MIM PAM でのアクティブ化に Azure MFA を使用する

重要

以前のバージョンの MIM は、azure Multi-Factor Authentication (mfa) ソフトウェア開発キット (SDK) を使用して azure MFA と統合していました。 azure mfa sdk が廃止されたため、既存および新規の MIM のお客様は azure mfa sdk をダウンロードできなくなります。 Azure mfa SDK の代わりに Azure MFA Server を使用する方法について は、「PAM または SSPR での AZURE Mfa server の使用」を参照してください。

PAM ロールを構成するときは、ロールのアクティブ化を要求するユーザーを承認する方法を選択できます。 PAM の認証アクティビティの実装には、以下の選択肢があります。

どちらのチェックも有効ではない場合、候補ユーザーは各自のロールに対して自動的にアクティブになります。

Microsoft Azure Multi-Factor Authentication (MFA) は、ユーザーがモバイル アプリ、電話、またはテキスト メッセージを使用してサインイン試行を確認する必要がある認証サービスです。 Microsoft Azure Active Directory での利用が可能で、クラウドとオンプレミスのエンタープライズ アプリケーション用のサービスとして使用できます。 PAM のシナリオでは、Azure MFA には、追加の認証メカニズムがあります。 ユーザーが以前に Windows PRIV ドメインで使用していた認証方法に関係なく、認証で Azure MFA を使用できます。

Note

MIM によって提供される要塞環境での PAM アプローチは、インターネットアクセスが利用できない分離環境、規制によってこの構成が必要とされる分離環境、またはオフラインの調査研究所や切断された運用テクノロジや、監督制御やデータ取得環境などの高影響分離環境で使用することを目的としています。 Azure MFA はインターネットサービスであるため、このガイダンスは、既存の MIM PAM のお客様、またはこの構成が規制によって必要とされる環境においてのみ提供されます。 Active Directory がインターネットに接続された環境の一部である場合、開始する場所の詳細については、「 特権アクセスのセキュリティ保護 」を参照してください。

前提条件

MIM PAM で Azure MFA を使用するには、次のものが必要です。

  • Azure MFA サービスと通信するための、PAM を提供している各 MIM サービスからのインターネット アクセス
  • Azure サブスクリプション
  • Azure MFA
  • 候補ユーザーのライセンスを Azure Active Directory Premium
  • 全候補ユーザーの電話番号

Azure MFA サービス資格情報のダウンロード

以前は、azure mfa に接続するための MIM の認証情報が含まれている azure mfa SDK の ZIP ファイルをダウンロードしています。 ただし、Azure mfa SDK は使用できなくなったため、Azure mfa Server の使用方法については、「 PAM または SSPR での AZURE Mfa server の使用 」を参照してください。

Azure MFA の MIM サービスの構成

  1. MIM サービスがインストールされているコンピューターで、管理者または MIM をインストールしたユーザーとしてサインインします。

  2. C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts などの MIM サービスがインストールされたディレクトリの下に、新しいディレクトリ フォルダーを作成します。

  3. エクスプローラーを使用して、前のセクションでダウンロードした ZIP ファイルの pf\certs フォルダーに移動します。 ファイル cert\_key.p12 を新しいディレクトリにコピーします。

  4. Windows エクスプローラーを使用して、 pf ZIP のフォルダーに移動し、メモ帳の pf\_auth.cs ようなテキストエディターでファイルを開きます。

  5. LICENSE\_KEYGROUP\_KEYCERT\_PASSWORD の 3 つのパラメーターを探します。

Pf_auth .cs ファイルから値をコピーする-スクリーンショット

  1. メモ帳を使用して、 にある MfaSettings.xml を開きます。

  2. Pf_auth ファイルの LICENSE_KEY、GROUP_KEY、および CERT_PASSWORD パラメーターの値を、MfaSettings.xml ファイル内のそれぞれの xml 要素にコピーします。

  3. XML 要素で、前に抽出した cert_key p12 ファイルの完全なパス名を指定します。

  4. 要素にユーザー名を入力します。

  5. 要素にユーザーがダイヤルする国コード (たとえば米国およびカナダの場合は 1) を入力します。 この値は、ユーザーが登録している電話番号に国コードがない場合に使用されます。 ユーザーの電話番号に、組織で構成された国コードとは異なるコードがある場合は、その国コードを登録する電話番号に含める必要があります。

  6. MIM サービス フォルダー MfaSettings.xml を保存して上書きします。

Note

プロセスの最後に、ファイル MfaSettings.xml またはそのコピー、あるいは ZIP ファイルが読み取り可能ではないことを確認します。

Azure MFA 用に PAM ユーザーを構成する

Azure MFA を必要とするロールをアクティブ化するユーザーについては、そのユーザーの電話番号を MIM に格納する必要があります。 この属性は 2 通りの方法で設定します。

1 つ目は、New-PAMUser コマンドにより、電話番号属性を CORP ドメインのユーザーのディレクトリ エントリから MIM サービス データベースにコピーする方法です。 これは、1 回限りの操作であることに注意してください。

2 つ目は、Set-PAMUser コマンドにより、MIM サービス データベース内の電話番号属性を更新する方法です。 たとえば、次の内容は、MIM サービス内の既存の PAM ユーザーの電話番号を置換します。 そのディレクトリ エントリは変更されません。

Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212

Azure MFA 用に PAM ロールを構成する

PAM ロールの候補ユーザーすべての電話番号を MIM サービス データベースに格納すると、Azure MFA を必要とするようにロールを構成できます。 これは、New-PAMRole コマンドまたは Set-PAMRole コマンドを使用して行います。 たとえば、オブジェクトに適用された

Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1

Set-PAMRole コマンドにパラメーター "-MFAEnabled 0" を指定すると、ロールに対して Azure MFA を無効にすることができます。

トラブルシューティング

Privileged Access Management のイベント ログには、次のイベントが記録されます。

id 重大度 生成元 説明
101 エラー MIM サービス Azure MFA を完了しなかったユーザー (たとえば、電話に応答しなかった)
103 Information MIM サービス アクティブ化の際に Azure MFA を完了したユーザー
825 警告 PAM 監視サービス 電話番号が変更された

次の手順