Office 365での多要素認証

Office 365を業務で利用する場合、メールやドキュメントファイルへのアクセスをインターネット経由でおこなうことになります。
そのため、マイクロソフトはOffice 365の認証強度を上げるため2段階認証(多要素認証:Multi-Factor Authentication/MFAとも呼ばれる)をデフォルトで提供しています。

Office 365が提供する多要素認証は、Microsoft Authenticatorと呼ばれるモバイルアプリによる認証、電話による認証、ショットメッセージ(SMS)による認証があります。管理者がユーザに多要素認証を使うように設定すると、ユーザは次回のログイン時に多要素認証の設定を求められます。管理者は特定のユーザを多要素認証の対象から外すことができます。

Azure AD 条件付きアクセス(Azure Active Directory conditional access)を使うと、Azure ADによるサインインリスク、ネットワークロケーション、デバイスタイプ、クライアントアプリのタイプによって、Office 365へのアクセスを許可する条件を定めることができます。

SAML認証サーバによるOffice 365認証フェデレーション

Microsoft Authenticatorアプリによる認証は、追加コストが掛からないメリットがありますが、ユーザにとっては煩わしい一面もあります。

Office 365以外のビジネス向けクラウドサービスでも、二要素認証が必要となることを考えて、SAML(Security Assertion Markup Language)と呼ばれる認証プロトコルに対応した認証サーバで、クラウドサービスの認証を一元化するケースが増えています。

SAMLの認証サーバ(IDP:Identity Provider)を使うメリットは、G Suite、Box、Salesforce、Dropbox、サイボウズ、Sansanなど他のSaaSと認証を統一できる点です。
Office 365をはじめとするクラウドサービスは、SAMLにおいてSP(Service Provider)と呼ばれます。

ビジネスユースの主要なクラウドサービスはSAMLに対応しているため、SPの追加や変更があった場合でも、SAMLの認証全体に影響はありません。

また、SAMLのIDPで認証されたユーザは、SAMLで連携する別のクラウドサービスへシングルサインオンができるため、ユーザにログインの手間を減らすメリットがあります。

下記の図のAssertionに含まれる有効期間内であれば、ユーザはIDPが認証できるSPへシングルサインオンができます。複数のSaaSを使う場合は、個別のサービスごとに認証手段を用意するより、SAMLの認証サーバに統一することにメリットが出るでしょう。

Office 365へのシングルサインオン

一方で、IDPでの認証は複数のSaaSへのゲートウェイとなるため、これまで以上に強固なセキュリティが求められます。

Office 365での証明書認証

Windows ServerのAD FSや、シングルサインオンサービス(SSO/IDaaSとも呼ばれる)、SSL-VPNアプライアンスなどの多くがSAMLに対応しており、認証サーバとなることができます。IDPによっては認証手段として、スマホ認証、マトリクス認証、トークン型のワンタイムパスワード(OTP)認証などもサポートしています。

その中で電子証明書認証を採用する理由の一つが、クラウドサービスを利用できるデバイスを限定できることです。スマホアプリやハードウェアトークンの保持によって個人は特定できますが、実際にクラウドサービスを利用する端末は限定できません。

電子証明書はデバイスへインポートする際の設定によって、証明書の秘密鍵のエクスポート、つまり他のデバイスのへの証明書コピーを防ぐことができます。Office 365を利用できるデバイスを限定したい場合は、証明書認証を採用すべきでしょう。

電子証明書によるデバイス認証

認証局にGléasを採用する理由

Office 365を利用できるデバイスを限定する目的で証明書認証を採用する場合、電子証明書を発行する認証局には、管理下のデバイスだけに証明書を配布する仕組みが求められます。

Gléasでは電子証明書の配布は、デバイスのウェブブラウザからユーザ用ウェブ画面にアクセスし、直接端末に証明書をインポートする方式が最も採用されています。
証明書ファイルはダウンロードフォルダなどに残らず、証明書の秘密鍵は自動的に「エクスポート不可」として証明書ストアに格納されるため、他の端末にコピーされる恐れがないためです。

「インポートワンス機能」を使えば、1枚の証明書は1度インポートされると、再びユーザ用ウェブ画面にアクセスしても、インポートが出来ない状態になるため、証明書認証が使える端末を1台に限定できます。詳しくは機能ページをご参照ください。

また、Gléasはクライアント証明書だけでなく、サーバ証明書、コンピュータ証明書の発行にも対応しています。Gléasで発行した電子証明書は、Office 365だけでなく、無線LANやリモートアクセス/VPNでの認証に1枚の証明書で対応できます。

Gléasとの連携を確認したSAML IDPは下記のとおりです。

  • AD FS(マイクロソフト)
  • Pulse Connect Secure(パルスセキュア)
  • BIG-IP APM(F5)
  • KAMOME SSO(かもめエンジニアリング)
  • SafeNet Trusted Access(ジェムアルト)
  • SeciossLink(セシオス)
  • Workspace ONE(ヴイエムウェア)
  • PingFederate(ピンアイデンティティ)
Office 365での多要素認証

事例

関連ニュース

  1. 2019.01.29 SafeNet Trusted Accessを使ったOffice 365証明書認証 技術資料
  2. 2018.12.27 Office 365とADFSでのクライアント証明書認証 技術資料
  3. 2018.04.02 VMware Identity Managerでのクライアント証明書認証 技術資料
  4. 2017.04.19 Office 365とPulse Connect Secureでの電子証明書認証 技術資料
  5. 2017.03.08 Office 365とPingFederateでの電子証明書認証 技術資料
  6. 2016.12.26 Office 365の端末認証についてのインタビュー記事 メディア掲載
  7. 2016.09.26 Officeモバイルアプリのクライアント証明書認証 技術資料
  8. 2016.09.26 Exchange Onlineでのクライアント証明書認証 技術資料
  9. 2016.08.03 クライアント証明書によるOffice 365の先進認証 アップデート
  10. 2014.06.04 ADFSと証明書でOffice 365への安全な接続 技術資料
  11. 2013.03.19 SeciossLinkからOffice 365への証明書認証 技術資料

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ