このページでは、Azureの管理者アカウント(Microsoftアカウント)に対するMFA有効化の方法を説明する。Azureの一般ユーザに対するMFAはこちらを参照。
こちらの記事で異動した時の気持ちについて書いた。今度は”スキル”という観点から異動する前にやっておいて良かったことについて書こうと思う。 私の場合は、同じ会社内の異動だけれども、この記事に書いてあ ... 続きを見る
異動や転職を考えた時にエンジニアがするべきこと
Microsoftアカウントを取得したらMFAは必須
AWSの場合、rootアカウントを取得したら最初にMFAを有効化するということが当たり前のセキュリティ対策となっている。 こちらの記事で異動した時の気持ちについて書いた。今度は”スキル”という観点から異動する前にやっておいて良かったことについて書こうと思う。 私の場合は、同じ会社内の異動だけれども、この記事に書いてあ ... 続きを見る
異動や転職を考えた時にエンジニアがするべきこと
同じようにAzureを使い始める場合も、不正アクセス対策としてMFAが必須となる。しかし、Azureの管理者アカウントに対するMFAの設定方法について情報が少ないのでここで説明する。
ポイントはMicrosoftアカウントに対するMFA
AWSを使い始める場合はrootアカウントを作成するが、Azureを使い始める場合はMicrosoftアカウントを取得することになる。そして、AWSはrootアカウントに対するMFAを同じAWSコンソールのIAMから設定するが、Azureの場合は違う。ここが混乱するポイントである。
ポイント
Azure管理者アカウントの場合は、Azureポータルとは別ページでMicrosoftアカウントに対するMFAを設定する必要がある。MicrosoftアカウントはAzureポータルではなく、MicrosoftアカウントのページでMFAを設定する必要があるのだ。
ここがわかりづらい原因である。以降の章で設定方法について画像付きで説明する。
注意:このページではGoogle Authenticatorを使用する場合の手順説明をしている。Azureと親和性の高いMicrosoft Authenticatorでも、同じようにMFAが設定できるため好みでどうぞ。
ちなみに、Microsoft AuthenticatorをAzureのログインMFAとして使用すると、パスコードの入力が必要なく、携帯電話で“承認“を押すだけで、ログインできるようになる。最後に説明する。
Microsoftアカウントにログイン
「Microsoftアカウント」で検索。右上から「サインイン」する。
セキュリティから認証アプリのページに移動
上段の2段階認証→「有効にする」を押す。
認証アプリのセクションで「本人確認アプリをセットアップ」を押す。
「次へ」を押す。
デフォルトではMicrosoft Authenticatorアプリである。「別の認証アプリを設定します。」を押すことで、Google Authenticatorを使用できる。
QRコードをアプリで読み込んでアカウントを追加する。設定が出来たら「次へ」を押す。(下記画像は、安全のためQRコードを塗りつぶしている)
裏技:MFA端末の多重化
このQRコードを複数の端末で読み取れば、MFA端末の多重化ができる。例えば、職場で2台の携帯電話、管理者と保守担当者が同じMFAコードを使えるようにしたい場合、QRコードを複数の端末で同時に読み取れば良いのだ。
MFAを試してみる
Azureポータルログイン画面へ行く。必要事項を入力する。
アカウントログインで、以下の通りコードの入力を促されたら成功だ。
Microsoft Authenticatorの場合
ログインを試みると下記画面のように、見慣れない画面になる。よく読んでみると、Microsoft Authenticatorが要求していると書いてある。
MFA端末として登録した携帯電話を見てみると、こんな感じでポップアップが出てくる。承認を押すとログインできる。
おわりに
Azureの管理者アカウントは絶対にMFAを有効化しておこう。そして、AWSと同じように管理者ユーザは通常オペレーションで使用しないで、Azure Active Directoryでユーザを作成し、普段はそちらを使用するようにしよう。
クラウドは、便利であるがひとたび不正アクセス、不正利用されるとその被害は甚大になる。Azureを利用し始める瞬間から常にインターネットに晒されているという意識をもって最大限のセキュリティ対策を施そう。