【IDM】Office 365 と Windows Azure AD の電話による二要素認証

Office 365 と Windows Azure Active Directory の組み合わせで、二要素素認証が使用できるようになりました(2013年3月5日現在 プレビュー)。

Windows Azure, now with more enterprise access management!
http://blogs.msdn.com/b/windowsazure/archive/2013/03/04/more-identity-and-access-management-improvements-in-windows-azure.aspx

これはどのような仕組みかというと。。。。以下をご覧ください。

ユーザーがブラウザを使用して ID とパスワードを使用してサインインします。ここでIDとパスワードの検証が正しく行われると、事前に登録してある携帯電話やスマフォに電話がかかってきます。これに「#」を押して応答することで認証が成立するというものです。設定によっては、右側の図のように、ショートメッセージが送られてきて、そこに書かれているコードを入力して返信すれば認証することもできます。

 

image

この仕組みを使用するには、はじめに Office 365 を契約(評価版でもOK)します。この時にサインアップしたID(例 <hogehoge@hogeorg.onmicrosoft.com)>を使って Windows Azure の管理画面(例 https://manage.windowsazure.com/hogeorg.onmicrosoft.com/ )にアクセスしてログオンします。

Windows Azure Active Directory の管理画面を開くと、Office 365 で作成したドメインが表示されています。

※この機能も新しく実装されたものです

image

ドメインをクリックしてユーザー一覧を開いてください。Office 365 で登録したユーザー一覧が表示されます。

※この機能も新しく実装されたものです

image

二要素認証を使用したいユーザーをクリックして、プロファイルを開くと、以下のように「多要素認証が必要です」をチェックできるようになっています。

image

このまま保存すれば、以降、IDとパスワードに加えて電話による応答が要求されるようになります。

実際の流れは以下の通りです。

 

1. サインイン画面で ID とパスワードを入力

image

2. 以下のような画面が表示される

image

3. 電話番号が設定されていないと、以下の画面が表示されるので「今すぐ設定」をクリック

image

4.電話番号を入力。もし、SMSでの応答を希望するならば、「電話ではなくメッセージで通信」をチェックして、保存する。番号は、頭の「0」は取って保存する。

image

5. 設定が正しいかどうかの確認電話(録画音声)がかかってくるので「#」を押して応答するか、ショートメッセージが送信されてくるので、応答する。

image
※電話の場合には「マイクロソフトの検証システムをご利用いただきありがとうございます。つづけるには「#」を押してください」とメッセージが流れます。

6. 正しく応答すると、以下のように表示され「設定が完了」するので「閉じる」

image

7. あらためて、サインインのための電話がかかってくるので正しく応答すればサインイン完了です。

万が一、電話がかかってこなかったりショートメッセージが送られてこない場合には、「その他の検証オプション」をクリックして別の電話を選択したり、応答の方法を変更してみてください。

imageimage

なお、プレビューなのでいつトラブルかわかりません。本番環境では全員に設定するなんてことはせず、かならずテストアカウントで検証を行いましょう。