PAM または SSPR をアクティブ化するために Azure Multi-Factor Authentication Server を使用する

次のドキュメントでは、ユーザーが Privileged Access Management またはセルフサービス パスワード リセット でロールをアクティブ化したとき、セキュリティの第 2 の層として、Azure MFA Server を設定する方法について説明します。

重要

Azure Multi-Factor Authentication (MFA) ソフトウェア開発キット (SDK) の廃止により、お客様は Azure MFA SDK をダウンロードできなくなります。

以下の記事では、構成の更新と、Azure MFA SDK から Azure MFA SDK への移行を有効にする手順の概要をAzure MFA Server。

必須コンポーネント

MIM で Azure Multi-Factor Authentication Server を使用するには、次が必要です。

  • PAM および SSPR を提供する各 MIM サービスまたは MFA Server から Azure MFA サービスにアクセスするためのインターネット アクセス
  • Azure サブスクリプション
  • インストールで既に Azure MFA SDK を使用中
  • Azure Active Directory Premiumユーザーのライセンスを取得する
  • 全候補ユーザーの電話番号
  • MIM 修正プログラム 4.5 以降。アナウンスは、「バージョン履歴」でご確認ください。

Azure Multi-Factor Authentication Server の構成

注意

この構成には、SDK に有効な SSL 証明書をインストールする必要があります。

手順 1: Azure Multi-Factor Authentication Server をダウンロードAzure portal

Azure portal にサインインし、Azure MFA サーバーをダウンロードします。 working-with-mfaserver-for-mim_downloadmfa

手順 2: アクティブ化資格情報を生成する

[Generate activation credentials to initiate use]\(アクティブ化資格情報を生成して使用を開始します\) のリンクを使用し、アクティブ化資格情報を生成します。 生成したら、後で使用するために保存します。

手順 3: Azure Multi-Factor Authentication Server をインストールする

サーバーをダウンロードしたら、それをインストールします。 ユーザーのアクティブ化資格情報が必要です。

手順 4: SDK をホストする IIS Web アプリケーションを作成する

  1. IIS マネージャー を開 working-with-mfaserver-for-mim_iis.PNG
  2. 新しい Web サイト呼び出し "MIM MFASDK" を作成し、空のディレクトリ にリンクworking-with-mfaserver-for-mim_sdkweb.PNG
  3. Multi-Factor Authentication Console を開き、[Web Service SDK] を  クリックworking-with-mfaserver-for-mim_sdkinstall.PNG
  4. ウィザードで構成をクリックします。"MIM MFASDK" とアプリ プールを選択します。

注意

ウィザードで管理グループの作成が求められます。 詳細については、Azure MFA Azure のドキュメント >> をMulti-Factor Authentication Serverしてください。

  1. 次いで MIM サービス アカウントをインポートする必要があります。Multi-Factor Authentication コンソールを開き、[ユーザー] を選択します。a. [Active Directory からインポート] をクリックします。b. "contoso\mimservice" c などのサービス アカウントに移動します。 [インポート] と [閉working-with-mfaserver-for-mim_importmimserviceaccount.PNGじる]
  2. Multi-Factor Authentication Console MIMで有効にするサービス アカウントを編集working-with-mfaserver-for-mim_enableserviceaccount.PNG
  3. "MIM MFASDK" Web サイトで IIS 認証を更新します。 まず、"匿名認証" を無効にしてから、[認証を有効にする] Windowsを無効working-with-mfaserver-for-mim_iisconfig.PNG
  4. 最後の手順: "PhoneFactor Admins" MIMサービス アカウントを追加working-with-mfaserver-for-mim_addservicetomfaadmin.PNG

Azure Multi-Factor Authentication Server 用に MIM サービスを構成する

手順 1: サーバーに修正プログラム 4.5.202.0 を適用する

手順 2: "C:\Program Files\Microsoft Forefront Identity Manager\2010\Service" にある MfaSettings.xml をバックアップして開く

手順 3: 次の行を更新する

  1. 次の構成の入力行を削除/クリアする
    <LICENSE_KEY >< /LICENSE_KEY>
    <GROUP_KEY >< /GROUP_KEY>
    <CERT_PASSWORD >< /CERT_PASSWORD>

  2. 次の行を、次の MfaSettings.xml で更新するか追加する
    <Username>mimservice@contoso.com</Username>
    <LOCMFA>true</LOCMFA>
    <LOCMFASRV>https://CORPSERVICE.contoso.com:9999/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx</LOCMFASRV>

  3. MIM サービスを再起動し、Azure Multi-Factor Authentication Server で機能をテストします。

注意

設定を戻すには、手順 2 のバックアップ ファイルと MfaSettings.xml を置き換えます。

関連項目