MS365を多要素認証環境していく流れについて調べた
2024/03/29 多要素認証の設定状況を一覧で把握したい場合(GUI)を追記
MS365において現状多要素認証はやっていないけど、やらなきゃいけない。しかし、うまく繋がらなくなると怖い。という思いがあったため二の足を踏んでいたが、今回検証してみた。開発環境と実環境を比較しながらおっかなびっくりやっているので、おかしな点があったご指摘いただけると助かります。
この記事はcorp-engr 情シスSlack(コーポレートエンジニア x 情シス)#1 Advent Calendar 2023の13日目の記事です。
今回のMicrosoftのLearnは以下
管理者の事前準備
多要素認証が設定されているか確認
Microsoft Entra管理センターにアクセス
「ID」→「概要」→「プロパティ」を開く
ページ下部の「セキュリティの既定値群」を開く
「有効」になっていることを確認した。
現時点で多要素認証をしていない場合は以下のように「無効」になっているが、この状態でも多要素認証は設定することはできる。
むしろ有効にしてしまうと既存のアカウントが全部対応が必要になるだろう。
多要素認証が有効になっていない環境での展開の仕方のLeanは以下
検証
新しいユーザを作る
セキュリティ既定群が「無効」の環境の場合
管理者でMicrosoft 管理センターを開き、
「ユーザー」→「アクティブなユーザー」→「多要素認証」をクリック
下記の画面に切り替わるので、赤丸部分をクリックし、多要素認証にしたいユーザを検索する。
変更したいユーザをチェックして「有効にする」をクリックする。
「multi-factor auth を有効にする」をクリック
ユーザでログインしてみる
多要素認証が設定後、ユーザが初めてログインするとどうなるかやってみる。
今回は直前にテストで作った新しい管理者にメールで届いたパスワードを使ってログインする。
初回なので、パスワード変更
※実運用としては、新規ユーザに初回パスワードをどうにか伝えてログインしてもらうことになるだろう。
下記の画面が出る。「次へ」をクリック
※「後で尋ねる」で強行突破することはできる。
Microsoft Authenticatorをスマホにダウンロードし、「次へ」をクリック
※Microsoft Authenticator以外にしたい場合については後で記載している。
Microsoft Authenticatorアプリの画面上部の「+」タップし「職場または学校アカウント」をタップする。
PC側の下記の画面の「次へ」をクリック
QRコードの画面が表示されるので、
Microsoft Authenticatorアプリ側の「QRコードをスキャンします」をタップしてスキャンする。
PC側で「次へ」をクリックすると以下の画面が表示される
PC側で表示された数字をMicrosoft Authenticatorアプリ側に入れる
正しく入力できるとPC側の画面が以下のようになるので「次へ」をクリック
国、電話番号を入力し、「次へ」をクリック
※電話番号ではなくメールにしたい場合は後で記載する。
電話にショートメールでコードが送信されるので、入力する。
「次へ」をクリック
「完了」をクリックして終了
その後ログインができるようになる。
コードをメールで受け取りたい場合
「アカウントのセキュリティ保護」で「別の方法を設定します」をクリック
下記の画面で「電子メール」を選択する。
下記の画面に遷移するのでメールアドレスを入れると、そこにコードが送られる。
二段階認証ソフトをMicrosoft Authenticator以外にしたい場合は
「別の認証アプリを使用します」を選択すると
以下の画面になるが、標準はMicrosoft Authenticatorで良いと考える。
新規ユーザは上記の流れで問題ないと思う。
既存のユーザでも同じ流れになるが、別の導入方法がある。
利用中のユーザ側で多要素認証を設定してもらう方法
下記にアクセスしてもらう。
上記をクリックすると下記の画面が表示され、多要素認証設定が任意のタイミングで実施することができる。
問題点
ユーザ側で設定してもらった場合、「多要素認証設定」側では「無効」のままで設定したかどうかはわからない。
展開案
実際は以下のように展開しようと思う。
新規ユーザは最初から多要素認証で設定しておく。
しかし、うまくいかない場合を考慮してMS365経由以外の連絡先は用意しておく既存ユーザは任意で実行してもらうようアナウンスする。
一定の期間が過ぎたら、テナント全体で必須になることをアナウンスの上、「セキュリティの既定値群」を「有効」に設定する。
または、全ユーザを「有効」に設定する。
運用
多要素認証をリセットしたい
スマホをなくした、新機種にした時に移行し忘れた、などが想定される。
管理者でMicrosoft 管理センターを開き、
「ユーザー」→「アクティブなユーザー」→「多要素認証」をクリック
下記の画面に切り替わるので、赤丸部分をクリックし、多要素認証にしたいユーザを検索する。
「選択したユーザーについて連絡方法の再指定を必須にする」にチェックを入れて「保存」をクリックすることで、次回ログイン時に多要素認証を再設定できる。
多要素認証の設定状況を一覧で把握したい場合(GUI)
Microsoft Entra 管理センターにアクセス
保護→認証方法→アクティビティとクリック
下記のような画面になるので、赤枠のいずれかをクリック
すると以下のような画面になる
フィルタ機能などで絞り込んで「ダウンロード」をクリックすればローカルでも確認できるようになる。
多要素認証の設定状況を一覧で把握したい場合(CUI)
※MSOnlineコマンドは2024/03/30で非推奨
この関連コマンドは後継はない・・・らしいです。よって、2024/03/30までの時限的な把握方法となります。
多要素認証の設定が有効な一覧を確認する
管理者権限で実行したPowershellで行う
#モジュールのインストール、既にインストール済みならやらなくていい
Install-Module -Name MSOnline
#接続 管理者でログインする
Connect-MsolService
#有効にしている人を把握する
Get-MsolUser -All | Where-Object {$_.StrongAuthenticationRequirements.Count -gt 0} | Select-Object UserPrincipalName
#多要素認証の設定をしていない人を把握する場合
Get-MsolUser | Where-Object {$_.StrongAuthenticationRequirements.Count -eq 0} | Select-Object UserPrincipalName多要素認証がどれで設定をしているかを確認する
多要素認証は電話やSMS等設定ができる。それぞれのユーザがどの方法を使っているのか一覧で出す方法はなく、ユーザ個別に確認しないといけないようだ。やり方は以下。
#モジュールのインストール、既にインストール済みならやらなくていい
Install-Module -Name MSOnline
#接続 管理者でログインする
Connect-MsolService
#一特定のアカウントだけを確認する。
(Get-MsolUser -UserPrincipalName "対象ユーザーのアカウント名:aaa@hogehoge.com").StrongAuthenticationMethods上記コマンドの結果で以下の項目列「isDefault」のいずれかが「true」になっていると設定されているということになる。
PhoneAppOTP : アプリの確認コードを使用する
PhoneAppNotification : アプリケーションで通知する
TwoWayVoiceMobile : [認証用電話] に電話をかける
OneWaySMS : [認証用電話] にコードを送信する
この後の課題は
社内への根回しと展開。
どういう単位で多要素認証を展開していくのか。一気にやると問い合わせが爆発しかねない。
この辺りは環境次第なので、それぞれの最適解を探すしかない。
今回は以上。