutorial, on the Include page, choose the Select apps radio button.

  2. [選択] を選択してから、使用可能なサインイン イベントの一覧を参照します。Choose Select, then browse the list of available sign-in events that can be used.

    このチュートリアルでは、Azure portal へのサインイン イベントにポリシーが適用されるよう [Microsoft Azure Management](Microsoft Azure の管理) を選択します。For this tutorial, choose Microsoft Azure Management so the policy applies to sign-in events to the Azure portal.

  3. 選択したアプリを適用するために、 [選択][完了] の順に選択します。To apply the select apps, choose Select, then Done.

    条件付きアクセス ポリシーの対象として [Microsoft Azure Management](Microsoft Azure の管理) アプリを選択する

アクセス制御を使用すると、アクセスの許可を得るためにユーザーが満たすべき要件を定義することができます (承認済みのクライアント アプリが必要、Hybrid Azure AD に参加済みのデバイスを使用、など)。Access controls let you define the requirements for a user to be granted access, such as needing an approved client app or using a device that's Hybrid Azure AD joined. このチュートリアルでは、Azure portal へのサインイン イベント時に MFA を要求するようにアクセスの制御を構成します。In this tutorial, configure the access controls to require MFA during a sign-in event to the Azure portal.

  1. [アクセス制御][許可] を選択し、 [アクセス権の付与] が選択されていることを確認します。Under Access controls, choose Grant, then make sure the Grant access radio button is selected.
  2. [多要素認証を要求する] チェック ボックスをオンにし、 [選択] を選択します。Check the box for Require multi-factor authentication, then choose Select.

構成がユーザーに及ぼす影響を確認したい場合、条件付きアクセス ポリシーを "レポート専用" に設定することができます。ポリシーをすぐには使用しない場合は、"オフ" に設定することもできます。Conditional Access policies can be set to Report-only if you want to see how the configuration would impact users, or Off if you don't want to the use policy right now. このチュートリアルでは、ユーザーのテスト グループが対象になっているので、ポリシーを有効にしたうえで、Azure AD Multi-Factor Authentication をテストしましょう。As a test group of users was targeted for this tutorial, lets enable the policy and then test Azure AD Multi-Factor Authentication.

  1. [ポリシーを有効にする] トグルを [オン] に設定します。Set the Enable policy toggle to On.
  2. 条件付きアクセス ポリシーを適用するには、 [作成] を選択します。To apply the Conditional Access policy, select Create.

Azure AD の Multi-Factor Authentication をテストするTest Azure AD Multi-Factor Authentication

条件付きアクセス ポリシーと Azure AD Multi-Factor Authentication が機能していることを確認しましょう。Let's see your Conditional Access policy and Azure AD Multi-Factor Authentication in action. まず、次のとおり MFA が求められないリソースにサインインします。First, sign in to a resource that doesn't require MFA as follows:

  1. InPrivate またはシークレット モードで新しいブラウザー ウィンドウを開き、https://account.activedirectory.windowsazure.com に移動します。Open a new browser window in InPrivate or incognito mode and browse to https://account.activedirectory.windowsazure.com
  2. 管理者ではないテスト ユーザー (testuser など) でサインインします。Sign in with your non-administrator test user, such as testuser. MFA を求めるプロンプトは表示されません。There's no prompt for you to complete MFA.
  3. ブラウザー ウィンドウを閉じます。Close the browser window.

今度は、Azure portal にサインインします。Now sign in to the Azure portal. Azure portal は、追加認証を要求するよう条件付きアクセス ポリシーで構成されているため、Azure AD Multi-Factor Authentication のプロンプトが表示されます。As the Azure portal was configured in the Conditional Access policy to require additional verification, you get an Azure AD Multi-Factor Authentication prompt.

  1. InPrivate または incognito モードで新しいブラウザー ウィンドウを開き、https://portal.azure.com に移動します。Open a new browser window in InPrivate or incognito mode and browse to https://portal.azure.com.

  2. 管理者ではないテスト ユーザー (testuser など) でサインインします。Sign in with your non-administrator test user, such as testuser. Azure AD Multi-Factor Authentication への登録とその使用を求められます。You're required to register for and use Azure AD Multi-Factor Authentication. プロンプトに従って手順を完了し、Azure portal にサインインできることを確認します。Follow the prompts to complete the process and verify you successfully sign in to the Azure portal.

    ブラウザーのプロンプトに従ったうえで、登録済みの多要素認証プロンプトでサインインする

  3. ブラウザー ウィンドウを閉じます。Close the browser window.

リソースをクリーンアップするClean up resources

このチュートリアルの中で構成した、Azure AD Multi-Factor Authentication を有効にする条件付きアクセス ポリシーを今後使用したくない場合は、次の手順に従ってポリシーを削除してください。If you no longer want to use the Conditional Access policy to enable Azure AD Multi-Factor Authentication configured as part of this tutorial, delete the policy using the following steps:

  1. Azure portal にサインインします。Sign in to the Azure portal.
  2. Azure Active Directory を検索して選択し、左側のメニューから [セキュリティ] を選択します。Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.
  3. [条件付きアクセス] を選択し、作成したポリシー (MFA Pilot など) を選択します。Select Conditional access, then choose the policy you created, such as MFA Pilot
  4. [削除] を選択し、ポリシーの削除を確定します。Choose Delete, then confirm you wish to delete the policy.

次のステップNext steps

このチュートリアルでは、選択したユーザーのグループを対象に、条件付きアクセス ポリシーを使用して Azure AD Multi-Factor Authentication を有効にしました。In this tutorial, you enabled Azure AD Multi-Factor Authentication using Conditional Access policies for a selected group of users. 以下の方法を学習しました。You learned how to:

  • Azure AD ユーザーのグループに対して Azure AD Multi-Factor Authentication を有効にする条件付きアクセス ポリシーを作成するCreate a Conditional Access policy to enable Azure AD Multi-Factor Authentication for a group of Azure AD users
  • MFA を求めるポリシーの条件を構成するConfigure the policy conditions that prompt for MFA
  • ユーザーとして MFA プロセスをテストするTest the MFA process as a user