Azure MFA を使用したアクティブ化Using Azure MFA for activation

重要

Azure Multi-factor Authentication ソフトウェア開発キットの廃止予定が発表されました。Due to the announcement of Deprecation of Azure Multi-Factor Authentication Software Development Kit. Azure MFA SDK は、既存のお客様向けに 2018 年 11 月 14 日の提供終了日までサポートされます。The Azure MFA SDK will be supported for existing customers up until the retirement date of November 14, 2018. 新規および現在のお客様は、それ以降 Azure クラシック ポータルから SDK をダウンロードできなくなります。New customers and current customers will not be able to download SDK anymore via the Azure classic portal. ダウンロードするには、Azure カスタマー サポートに連絡して、生成された MFA サービス資格情報のパッケージを受け取る必要があります。To download you will need to reach out to Azure customer support to receive your generated MFA Service Credentials package.
Microsoft の開発チームは、MFA サーバーの SDK を統合することによる MFA への変更に取り組んでいます。The Microsoft development team is working on changes to MFA by integrating with MFA Server SDK. この変更は今後の修正プログラムに含まれます。アナウンスについてはバージョン履歴をご覧ください。This will be included in an upcoming hotfix please see version history for announcements.

PAM ロールを構成するときは、ロールのアクティブ化を要求するユーザーを承認する方法を選択できます。When configuring a PAM role, you can choose how to authorize users that request to activate the role. PAM の認証アクティビティの実装には、以下の選択肢があります。The choices that the PAM authorization activity implements are:

どちらのチェックも有効ではない場合、候補ユーザーは各自のロールに対して自動的にアクティブになります。If neither check is enabled, candidate users are automatically activated for their role.

Microsoft Azure Multi-Factor Authentication (MFA) は、ユーザーがモバイル アプリ、電話、またはテキスト メッセージを使用してサインイン試行を確認する必要がある認証サービスです。Microsoft Azure Multi-Factor Authentication (MFA) is an authentication service that requires users to verify their sign-in attempts by using a mobile app, phone call, or text message. Microsoft Azure Active Directory での利用が可能で、クラウドとオンプレミスのエンタープライズ アプリケーション用のサービスとして使用できます。It is available to use with Microsoft Azure Active Directory, and as a service for cloud and on-premises enterprise applications. PAM のシナリオでは、Azure MFA には、追加の認証メカニズムがあります。For the PAM scenario, Azure MFA provides an additional authentication mechanism. ユーザーが以前に Windows PRIV ドメインで使用していた認証方法に関係なく、認証で Azure MFA を使用できます。Azure MFA can be used for authorization, regardless of how a user authenticated to the Windows PRIV domain.

必要条件Prerequisites

MIM で Azure MFA を使用するには、次の項目が必要です。In order to use Azure MFA with MIM, you need:

  • Azure MFA サービスと通信するための、PAM を提供している各 MIM サービスからのインターネット アクセスInternet access from each MIM Service providing PAM, to contact the Azure MFA service
  • Azure サブスクリプションAn Azure subscription
  • 候補ユーザー用の Azure Active Directory Premium ライセンス、またはその他 Azure MFA のライセンス許諾を受ける方法Azure Active Directory Premium licenses for candidate users, or an alternate means of licensing Azure MFA
  • 全候補ユーザーの電話番号Phone numbers for all candidate users

Azure MFA プロバイダーの作成Creating an Azure MFA Provider

ここでは、Microsoft Azure Active Directory に Azure MFA プロバイダーを設定します。In this section, you set up your Azure MFA provider in Microsoft Azure Active Directory.  すでに Azure MFA をスタンドアロンで使用している場合、または Azure Active Directory Premium を使用して構成している場合は、次のセクションに進んでください。  If you are already using Azure MFA, either standalone or configured with Azure Active Directory Premium, skip to the next section.

  1. Web ブラウザーを開いて、Azure サブスクリプション管理者として Azure クラシック ポータルに接続します。Open a web browser and connect to the Azure classic portal as an Azure subscription administrator.

  2. 左下隅の [新規] をクリックします。In the bottom left hand corner, click New.

  3. [App Services] > [Active Directory] > [多要素認証プロバイダー] > [簡易作成] をクリックします。Click App Services > Active Directory > Multi-Factor Auth Provider > Quick Create.

  4. [名前] フィールドに「 PAM」と入力し、[使用モデル] フィールドで [有効化されたユーザーごと] を選択します。In the Name field, enter PAM, and in the Usage Model field, select Per Enabled User. Azure AD ディレクトリが既にある場合は、そのディレクトリを選択します。If you have an Azure AD directory already, select that directory. 最後に [作成] をクリックします。Finally, click Create.

Azure MFA サービス資格情報のダウンロードDownloading the Azure MFA Service Credentials

次に、Azure MFA に接続するために PAM の認証情報を含むファイルを生成します。Next, you’ll generate a file that includes the authentication material for PAM to contact Azure MFA.

  1. Web ブラウザーを開いて、Azure サブスクリプション管理者として Azure クラシック ポータルに接続します。Open a web browser and connect to the Azure classic portal as an Azure subscription administrator.

  2. Azure ポータル メニューの [Active Directory] をクリックして、 [多要素認証プロバイダー] タブをクリックします。Click Active Directory in the Azure Portal menu, and then click the Multi-Factor Auth Providers tab.

  3. PAM で使用する Azure MFA プロバイダーをクリックして、 [管理] をクリックします。Click on the Azure MFA provider you'll be using for PAM, and then click Manage.

  4. 新しいウィンドウの左側のパネルで [構成] をクリックし、 [設定] をクリックします。In the new window, on the left panel, under Configure, click on Settings.

  5. [Azure Multi-factor Authentication] ウィンドウで、 [ダウンロード] の下の [SDK] をクリックします。In the Azure Multi-Factor Authentication window, click SDK under Downloads.

  6. 言語 ASP.net 2.0 C に対応する SDK# ファイルの [ZIP] 列の [ダウンロード] リンクをクリックします。Click the Download link in the ZIP column for the file with language SDK for ASP.net 2.0 C#.

Multi-Factor Authentication SDK のダウンロード - スクリーンショット

  1. MIM サービスがインストールされている各システムに、ダウンロードした ZIP ファイルをコピーします。Copy the resulting ZIP file to each system where MIM Service is installed. 

注意

ZIP ファイルには Azure MFA サービスへの認証に使用されるキー生成情報が含まれています。The ZIP file contains keying material which is used to authenticate to the Azure MFA service.

Azure MFA の MIM サービスの構成Configuring the MIM Service for Azure MFA

  1. MIM サービスがインストールされているコンピューターで、管理者または MIM をインストールしたユーザーとしてサインインします。On the computer where the MIM Service is installed, sign in as an administrator or as the user who installed MIM.

  2. C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts などの MIM サービスがインストールされたディレクトリの下に、新しいディレクトリ フォルダーを作成します。Create a new directory folder under the directory where the MIM Service was installed, such as C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts.

  3. エクスプローラーを使用して、前のセクションでダウンロードした ZIP ファイルの pf\certs フォルダーに移動します。Using Windows Explorer, navigate into the pf\certs folder of the ZIP file downloaded in the previous section. ファイル cert\_key.p12 を新しいディレクトリにコピーします。Copy the file cert\_key.p12 to the new directory.

  4. エクスプローラーを使用して、ZIP の pf フォルダーに移動し、ファイル pf\_auth.cs を Wordpad などのテキスト エディターで開きます。Using Windows Explorer, navigate into the pf folder of the ZIP, and open the file pf\_auth.cs in a text editor like Wordpad.

  5. LICENSE\_KEYGROUP\_KEYCERT\_PASSWORD の 3 つのパラメーターを探します。Find these three parameters: LICENSE\_KEY, GROUP\_KEY, CERT\_PASSWORD.

pf_auth.cs ファイルの値のコピー - スクリーン ショット

  1. メモ帳を使用して、C:\Program Files\Microsoft Forefront Identity Manager\2010\Service にある MfaSettings.xml を開きます。Using Notepad, open MfaSettings.xml located in C:\Program Files\Microsoft Forefront Identity Manager\2010\Service.

  2. pf_auth.cs ファイルの LICENSE_KEY、GROUP_KEY、および CERT_PASSWORD の各パラメーターの値を、MfaSettings.xml ファイル内で対応するそれぞれの xml 要素にコピーします。Copy the values from the LICENSE_KEY, GROUP_KEY, and CERT_PASSWORD parameters in the pf_auth.cs file into their respective xml elements in the MfaSettings.xml file.

  3. XML 要素で、先ほど抽出した cert_key.p12 ファイルの完全パス名を指定します。In the XML element, specify the full path name of the cert_key.p12 file extracted earlier.

  4. 要素にユーザー名を入力します。In the element enter any username.

  5. 要素にユーザーがダイヤルする国コード (たとえば米国およびカナダの場合は 1) を入力します。In the element enter the country code for dialing your users, such as 1 for the United States and Canada. この値は、ユーザーが登録している電話番号に国コードがない場合に使用されます。This value is used in case users are registered with telephone numbers that do not have a country code. ユーザーの電話番号に、組織で構成された国コードとは異なるコードがある場合は、その国コードを登録する電話番号に含める必要があります。If a user’s phone number has an international country code distinct from that configured for the organization, then that country code must be included in the phone number that will be registered.

  6. MIM サービス フォルダー C:\Program Files\Microsoft Forefront Identity Manager\2010\\ServiceMfaSettings.xml を保存して上書きします。Save and overwrite the MfaSettings.xml file in the MIM Service folder C:\Program Files\Microsoft Forefront Identity Manager\2010\\Service.

注意

プロセスの最後に、ファイル MfaSettings.xml またはそのコピー、あるいは ZIP ファイルが読み取り可能ではないことを確認します。At the end of the process, ensure that the file MfaSettings.xml, or any copies of it or the ZIP file are not publically readable.

Azure MFA 用に PAM ユーザーを構成するConfigure PAM users for Azure MFA

Azure MFA を必要とするロールをアクティブ化するユーザーについては、そのユーザーの電話番号を MIM に格納する必要があります。For a user to activate a role that requires Azure MFA, the user's telephone number must be stored in MIM. この属性は 2 通りの方法で設定します。There are two ways this attribute is set.

1 つ目は、New-PAMUser コマンドにより、電話番号属性を CORP ドメインのユーザーのディレクトリ エントリから MIM サービス データベースにコピーする方法です。First, the New-PAMUser command copies a phone number attribute from the user's directory entry in CORP domain, to the MIM Service database. これは、1 回限りの操作であることに注意してください。Note that this is a one-time operation.

2 つ目は、Set-PAMUser コマンドにより、MIM サービス データベース内の電話番号属性を更新する方法です。Second, the Set-PAMUser command updates the phone number attribute in the MIM Service database. たとえば、次の内容は、MIM サービス内の既存の PAM ユーザーの電話番号を置換します。For example, the following replaces an existing PAM user's phone number in the MIM Service. そのディレクトリ エントリは変更されません。Their directory entry is unchanged.

Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212

Azure MFA 用に PAM ロールを構成するConfigure PAM roles for Azure MFA

PAM ロールの候補ユーザーすべての電話番号を MIM サービス データベースに格納すると、Azure MFA を必要とするようにロールを構成できます。Once all of the candidate users for a PAM role have their telephone numbers stored in the MIM Service database, the role can be configured to require Azure MFA. これは、New-PAMRole コマンドまたは Set-PAMRole コマンドを使用して行います。This is done using the New-PAMRole or Set-PAMRole commands. 例:For example,

Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1

Set-PAMRole コマンドにパラメーター "-MFAEnabled 0" を指定すると、ロールに対して Azure MFA を無効にすることができます。Azure MFA can be disabled for a role by specifying the parameter "-MFAEnabled 0" in the Set-PAMRole command.

トラブルシューティングTroubleshooting

Privileged Access Management のイベント ログには、次のイベントが記録されます。The following events can be found in the Privileged Access Management event log:

IDID 重大度Severity 生成元Generated by 説明Description
101101 エラーError MIM サービスMIM Service Azure MFA を完了しなかったユーザー (たとえば、電話に応答しなかった)User did not complete Azure MFA (e.g., did not answer the phone)
103103 説明Information MIM サービスMIM Service アクティブ化の際に Azure MFA を完了したユーザーUser completed Azure MFA during activation
825825 警告Warning PAM 監視サービスPAM Monitoring Service 電話番号が変更されたTelephone number has been changed

電話に失敗した (イベント 101) 理由について確認するには、Azure MFA からレポートを表示またはダウンロードできます。To find out more information about failing telephone calls (event 101), you can also view or download a report from Azure MFA.

  1. Web ブラウザーを開いて、Azure AD 全体管理者として Azure クラシック ポータルに接続します。Open a web browser and connect to the Azure classic portal as an Azure AD global administrator.

  2. Azure ポータル メニューの [Active Directory] を選択して、 [多要素認証プロバイダー] タブを選択します。Select Active Directory in the Azure Portal menu, and then select the Multi-Factor Auth Providers tab.

  3. PAM で使用する Azure MFA プロバイダーを選択して、 [管理] をクリックします。Select the Azure MFA provider you're using for PAM, and then click Manage.

  4. 新しいウィンドウで、 [使用状況][ユーザーの詳細] の順にクリックします。In the new window, click Usage, then click User Details.

  5. 時間の範囲を選択して、追加のレポート列の [名前] の隣のチェックボックスをオンにします。Select the time range, and check the box by the Name in the additional report column. [CSV にエクスポート] をクリックします。Click Export to CSV.

  6. レポートが生成されたら、それをポータルで表示したり、MFA レポートが大きい場合は CSV ファイルにダウンロードしたりすることができます。When the report has been generated, you can view it in the portal or, if the MFA report is extensive, download it to a CSV file. AUTH TYPE 列の SDK の値は、PAM のアクティブ化要求と関連する行を示します。これは MIM またはその他のオンプレミス ソフトウェアから送信されたイベントです。SDK values in the AUTH TYPE column indicate rows that are relevant as PAM activation requests: these are events originating from MIM or other on-premises software. USERNAME フィールドは、MIM サービス データベース内のユーザー オブジェクトの GUID です。The USERNAME field is the GUID of the user object in the MIM service database. 呼び出しが失敗すると、AUTHD 列の値は No となり、CALL RESULT 列には失敗理由の詳細が格納されます。If a call was unsuccessful, the value in the AUTHD column will be No and the value of the CALL RESULT column will contain the details of the failure reason.

次の手順Next Steps