Posted at

Azure Active DirectoryでMFAにハマった話

More than 1 year has passed since last update.


Azure Active DirectoryでMFAにハマった話


軽く運用状況を説明

弊社では、Azure Active Directoryを使用し 社外からクラウドサービスへアクセスする場合 においては

MFAを必須とした運用をしています。

ある日、CISOがやってきて

「AWSコンソールへのアクセスは、社内からのアクセスであってもMFAを要求したい」

と言いました。

.oO(そういえば条件付きアクセスポリシーで定義したらそれっぽいことはできるなぁ)

と思ったので、実際にやってみることにしましたが・・・

クラシックポータルから新ポータルへの移行でとてもハマったので色々まとめてみます。


前提条件


必要なライセンス

Azure Active Directory Premiumライセンスが必要です。

Office365にバンドルされているライセンスでは、多要素認証として利用できる機能が制限されるらしいです。


多要素認証を定義している

ここでの多要素認証とは、 クラシックポータル内の多要素認証 のことを指します。

アクセス方法は、 https://portal.azure.com/ から

Azure Active Directory / 条件付きアクセス / 名前付きの場所 / MFAの信頼できるIPの構成

で確認できます👀


ユーザーへのライセンス付与

Azure Active Directory Premiumライセンスを保有していても、アカウントに対して割当をしないと意味がありません。

Azure Active Directory の 管理 / ユーザーとグループ でライセンスを割り当てておきましょう。


本題

さて、Azure Active Directory(以下AADと省略)の条件付きアクセスポリシーを使用して

特定のアプリだけ社内でもMFAを要求する ポリシーを作成しました。

条件付きアクセスポリシーを有効化し、思った挙動になるかテストしてみました。

が、

MFAのセットアップダイアログが出てきません💦

壊れているのかな・・・


多要素認証だけが機能していない

テストポリシーを作成し、どこが機能していないのかを検証しました。

結果、 多要素認証を要求する という項目が機能していない事が判明。


解決方法


概要

AADの条件付きアクセスポリシーにおいて、多要素認証を求めるポリシーが機能しない という現象は

クラシックポータル内の 多要素認証 が 有効 または 強制 となっている場合に発生します。

なんと

クラシックポータルでの多要素認証

新ポータルの条件付きアクセスポリシーで定義されている多要素認証

別物❗

というわけなんです。

干渉してクラシックポータルのMFAが優先されていたんですね・・・💦


クラシックポータルの多要素認証を無効化

https://portal.azure.com/ から

Azure Active Directory / 条件付きアクセス / 名前付きの場所 / MFAの信頼できるIPの構成

上記へアクセスし、ユーザータブから すべてのユーザーのMFAステータス無効 にします。

❗無効にすると、条件付きアクセスポリシーで定義していない限りMFAが解けてしまいます ❗


結果

クラシックポータルの多要素認証を無効化することで、新ポータルの条件付きアクセスポリシーが優先されるようになります。

つまりは、MFAを求めたくない挙動を再現するには 条件付きアクセスポリシー を使用するしか無い ということですね👀

クラシックポータルの多要素認証を無効化 することで、理想の挙動をするようになりました。