Azure – ユーザに対するMFA設定方法 （Azure一般ユーザMFA有効化）

このページでは、Azure一般ユーザに対するMFA有効化の方法について説明する。管理者アカウントに対するMFA設定方法はこちら

ユーザのMFAはAzure Active Directoryで実施

一般ユーザの作成方法

管理者以外のユーザを追加するためには、まずAzure管理者ユーザがAzure Active Directoryというサービスで、ユーザを作成する必要がある。例えば、開発メンバがAzureポータルにログインする必要がある場合、管理者がAzure Active Directoryからユーザを作成し、ログイン情報を開発メンバに教えるということが考えられる。

Azure Active Directoryでは、ユーザを作成できるほか、ユーザグループも作成できる。AWSのIAMサービスと同じような機能を有しているイメージでOKだ。

開発メンバに渡したユーザが強力な権限を持っていた場合、やはりログイン情報が流出した際のリスクがある。開発状況によっては、権限の強いユーザを開発メンバに渡さないといけない状況もあるだろう。そんな時、Azure Active Directoryはログイン元IP制限などいくつかセキュリティ対策を施すことができる。

MFA有効化の流れ

このページでは、ユーザがAzureポータルにログインする際に2段階認証を必須にする方法を説明する。

管理者ユーザと異なり、一般ユーザはAzure Active DirectoryでMFA設定を強制することができる。つまり、以下の流れとなる。

以降、ユーザはログインのたびに、MFAを使用した2段階認証ログインとなる。画像を用いて手順を説明する。

一般ユーザMFA設定方法

Azure Active Directoryで強制MFAを設定する

Azure Active Directoryサービスのページまで移動。すべてのユーザ→表示されたユーザをチェックして、右上の「Multi-Factor Authenticator」を押す。

表示されたページで、画面の通りユーザにチェックを入れて、右側の「有効にする」を押下する。なお、このページではAzure管理者アカウントのMFA有効化は選択できない。

画面の通り「multi-factor authを有効にする」を押す。

画面の通り、MULTI-FACTOR AUTHENTICATIONの状態が有効になっていればOKだ。ここまでを管理者ユーザで設定する。

ユーザ側でMFAを設定する

ここからはユーザが初回ログイン時に実施する必要がある。

こんな画面が出てきたら「モバイルアプリ」を選択→「確認コードを使用する」にチェックを入れて「セットアップ」を押す。

表示された画面で”Microsoft Authenticator”を使用して、QRコードを読み取る。Microsoft Authenticatorでコードが表示されたら次へを押す。（Google Authenticatorの場合は、読み取るQRコードが違うため、別手順が必要こちらを参考に）

次の画面で本当に設定できているかコードを入力して確かめることができる。

確認が出来たら、次の画面でモバイルアプリにアクセスできなくなった場合の代替手段を設定する。電話番号のSMSを設定することが一般的だろう。

これで設定が完了である。Azureポータルにログインする際、以下の画面が出てきたらMFA有効化の設定が出来ている。

おわりに

セキュリティは強固にすればするほど、ユーザが面倒に感じることがある。ログイン時に毎回パスコードを入力することを面倒に感じるだろう。それが原因で開発士気も下がってしまうかもしれない。そういった場合、万が一ログイン情報が流出したとしても、問題ない権限設定にしておくというセキュリティの考え方もある。

すべてのユーザに同じような強固なセキュリティ設定をする必要はない。あまりに強固なセキュリティ設定は逆にユーザが勝手にバックドアを作るという状況を生んでしまう。面倒だから簡単に出来るようにするという思考にさせてはいけない。

状況に応じて、セキュリティ施策を変えることが出来るのも、クラウド管理者のスキルである。いろいろなセキュリティ施策を覚えて、状況に応じて使い分けられるようになろう。