Office 365での多要素認証

Office 365を業務で利用する場合、メールやドキュメントファイルへのアクセスをインターネット経由でおこなうことになります。
そのため、マイクロソフトはOffice 365の認証強度を上げるため2段階認証(多要素認証:Multi-Factor Authentication MFAとも呼ばれる)をデフォルトで提供しています。

Office 365が提供する多要素認証は、Microsoft Authenticatorと呼ばれるモバイルアプリによる認証、電話による認証、ショットメッセージ(SMS)による認証があります。
管理者はユーザごとにMFAを適用することができます。

また、Azure AD 条件付きアクセス(Azure Active Directory conditional access)を使うと、Azure ADによるサインインリスク、ネットワークロケーション、デバイスタイプ、クライアントアプリのタイプによって、Office 365へのアクセスを許可する条件を定めることができます。

SAML認証サーバによるOffice 365認証連携

Office 365の認証は、SAML(Security Assertion Markup Language)に対応した認証サーバに委任することができます。
SAML認証サーバ(IDP:Identity Provider)を使うメリットは、G Suite、Box、Salesforceなど他のクラウドサービスと認証を統一できる点です。

ビジネスユースの主要なクラウドサービスはSAMLに対応しているため、利用するクラウドサービスに追加や変更があった場合でも、認証に影響はありません。

また、SAMLのIDPで認証されたユーザは、SAMLで連携する別のクラウドサービスへシングルサインオンすることができるため、ユーザにログインの手間を減らすメリットがあります。

Office 365へのシングルサインオン

一方で、IDPでの認証は複数のクラウドサービスへのゲートウェイとなるため、より強固なセキュリティが求められます。

Office 365での証明書認証

SAMLでは証明書認証がサポートされています。AD FS、IDaaSとも呼ばれるシングルサインオンサービス、SSL-VPNアプライアンスなどがSAMLに対応しており、IDPとなることができます。
IDPによっては認証要素として、スマホ認証、マトリクス認証、トークン型のワンタイムパスワード(OTP)認証などもサポートしています。

その中で証明書認証を採用する理由の一つが、デバイスを限定できることです。
電子証明書はインポート時の設定によって、証明書のエクスポート、つまり他のデバイスのへのコピーを防ぐことができます。証明書によってOffice 365を利用できるデバイスを限定したい場合は、証明書認証を採用すべきでしょう。

電子証明書によるデバイス認証

認証局にGléasを採用する理由

Office 365を利用できるデバイスを限定する目的で証明書認証を導入する場合、電子証明書を発行する認証局には、管理下のデバイスだけに証明書を配布する仕組みが求められます。

Gléasの電子証明書配布は、端末からユーザ用ウェブ画面にアクセスし、直接端末に証明書をインポートします。証明書ファイルはダウンロードフォルダなどに残りません。
証明書の秘密鍵は自動的に「エクスポート不可」として証明書ストアに格納されるため、他の端末にコピーされる恐れはありません。

「インポートワンス機能」を使えば、1枚の証明書は1度インポートされると、再びユーザ用ウェブ画面にアクセスしても、インポートが出来ない状態になるため、証明書認証が使える端末を1台に限定できます。

また、Gléasはクライアント証明書だけでなく、サーバ証明書、コンピュータ証明書の発行にも対応しています。 Gléasで発行した電子証明書は、Office 365だけでなく、無線LANやリモートアクセス/VPNでの認証に1枚の証明書で対応できます。

Gléasとの連携を確認したSAML IDPは下記のとおりです。

  • AD FS(マイクロソフト)
  • Pulse Connect Secure(パルスセキュア)
  • BIG-IP APM(F5)
  • KAMOME SSO(かもめエンジニアリング)
  • SafeNet Trusted Access(ジェムアルト)
  • SeciossLink(セシオス)
  • Workspace ONE(ヴイエムウェア)
  • PingFederate(ピンアイデンティティ)
Office 365での多要素認証

事例

関連ニュース

  1. 2019.01.29 SafeNet Trusted Accessを使ったOffice 365証明書認証 技術資料
  2. 2018.12.27 Office 365とADFSでのクライアント証明書認証 技術資料
  3. 2018.04.02 VMware Identity Managerでのクライアント証明書認証 技術資料
  4. 2017.04.19 Office 365とPulse Connect Secureでの電子証明書認証 技術資料
  5. 2017.03.08 Office 365とPingFederateでの電子証明書認証 技術資料
  6. 2016.12.26 Office 365の端末認証についてのインタビュー記事 メディア掲載
  7. 2016.09.26 Officeモバイルアプリのクライアント証明書認証 技術資料
  8. 2016.09.26 Exchange Onlineでのクライアント証明書認証 技術資料
  9. 2016.08.03 クライアント証明書によるOffice 365の先進認証 アップデート
  10. 2014.06.04 ADFSと証明書でOffice 365への安全な接続 技術資料
  11. 2013.03.19 SeciossLinkからOffice 365への証明書認証 技術資料

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ