IIS Web アプリの Azure Multi-Factor Authentication Server の構成

  • [アーティクル]

Azure Multi-Factor Authentication (MFA) Server の [IIS 認証] セクションを使用して、IIS 認証を有効にし、Microsoft IIS Web アプリケーションと統合するように構成できます。 Azure Multi-Factor Authentication Server は、Azure Multi-Factor Authentication を追加するために、IIS Web サーバーに対して行われる要求をフィルター処理できるプラグインをインストールします。 IIS プラグインは、フォームベースの認証と統合 Windows HTTP 認証のサポートを提供します。 さらに、信頼できる IP を構成して、内部 IP アドレスを 2 要素認証から除外できます。

重要

2022 年 9 月、Microsoft は Azure Multi-Factor Authentication Server の廃止を発表しました。 2024 年 9 月 30 日以降、Azure Multi-Factor Authentication Server のデプロイでは、多要素認証 (MFA) 要求機能が提供されなくなり、組織で認証が失敗する可能性があります。 認証サービスが中断されないようにして、サポートされた状態を維持するために、組織は、最新の Azure Multi-Factor Authentication Server 更新プログラムに含まれている最新の移行ユーティリティを使用して、クラウドベースの Azure AD Multi-Factor Authentication サービスにユーザーの認証データを移行する必要があります。 詳細については、Azure Multi-Factor Authentication Server の移行に関する記事を参照してください。

クラウドベースの MFA の使用を開始するには、「チュートリアル: Azure Multi-Factor Authentication を使用してユーザーのサインイン イベントのセキュリティを確保する」を参照してください。

クラウドベースの Azure Multi-Factor Authentication を使用する場合、Azure Multi-Factor Authentication (MFA) Server によって提供される IIS プラグインに代わる方法はありません。 代わりに、Web アプリケーション プロキシ (WAP) を Active Directory フェデレーション サービス (AD FS) または Microsoft Entra のアプリケーション プロキシと共に使用します。

IIS Authentication in MFA Server

Azure Multi-Factor Authentication Server でフォームベースの IIS 認証を使用する

フォームベースの認証を使用する IIS Web アプリケーションをセキュリティで保護するには、IIS Web サーバーに Azure Multi-Factor Authentication Server をインストールし、次の手順に従って Server を構成します。

  1. Azure Multi-Factor Authentication Server で、左側のメニューの [IIS 認証] アイコンをクリックします。

  2. [フォームベース] タブをクリックします。

  3. [追加] をクリックします。

  4. ユーザー名、パスワード、およびドメインの変数を自動的に検出するには、[フォームベースの Web サイトの自動構成] ダイアログ ボックス内でログイン URL (例: https://localhost/contoso/auth/login.aspx) を入力し、 [OK] をクリックします。

  5. すべてのユーザーを Server にインポート済みであるか、インポートする予定であり、多要素認証の対象となる場合は、 [Multi-Factor Authentication のユーザー照合が必要] チェック ボックスをオンにします。 かなりのユーザーがまだこのサーバーにインポートされていないか、多要素認証から除外される予定であるか、あるいはその両方である場合、ボックスのチェック マークを外したままにします。

  6. ページ変数を自動的に検出できない場合は、[フォームベースの Web サイトの自動構成] ダイアログ ボックスの [手動で指定] をクリックします。

  7. [フォームベースの Web サイトの追加] ダイアログ ボックスで、ログイン ページの URL を [送信 URL] フィールドに入力し、アプリケーション名 (省略可能) を入力します。 アプリケーション名は Azure Multi-Factor Authentication レポートに表示され、SMS またはモバイル アプリの認証メッセージにも表示される場合があります。

  8. 適切な要求の形式を選択します。 ほとんどの Web アプリケーションでは、これは POST または GET に設定されます。

  9. ユーザー名変数、パスワード変数、ドメイン変数を入力します ([ログイン] ページに表示される場合)。 入力ボックスの名前を検索するには、Web ブラウザーでログイン ページに移動し、ページを右クリックして [ソースの表示] を選択します。

  10. すべてのユーザーを Server にインポート済みであるか、インポートする予定であり、多要素認証の対象となる場合は、 [Multi-Factor Authentication のユーザー照合が必要] チェック ボックスをオンにします。 かなりのユーザーがまだこのサーバーにインポートされていないか、多要素認証から除外される予定であるか、あるいはその両方である場合、ボックスのチェック マークを外したままにします。

  11. [詳細設定] をクリックして、次の詳細設定を確認します。

    • カスタム拒否ページ ファイルの選択
    • Cookie を使用して、Web サイトへの成功した認証を一定期間キャッシュします。
    • Windows ドメイン、LDAP ディレクトリ、または RADIUS サーバーに対してプライマリ資格情報を認証するかどうかを 選択します。

  12. [OK] をクリックして、[フォームベースの Web サイトの追加] ダイアログ ボックスに戻ります。

  13. [OK] をクリックします。

  14. URL とページの変数が検出または入力されたら、フォームベースのパネルにその Web サイトのデータが表示されます。

統合 Windows 認証と Azure Multi-Factor Authentication Server を使用する

統合 Windows HTTP 認証を使用する IIS Web アプリケーションを保護するには、IIS Web サーバーに Azure Multi-Factor Authentication Server をインストールし、次の手順で Server を構成します。

  1. Azure Multi-Factor Authentication Server で、左側のメニューの [IIS 認証] アイコンをクリックします。
  2. [HTTP] タブをクリックします。
  3. [追加] をクリックします。
  4. [ベース URL の追加] ダイアログ ボックスで、HTTP 認証が実行される Web サイトの URL (例: http://localhost/owa) を入力し、アプリケーション名 (省略可能) を指定します。 アプリケーション名は Azure Multi-Factor Authentication レポートに表示され、SMS またはモバイル アプリの認証メッセージにも表示される場合があります。
  5. 既定値では不十分な場合は、アイドル タイムアウトと最大セッション時間を調整します。
  6. すべてのユーザーを Server にインポート済みであるか、インポートする予定であり、多要素認証の対象となる場合は、 [Multi-Factor Authentication のユーザー照合が必要] チェック ボックスをオンにします。 かなりのユーザーがまだこのサーバーにインポートされていないか、多要素認証から除外される予定であるか、あるいはその両方である場合、ボックスのチェック マークを外したままにします。
  7. 必要に応じて、 [Cookie のキャッシュ] チェック ボックスをオンにします。
  8. [OK] をクリックします。

Azure Multi-Factor Authentication Server の IIS プラグインを有効にする

フォームベースまたは HTTP 認証 URL と設定を構成したら、Azure Multi-Factor Authentication の IIS プラグインを読み込んで IIS で有効にする必要がある場所を選択します。 次の手順に従います。

  1. IIS 6 で実行する場合は、[ISAPI] タブをクリックし、Web アプリケーションが実行されている Web サイト (例: 既定の Web サイト) を選び、そのサイトに対して Azure Multi-Factor Authentication の ISAPI フィルター プラグインを有効にします。
  2. IIS 7 以降で実行する場合は、 [ネイティブ モジュール] タブをクリックします。希望のレベルで IIS プラグインを有効にするサーバー、Web サイト、またはアプリケーションを選択します。
  3. 画面上部にある [IIS 認証を有効にする] ボックスをクリックします。 これで、Azure Multi-Factor Authentication で、選択された IIS アプリケーションが保護されるようになりました。 ユーザーが Server にインポートされていることを確認してください。

信頼できる IP

信頼される IP は、特定の IP アドレスまたはサブネットから発生する Web サイト要求に関して、ユーザーが Azure Multi-Factor Authentication をバイパスできるようにします。 たとえば、社内からのログイン中は、Azure Multi-Factor Authentication からユーザーを除外することもできます。 その場合、社内のサブネットを信頼できる IP エントリとして指定できます。 信頼できる IP を構成するには、次の手順に従います。

  1. [IIS 認証] セクションで、 [信頼できる IP] タブをクリックします。
  2. [追加] をクリックします。
  3. [信頼できる IP の追加] ダイアログ ボックスが表示されたら、 [単一 IP][IP 範囲] 、または [サブネット] をクリックします。
  4. 許可される IP アドレス、IP アドレスの範囲、またはサブネットを入力します。 サブネットを入力する場合は、適切なネットマスクを選択し、 [OK] をクリックします。