はじめに
こんにちは!mediba advent calendar 2020 11 日目担当の @mediba_t-sato です。
mediba では、社内インフラ、情報セキュリティ、レガシー業務の効率化などを担当しています。
mediba では、2020/3/3 からテレワーク指示となり、不要不急の出勤以外はテレワークとなり、現在も日々 90% 近い実施が継続されています。
こんなコロナ禍の中、企業を狙ったセキュリティ攻撃も増えてきています。(かんべんして・・)
慣れない環境、設備の中、業務を継続していただいている社員の皆さんに感謝しつつ、冬に向けて再び準備に頭を悩ませている社内インフラ担当の参考になれば幸いです。
信用しない努力(さっきの感謝はどこいった・・・)
mediba では、2016 年から Azure AD を利用した SSO 化を導入し、重要な社内システムの認証に活用しています。
また、事業用のシステムにも徐々に浸透をしています。
最大のメリットは、利用者が社外環境下でも、社内と同じ ID でシステムへのログインできつつ管理者がコントロールできること。(何時、誰が、何処から、どのシステムにログインしたのか見えるんです。)
また、異常なログインを検知した場合には、自動的に ID をロックするなどの機能を備えています。(これで夜もぐっすり・・・)
各システムのログインに共通の基盤を利用することで、SSO を実現しパスワードの入力機会を削減することでパスワード管理の煩雑さを軽減しています。
この仕組みを全社の主要なシステムに導入するには、かなりの努力と忍耐がいりましたが、それはまた別の機会にでも・・・
ID・パスワードが漏洩したら意味ないよね
とわいえ、弱点が無いわけではない。
社内アカウントとパスワードが漏洩した場合、IP アドレス制限などを設けられないシステムは恰好の標的となってしまう。
このため、多要素認証(MFA)を同時に利用することが推奨されているが、これらが整備されたアプリを自前で作成するのは結構骨の折れるし、対応している SaaS もまだまだも少ないため Azure AD 側でやってみようというのが今回のお話しです。
やってみた(前置き長すぎですね・・・)
Azure AD では、3 タイプの MFA の実装が可能です。
- ユーザー単位で MFA の有効化
- SSO アプリケーション全体で MFA の有効化
- SSO アプリケーション単体での MFA の有効化
今回は、SSO アプリケーション単体での MFA の有効化をやっていきます。
必要なもの
- Azure AD Premium P1 ライセンス(Microsoft 365 Business Premium ライセンス などにもついてきますね。)
- Azure AD を利用した SSO アプリケーション(過去の記事参考ください)
設定
Azure Active Directory 管理センター からコーディング不要で設定可能です。
Azure AD から、『エンタープライズアプリケーション』にて MFA を有効化したいアプリケーションを開き、『セキュリティ』から『条件付きアクセス』を選択して "新しいポリシー" を追加する
『割り当て』にて MFA を有効化させたいユーザーやグループを選択
『アクセス制御』にて "多要素認証を要求する" にチェックをして "ポリシーの有効化" を オン にして "保存"
たったこれだけ。
あとは、初回ログイン時に、MFA の設定を促されるので、SMS、電話、アプリなどのお好きな方法でユーザー単位で設定を促せばよい。(SMS などの通知を追加負担なしで実現してくれることは流石です。)
注意点
Azure AD の SSO のセッションは結構長めに設定されている。
規定値で 180 日に設定されている場合があるため、前述のポリシーの設定にて『セッションの設定』をしておく方がいい。
これが無いと、MFA がなかなか要求されてこない。という事態が発生する。アプリケーションの利用頻度と合わせて調整をしてみてください。
おわりに
突然のコロナ禍でテレワーク導入となり、スマホや自宅で利用可能な SaaS 製品に切り替えが進んでいる企業も多いことと思います。
mediba でも大手の SaaS 以外では、まだまだ MFA を導入している企業は少なく、セキュリティ対策に頭を悩ませておりました。
Azure AD を利用したこの方法は、アプリケーション単位での実装の可否や MFA 非対応のアプリケーションへの適用など使い道の多い方法かと思います。
皆さんの参考になれば幸いです。