Azure ADと多要素認証（MFA）：セキュリティ強化のための詳細ガイド

Azure ADは、Microsoft Azureの認証サービスであり、クラウド上のActive Directoryです。

オンプレミスのActive Directory（以下、オンプレ AD）とは異なり、Azure ADはクラウドのアプリケーションに対してSAMLやOAuthを使用してシングルサインオン（SSO）を提供する仕組みです。
オンプレ ADとAzure ADを連携させることで、クラウドサービスでもオンプレとSSOを統合することが可能となります。

MFA認証は、知識、所持、生体の3つの認証要素のうち2つ以上を使用した認証のことを指します。

具体的には、知識要素は「知っているもの」、所持要素は「持っているもの」、生体要素は「その人の体の一部（として持っているもの）」を指します。これらのうち2つ以上を使用する認証をMFA認証と呼びます。

Azure ADでは、以下のような多要素認証の方法が利用可能です。

「Windows Hello for business」は、パスワードをPINや生体認証に置き換えてサインインする機能です。認証は、デバイスに関連付けられて、生体認証またはPINを使用する新しい種類のユーザー資格情報で構成されます。

「Microsoft Authenticator」は、Android/iOS用の無料アプリです。アカウントを紐づけることで、アプリからPINや生体認証を用いてサインインできます。

「FIDO2」は、USBデバイスやBluetooth、NFCなどへセキュリティキーを組み込み、それを認証要素として利用する認証方法です。

「SMS/音声」は、電話番号を入力することで、テキストメッセージや音声にて認証コードを受け取る認証方法です。

パスワード認証は、従来から長く用いられている、ID/パスワードによる認証方法です。

Azure ADには条件付きアクセスとIdentity Protectionというセキュリティ機能があります。

条件付きアクセスは、Azure ADへの認証時に、条件（割り当て）に該当するユーザーを許可または拒否（追加アクションを要求）する機能です。

条件付きアクセスの設定では、以下のような条件を設定することができます。

• ユーザーグループ：特定のユーザーグループに対してのみアクセスを許可する。
• 宛先アプリケーション：特定のアプリケーションへのアクセスを制限する。
• 条件：IPアドレス範囲、場所、デバイスの種類とブラウザ、クライアントアプリ、Identity Protectionのリスクスコアなど、特定の条件を満たす場合にのみアクセスを許可する。

Azure AD Identity Protectionは、認証時にリスクのあるサインインかをチェックして知らせてくれます。

具体的には、異常な行動やリスクのあるサインイン（例えば、不審なIPアドレスからのアクセスや短時間に異なる地域からのログイン試行など）を検出し、それらがユーザーのアカウントが危険にさらされている可能性を示す場合、アラートを発生させます。

この記事では、Azure ADを用いた多要素認証（MFA）について詳しく解説しました。Azure ADを使用すれば、難しいと考えられがちな多要素認証を比較的容易に導入できます。非常に強力なセキュリティ対策ですので、ぜひこの記事を参考に多要素認証を利用した強固なセキュリティを構築してください。

多要素認証の導入については、WITHWITにお任せください。私たちの専門家チームが、あなたのビジネスに最適なセキュリティソリューションを提供します。