よんけんだより

思いついたら書いてます。なので、あんまり読みやすくないかも。備忘です。

【Microsoft Entra ID】色んな組織の多要素認証

はじめに

多要素認証、していますか? 検討していますか?

パスワードだけの認証が緩いよと言われ始めて、幾年。要素認証を導入した企業も多くなったと思います。 Entra IDでは、条件付きアクセスにてアクセスしてきたデバイスに対して認証強度を求めることができ、それを強いることができます。

そんな多要素認証ですが、導入に際して多くの管理者を悩ませるのが多要素認証を行うデバイスです。 メジャーなところでいくとガラケーでのSMS・音声通話やスマートフォンアプリによる認証かと思いますが、全従業員にスマホ/ガラケーを持たせるってあんまり現実的でない組織も多いと思います。

そこで、この記事では下記事項をまとめます。

  • どういった多要素認証
  • どういったケースでどれを使うか

皆様のIT導入の支えになれば嬉しいです。

サインイン時の認証強度の選択肢

Entra IDではサインインする時に多要素認証を行うことが強制されています。 多要素認証の認証方法については、わかりやすいものとして下記のものがあります。

MSとしてはGood(でも別の方法を使えって言ってる)

このサインイン方式は、なりすましかったり、盗聴しやすかったりしちゃうのでMSとしてはもう既にやめてほしいらしいです。選択肢としては、最終手段として考えると良いでしょう。

aka.ms

パスワード + SMS

要件:社給もしくはプライベートのスマートフォンもしくは、ガラケー

割とこれも馴染み深いと思います。認証方法はSMSで送られてきたコードに記載のある「確認コード」を入力することで認証します。

パスワード + 音声

要件:社給もしくはプライベートのスマートフォンもしくは、ガラケー

【まだためしてないけど】Microsoftがユーザーに架電します。ユーザーはそれを受け取り、通話中に「#」を入力することで完了するらしい 

MSとしてはBetter

パスワード + Microsoft Authenticator

要件:社給もしくはプライベートのスマートフォン

一番わかりやすい構成だと思います。必要なものとしては、スマートフォンです。

尚、多要素認証の方式はPCに表示された番号をスマートフォンに入力する「番号一致」による認証です。

パスワード + ソフトウェア OAUTHトーク

要件:社給もしくはプライベートのスマートフォン

これは、Microsoft Authenticator以外の認証アプリでの認証方式です。 この多要素認証ではアプリに表示された「6桁の数字」を入力する認証方式です。

パスワード + ハードウェア OATUHトークン(プレビュー)

要件:ハードウェアOAUTHトーク

銀行とかでおなじみのアレです。認証方式は「6桁の数字の入力」です

MSとしてはBest

Windows Hello for Business

要件:WindowsHello対応デバイス + Entra ID Join ( Intune登録 )

この認証は、Windows Helloでの認証によって解放されたPRTを用いた認証です。Windows Helloでの生体認証と、PRT関連でデバイス認証が行われるため、多要素認証が成立しています。 ここでは説明を省きますが、細かくはLearn読んでください。

FIDO2 (生体認証 + デバイス認証)

要件:FIDO2対応デバイス(USB・NFCBluetoothスマートフォン・PC)

この認証方式はWindows Helloを使わずともパスワードレスでサインインできる方法です。FIDO2と呼ばれるパスキー認証の約束事を用いてサインします。このサインインでの認証は「FIDO2デバイスへの生体認証」と「FIDO2デバイス内の秘密鍵の署名」によって行われます。

Microsoft Authenticator (生体認証 + デバイス認証)

要件:社給もしくはプライベートのスマートフォン

この認証方式はスマートフォンにインストールしたMicrosoft Authenticatorでパスキー認証を行う方式です。 この認証では「アプリケーション上での生体認証」と「番号一致」と「デバイス内のキーによる認証」によって行われます。 大体FIDO2と近しいと思って良いと思いますが、

あなたの組織はフィットするのはどれ?

基本的には、Microsoftが公開している画像から、BEST>Better>Goodの順で採用を検討すると良いと思います。 僕としては、オンプレのADのKerberosチケットも受け取れるようにもできるWindows Hello for Businessによる認証が良いと思います。 これはOSサインインから、ありとあらゆるサインインをパスワードレスにすることができるますので。それもまたいいですよね。

一方で、個人所有のスマートフォンを認証に用いるのに抵抗・無理がある組織がいると思います。

スマートフォンの利用が望み薄の場合で多要素認証を行いたい場合は、「FIDO2キー(USB/NFC/Bluetooth)」もしくは、「ハードウェアOAUTHトークン」での認証になるんじゃないかなと思います。「ハードウェアOAUTHトークン」はまだプレビューだし、生体認証が入り込まないので、「FIDO2キー」を押したい所存であります。

付録

認証のポリシー。 ユーザーが自分で登録して利用できる認証方法です。 + Passkey (FIDO2) + Microsoft Authenticator + SMS + 一時アクセスパス + ハードウェア OAUTH トークン(プレビュー) + サードパーティー製のソフトウェア OATHトークン + 音声通話 + メール OTP + 証明書ベースの認証

learn.microsoft.com