2014年12月19日金曜日

Office365+Azureで二段階認証とIPアドレス制限を組み合わせる

Office365では最新のOfficeアプリケーションが使えるというだけでなく,Sharepoint Onlineをはじめとする情報共有系のサービスが使えます。さまざまなアプリケーションやサービスが揃っているので,Office365に情報を集約すればするほどお得な感じです。しかし,そうなるとセキュリティの重要性も大きくなってきます。社内でセキュリティのことを問われても,最近ではユーザーIDとパスワードだけというのも不安感があります。

そこで,Office365でも使用できる二段階認証を導入するという方法があります。過去の記事を検索してみると,2014年2月には二段階認証というか,多要素認証が使えるようになったようです。このリリースで管理者だけでなく一般ユーザーでも利用可能になったり,アプリパスワードでOfficeアプリケーションにも対応したりしています。

ただ,この多要素認証を使ってみたところけっこう使いにくく感じていました。自分ひとり,あるいはPC関連が得意な人であればよいのですが,社内のみなさんすべてにこれを使ってもらうのは無理があるように思います。できればkintoneのようにIPアドレス制限くらいかけれるようにしてもらいたいものです。

IPアドレス制限とは異なるものの,オンプレミスでADFSを構築すれば社内環境とクラウド環境でのシングルサインオンができるということです。しかし,社内でフェデレーションサーバーを立てなくてはならないので,クラウドだけでの運用を目指す場合は使えません。サードパーティ製のソリューションを使えばいろいろ細かい制御ができるようですが,費用もかかるし自分でできないので面倒です。

そこで,Microsoft Azure Active Directory(以下,Azure AD)を使用します。ここでは既にAzure ADとOffice365の連携が完了している状態からスタートします。なお,弊社で使用しているOffice365のプランは「Enterprise」です。他のプランの場合は確認しておりません。

まず,Azure ADの管理画面で「多要素認証プロバイダー」をクリックします。


次に「新しい多要素認証プロバイダーの作成」をクリックします。


各項目に入力して「作成」をクリックします。使用モデルは必要に応じて切り替えます。ディレクトリにはOffice365と連携させたものを指定します。


Azureの設定が完了したら,Office365の管理センターにアクセスして,「ユーザー > アクティブなユーザー」に移動します,ここで,「複数の要員を含む認証要件を設定する:セットアップ」をクリックします。


多要素認証の画面にある「ユーザー設定」でユーザーごとに認証を有効にするかどうかを設定します。さらに「サービス設定」をクリックすると,信頼済ipという項目が表示され,IPアドレス制限が使用できるようになります。ここまでの操作と説明についてはこちらに記載してあります。



多要素認証が有効になっているユーザーについては設定後最初のサインインの際に多要素認証のセットアップを行うよう案内が表示されます。以後,信頼済ipからのアクセスであれば通常通りユーザーIDとパスワードで認証でき,それ以外の外出先やモバイルからであれば多要素認証が必要になります。
Officeアプリケーションについては多要素認証に対応していないためアプリパスワードを作成する必要があります。これはOffce365の設定画面の追加のセキュリティ認証の部分で取得できます。LyncとOutlookもアプリパスワードが必要なので,ひとつのアプリパスワードでまとめて認証を済ませると楽です。
iPad版のOfficeやOneDrive for Businessは多段階認証に対応しており,アプリパスワードは必要ありませんでした。

Officeアプリケーションの設定は面倒ではありますが,それが終われば外出先で使用するようなユーザー以外は多要素認証を気にせずにすみます。Azureを使うので費用は発生しますが高くはないように思いますし,MS以外のベンダーに依存することなく比較的シンプルにセキュリティを強化できるので自前でいろいろしたい企業には良いのではないかと思います。

それにしても,Office365のみでIPアドレス制限くらいは用意していただけると嬉しいのですが。