ご縁があり、Feitian Technologies社の日本総代理店である飛天ジャパン様からFIDOセキュリティキーとQRコードOTPトークンを提供いただいたので、実際にAzure Active Directory(Azure AD)の多要素認証設定の流れを解説していきます。

なぜセキュリティキーやOTPトークンが必要なのか？

実際にAzure ADで多要素認証を行う際にまずイメージするのはMicrosoft Authenticatorに代表されるアプリでの認証でしょう。端末さえ持っていればアプリ自体は無料なので気軽に始められます。そうなるとなぜセキュリティキーやOTPトークンが必要なのか？(実際に私も疑問に思っていました。) 私が納得したセキュリティキー、OTPトークンのユースケースは下記の3点になります。

• 自社では会社所有のスマホが支給されているのでアプリ認証で問題ないが、子会社や協力会社にはスマホを支給できない( or 購入するほどの予算がない)
• スマホが持っていけない or 許可されていない場所で作業を行う必要がある(データセンター内、工場内など)
• 緊急管理者用のパスワード代わり (https://azuread.net/archives/12926)

検証端末FEITIAN BioPass FIDO2について

指紋認証対応で「生体認証」+「所持認証」の二要素認証を実現したちょっとお高めの認証デバイスになります。製品の詳しい情報は下記のページをご覧ください。 https://ftsafe.co.jp/products/fido2/

まずはAzure ADの設定

では実際に設定を行っていきます。まずはAzure AD側で認証方法の構成を行います。

1. Azure ADのメニューから「セキュリティ > 認証方法」を選択

2. メソッドから「FIDO2 セキュリティキー」を選択

3. 「有効にする」トグルボタンを選択(今回ターゲットは「すべてのユーザー」にしておきます)

4. 「保存」を選択して設定完了

セキュリティキーに指紋を登録

次にセキュリティキーに指紋を登録するために、専用のアプリケーションをダウンロードし設定していきます。

1. 下記のURLから専用アプリケーションをダウンロードし、解凍後exeファイルを実行 for windows (x64) https://ftsafe.co.jp/assets/files/download/fido2/BioPassFIDO_w64.zip for mac https://ftsafe.co.jp/assets/files/download/fido2/BioPassFIDO2-Manager-MAC.tar.gz ※今回はWindows用のアプリケーションで設定を行います

2. セキュリティキーを接続 　

3. 「指紋を追加」を選択

4. 認証モードを設定(今回は「指紋」を選択)

5. 登録したい指を複数回押し当てて指紋を登録

6. わかりやすいように登録名を変更して準備完了

Azure ADの多要素認証設定

最後に多要素認証設定を行います。

1. マイアカウントにアクセス(https://myaccount.microsoft.com/)し、セキュリティ情報から「サインイン方法の追加」を選択

2. 「セキュリティキー」を選択

3. 「USBデバイス」を選択

4. セキュリティキーをUSBに接続し、画面の指示に従いセンサーにタッチ

5. 登録したセキュリティキーに名前を付けて登録完了

動作確認

登録が終わったので動作確認を行います。

1. Azure ADを認証基盤とするアプリケーションにアクセス(今回はAzureポータルにアクセス)し、ユーザーID/パスワードを入力

2. IDの確認画面で「Windows Hello またはセキュリティキーを使用する」を選択

3. 本人確認画面が表示されるので、セキュリティキーにタッチ

4. 追加の認証が成功すれば、アプリケーションのトップページが表示され認証が完了

検証してみたいと思ったら

こういったセキュリティデバイスって、代理店に連絡⇒見積りの流れが一般的なので、なかなか個人や検証目的ですぐに購入って出来ないイメージがありますが、この製品を含めたいくつかのセキュリティキーはAmazonで個人購入が可能です。 https://www.amazon.co.jp/s?me=A3HHUTHZ5S7653&marketplaceID=A1VC38T7YXB528