Windows Azure Active Authentication: セキュリティとコンプライアンスのための多要素認証

Posted: 2013/06/13 カテゴリー: Uncategorized
タグ:, , , , ,

本日、かなりクールなお知らせがあります! 我々は、新しいWindows Azure Active Authenticatonサービスのプレビューをリリースしました。数か月前、Windows Azure AD (Active Directory) 全体管理者向けに多要素認証を有効化する方法を紹介しました (英語 / 日本語)。今回のプレビューには、社員、お客様、パートナーのすべてに、高度なスマートフォン ベースの2要素認証のオプションを提供する機能があります。

企業は、このプレビューを使って、Windows Azure Active DirectoryのすべてのIDに対して多要素認証を有効化し、Office 365、Windows Azure、Windows Intune、Dynamics CRM Online、およびWindows Azure ADに統合された他の多数のアプリケーションへのアクセスをセキュリティで保護できるようになりました。加えて、開発者は、Active Authentication SDKを使って、カスタムのアプリケーションやディレクトリに対する多要素認証を構築できます。

作業の開始

自分のWindows Azure Active Directoryテナントで多要素認証を使い始めるには、最初にActive Authenticationサービスを追加する必要があります。これを行うには:

  • 管理者として、Windows Azure管理ポータルにサインインします。
  • Active Directoryページで、上部の「Active Authenticationプロバイダー」を選択します。
  • ページ下部のトレイで、「新規」をクリックします。

1

図1: Active Authenticationプロバイダー タブ

  • アプリ サービス」で「Active Authenticationプロバイダー」を選択し、「簡易作成」を選択します。

2

図2: プロバイダーの新規追加

  • 次のフィールドに入力し、完了したら「作成」を選択します。
  1. 名前: (課金モデルを関連付けるための) Active Authenticationプロバイダーの名前。例:「Messaging DEMO」
  2. 使用モデル: 「有効化されたユーザーごと」または「認証ごと」から、好きな使用モデルを選択します。これによって、この認証プロバイダーの課金モデルが、ユーザーごと、または認証ごとに設定されます。
    注: 使用モデルと料金については、こちらをご覧ください (英語 / 日本語 (機械翻訳))。
  3. ディレクトリ: Active Authenticationプロバイダーが使われるWindows Azure Active Directoryテナントを入力します。例:「Contoso Demo」

3

図3: 認証プロバイダー簡易作成フォームの完了

  • 「作成」をクリックすると、Active Authenticationプロバイダーが作成され、「Active Authentication プロバイダーが正常に作成されました」というメッセージが表示されるはずです。
  • OK」をクリックします。

これで、Active Authenticationがプロビジョニングされ、使う準備ができました。次に、どのユーザーでActive Authenticationを有効化するかを構成しましょう。

特定のユーザーでの多要素認証の有効化

  • 左の「Active Directory」タブをクリックします。
  • 「Active Directory」ヘッダー直下の「ディレクトリ」タブをクリックします。
  • Windows Azure ADテナントをクリックします。
  • ユーザー」ページで、有効化したいユーザーをクリックします。
  • 多要素認証が必要です」チェックボックスを選択します。

4

図4: ユーザーに対する2要素認証のアクティブ化

管理作業は完了しました。かなり簡単でしょう?

Windows Azure Active Authenticationサービスでのサインイン

あるユーザーに対してActive Authenticationが有効化されると、次回、そのユーザーがWindows Azure ADを使うサービスにサインインする際に、次の多要素認証方式の1つを選択/構成するよう求められます:

  • アプリ通知 – Active Authenticationスマートフォン アプリを使います。
  • アプリ ワンタイム パスワード (OTP) – Active Authenticationスマートフォン アプリでワンタイム パスワードを使います。
  • 電話 – 携帯電話、または固定電話への電話。
  • テキスト メッセージ – 携帯電話に送信されるテキスト メッセージ。

この自動登録機能によって、多要素認証のデプロイがITプロにとって簡単で手間のかからないものになる一方で、自分のニーズに合った一次方式を構成する柔軟性をエンド ユーザーに提供します。ユーザーは、後で方式を追加/変更できます。

これら4つの認証方式は、すべてうまく機能しますが、私の好みは (Windows PhoneiOSAndroidのスマートフォン/タブレットで利用可能な) Active Authenticationアプリです。各デバイスのストアから無料アプリをダウンロードし、アクティブ化できます。もしあなたが私のようなガジェット ギークなら、使いたいのはこれでしょう!

Windows Azure Active Authenticationスマートフォン アプリを使うように、自分のアカウントを構成します:

  • まず、Windows Azure、Office 365、またはWindows Azure ADに統合された他のサービスにログイン済みの場合は、ログアウトします。
  • ブラウザーを使って、Windows AzureまたはOffice 365にサインインします。
  • 多要素認証オプションを構成するよう促されます。「Set it up now」ボタンをクリックします。

5

図5: 初回のサインイン時の、多要素認証構成の指示

  • これによって、「追加のセキュリティ確認」設定ページが表示されます。ページが表示されたら、「モバイル アプリケーション」セクションのチェックボックスを選択し、「構成」をクリックします。

6

図6: 「追加のセキュリティ確認」ページ

  • これによって、「モバイル アプリケーションの構成」画面が表示されます:

7

図7: 「モバイル アプリケーションの構成」画面

  • Active Authenticationアプリがインストールされたスマートフォンで、アプリを起動します。
  • 新規アカウントを追加するために、アプリで「+」ボタンをクリックします。
  • それから、アプリ右下のバーコード スキャナー ボタンをクリックします。これによって、カメラが起動します。

8

図8: Active Authenticationアプリ構成画面

  • 「モバイル アプリケーションの構成」画面に表示されたバーコード画像をスキャンします。
  • 数秒後、アプリ画面に6桁のコードが表示されるはずです。表示されたら、「モバイル アプリケーションの構成」画面で「完了」ボタンをクリックします。
  • 電話番号と確認オプションも、適宜設定します。
  • 「追加のセキュリティ確認」ページで「保存」をクリックします。

これで準備完了です!

次回、Windows Azure ADで保護されたクラウド アプリケーションやサービスにサインインする際に、スマートフォンでアプリがアクティブ化され、そのログインを認証するか拒否するかをあなたに尋ねます。そのログインが不正であると報告するオプションもあります。

9

もちろん、このアプリは私の個人的な好みですが、あなたは電話を受ける方が好きかもしれませんし、我々のチーム メンバーのほとんどは、SMSメッセージのオプションの方を好みます。このサービスの素晴らしい点は、ユーザーが最も好きな方式を選択し、管理者側の追加の構成なしに、ユーザーが方式を変更できることです。

極めて近い将来に、この領域でさらに多数の機能を提供する予定ですので、注目していてください。そして、いつものように、皆さんからのフィードバックを聞きたいと思っています。Windows Azure Active Authenticationフォーラムで、あなたの考えをお知らせください。

関連情報

 

コメント

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中