次の方法で共有

機密性の高いアプリケーションに対する追加の Multi-Factor Authentication を使用してリスクを管理する

このガイドでは

このガイドでは、次の情報を提供します。

  • AD FS の認証メカニズム - Windows Server 2012 R2 の Active Directory フェデレーション サービス (AD FS) で使用できる認証メカニズムの説明

  • シナリオの概要 - Active Directory フェデレーション サービス (AD FS) を使用して、ユーザーのグループ メンバーシップに基づいて多要素認証 (MFA) を有効にするシナリオの説明です。

    Windows Server 2012 R2 の AD FS では、ネットワークの場所、デバイス ID、ユーザー ID またはグループ メンバーシップに基づいて MFA を有効にすることができます。

    このシナリオを構成して検証するための詳細なチュートリアルについては、「チュートリアル ガイド: 機密アプリケーション用の追加の Multi-Factor Authentication によるリスクの管理」を参照してください。

主な概念 - AD FS の認証メカニズム

AD FS の認証メカニズムの利点

Windows Server 2012 R2 の Active Directory フェデレーション サービス (AD FS) は、IT 管理者に、企業リソースにアクセスするユーザーを認証するための、より柔軟で柔軟なツールセットを提供します。 これにより、管理者はプライマリおよび追加の認証方法を柔軟に制御でき、認証ポリシーを構成するための豊富な管理エクスペリエンス (ユーザー インターフェイスと Windows PowerShell の両方を介して) が提供され、AD FS によってセキュリティ保護されたアプリケーションとサービスにアクセスするエンド ユーザーのエクスペリエンスが強化されます。 Windows Server 2012 R2 で AD FS を使用してアプリケーションとサービスをセキュリティで保護する利点の一部を次に示します。

  • グローバル認証ポリシー - 中央管理機能。IT 管理者は、保護されたリソースにアクセスするネットワークの場所に基づいて、ユーザーの認証に使用する認証方法を選択できます。 これにより、管理者は次の操作を行うことができます。

    • エクストラネットからのアクセス要求に対して、より安全な認証方法の使用を義務付けます。

    • シームレスな第 2 要素認証のデバイス認証を有効にします。 これにより、ユーザーの ID が、リソースへのアクセスに使用される登録済みデバイスに結び付けられます。これにより、保護されたリソースにアクセスする前に、より安全な複合 ID 検証が提供されます。

      シームレスな第 2 要素認証と SSO としてのデバイス オブジェクト、デバイス登録サービス、Workplace Join、デバイスの詳細については、「 会社のアプリケーション間での SSO とシームレスな 2 要素認証のために任意のデバイスから Workplace に参加する」を参照してください。

    • すべてのエクストラネット アクセスの MFA 要件を設定するか、ユーザーの ID、ネットワークの場所、または保護されたリソースへのアクセスに使用されるデバイスに基づいて条件付きで設定します。

  • 認証ポリシーを構成する柔軟性の向上: AD FS で保護されたリソースのカスタム認証ポリシーを、さまざまなビジネス値で構成できます。 たとえば、ビジネスへの影響が大きいアプリケーションに MFA を要求できます。

  • 使いやすさ: GUI ベースの AD FS 管理 MMC スナップインや Windows PowerShell コマンドレットなどのシンプルで直感的な管理ツールにより、IT 管理者は比較的簡単に認証ポリシーを構成できます。 Windows PowerShell を使用すると、大規模に使用できるようにソリューションをスクリプト化し、日常的な管理タスクを自動化できます。

  • 企業資産をより細かく制御: 管理者として AD FS を使用して、特定のリソースに適用される認証ポリシーを構成できるため、企業リソースのセキュリティ保護方法をより細かく制御できます。 アプリケーションは、IT 管理者によって指定された認証ポリシーをオーバーライドできません。 機密性の高いアプリケーションとサービスの場合は、リソースにアクセスするたびに、MFA 要件、デバイス認証、および必要に応じて新しい認証を有効にすることができます。

  • カスタム MFA プロバイダーのサポート: サード パーティの MFA メソッドを利用する組織の場合、AD FS では、これらの認証方法をシームレスに組み込んで使用できます。

認証スコープ

Windows Server 2012 R2 の AD FS では、AD FS によってセキュリティ保護されているすべてのアプリケーションとサービスに適用できるグローバル スコープで認証ポリシーを指定できます。 AD FS によってセキュリティ保護されている特定のアプリケーションとサービス (証明書利用者信頼) の認証ポリシーを設定することもできます。 (証明書利用者信頼ごとに) 特定のアプリケーションの認証ポリシーを指定しても、グローバル認証ポリシーはオーバーライドされません。 グローバルまたは証明書利用者信頼認証ポリシーで MFA が必要な場合、ユーザーがこの証明書利用者信頼に対して認証を試みると、MFA がトリガーされます。 グローバル認証ポリシーは、特定の認証ポリシーが構成されていない信頼されたパーティ(アプリケーションとサービス)のフォールバックです。

グローバル認証ポリシーは、AD FS によってセキュリティ保護されているすべての証明書利用者に適用されます。 グローバル認証ポリシーの一部として、次の設定を構成できます。

信頼パーティーごとの信頼認証ポリシーは、その信頼パーティー(アプリケーションまたはサービス)へのアクセス試行に特に適用されます。 証明書利用者ごとの信頼認証ポリシーの一部として、次の設定を構成できます。

  • ユーザーがサインイン時に毎回資格情報を入力する必要があるかどうか

  • ユーザー/グループ、デバイスの登録、アクセス要求の場所データに基づく MFA 設定

プライマリおよび追加の認証方法

Windows Server 2012 R2 の AD FS では、プライマリ認証メカニズムに加えて、管理者は追加の認証方法を構成できます。 プライマリ認証方法は組み込まれており、ユーザーの ID を検証するためのものです。 追加の認証要素を構成して、ユーザーの ID に関する詳細情報が提供されるように要求し、その結果、より強力な認証を確保できます。

Windows Server 2012 R2 の AD FS のプライマリ認証では、次のオプションがあります。

  • 発行されたリソースに企業ネットワークの外部からアクセスするには、既定で [フォーム認証] が選択されます。 さらに、証明書認証 (つまり、AD DS で動作するスマート カード ベースの認証またはユーザー クライアント証明書認証) を有効にすることもできます。

  • イントラネット リソースの場合、Windows 認証は既定で選択されています。 さらに、フォーム認証や証明書認証を有効にすることもできます。

複数の認証方法を選択すると、アプリケーションまたはサービスのサインイン ページで認証する方法をユーザーが選択できるようになります。

シームレスな第 2 要素認証のためにデバイス認証を有効にすることもできます。 これにより、ユーザーの ID が、リソースへのアクセスに使用される登録済みデバイスに結び付けられます。これにより、保護されたリソースにアクセスする前に、より安全な複合 ID 検証が提供されます。

シームレスな第 2 要素認証と SSO としてのデバイス オブジェクト、デバイス登録サービス、Workplace Join、デバイスの詳細については、「 会社のアプリケーション間での SSO とシームレスな 2 要素認証のために任意のデバイスから Workplace に参加する」を参照してください。

イントラネット リソースに Windows 認証方法 (既定のオプション) を指定した場合、認証要求は、Windows 認証をサポートするブラウザーでシームレスにこの方法を受け取ります。

Windows 認証は、すべてのブラウザーでサポートされているわけではありません。 Windows Server 2012 R2 の AD FS の認証メカニズムは、ユーザーのブラウザー ユーザー エージェントを検出し、構成可能な設定を使用して、そのユーザー エージェントが Windows 認証をサポートしているかどうかを判断します。 管理者は、Windows 認証をサポートするブラウザーの代替ユーザー エージェント文字列を指定するために、(Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents コマンドを使用して) このユーザー エージェントの一覧に追加できます。 クライアントのユーザー エージェントが Windows 認証をサポートしていない場合、既定のフォールバック方法はフォーム認証です。

MFA の構成

Windows Server 2012 R2 の AD FS で MFA を構成するには、MFA が必要な条件を指定し、追加の認証方法を選択する 2 つの部分があります。 追加の認証方法の詳細については、「 AD FS の追加の認証方法を構成する」を参照してください。

MFA の設定

MFA 設定では、次のオプションを使用できます (MFA を要求する条件)。

  • フェデレーション サーバーが参加している AD ドメイン内の特定のユーザーとグループに対して MFA を要求できます。

  • 登録済み (社内参加済み) または未登録 (職場に参加していない) デバイスに対して MFA を要求できます。

    Windows Server 2012 R2 では、デバイス オブジェクトがuser@deviceと会社の関係を表す最新のデバイスに対して、ユーザー中心のアプローチを採用しています。 デバイス オブジェクトは、Windows Server 2012 R2 の AD の新しいクラスであり、アプリケーションやサービスへのアクセスを提供するときに複合 ID を提供するために使用できます。 AD FS の新しいコンポーネント (デバイス登録サービス (DRS)) は、Active Directory でデバイス ID をプロビジョニングし、デバイス ID を表すために使用される証明書をコンシューマー デバイスに設定します。 その後、このデバイス ID を使用して、デバイスを職場に参加させることができます。つまり、個人用デバイスを職場の Active Directory に接続できます。 個人のデバイスを職場に参加させると、それが既知のデバイスになり、保護されたリソースとアプリケーションにシームレスな第 2 要素認証が提供されます。 つまり、デバイスが職場に参加した後、ユーザーの ID はこのデバイスに関連付けられ、保護されたリソースにアクセスする前にシームレスな複合 ID 検証に使用できます。

    職場への参加と退出の詳細については、「 会社のアプリケーション間での SSO とシームレスな 2 要素認証のために、任意のデバイスから Workplace に参加する」を参照してください。

  • 保護されたリソースのアクセス要求がエクストラネットまたはイントラネットから送信される場合は、MFA を要求できます。

シナリオの概要

このシナリオでは、特定のアプリケーションのユーザーのグループ メンバーシップ データに基づいて MFA を有効にします。 つまり、特定のグループに属するユーザーが Web サーバーでホストされている特定のアプリケーションへのアクセスを要求するときに MFA を要求するように、フェデレーション サーバーに認証ポリシーを設定します。

具体的には、このシナリオでは、 claimapp と呼ばれるクレーム ベースのテスト アプリケーションの認証ポリシーを有効にします。これにより、AD ユーザー Robert Hatley は AD グループ Finance に属しているため、MFA を受ける必要があります。

このシナリオを設定して検証する手順については、「 チュートリアル ガイド: 機密性の高いアプリケーションに対する追加の Multi-Factor Authentication によるリスクの管理」を参照してください。 このチュートリアルの手順を完了するには、ラボ環境を設定し、「 Windows Server 2012 R2 で AD FS のラボ環境を設定する」の手順に従う必要があります。

AD FS で MFA を有効にするその他のシナリオは次のとおりです。

こちらもご覧ください

チュートリアル ガイド: 機密性の高いアプリケーション用の追加の Multi-Factor Authentication を使用してリスクを管理する Windows Server 2012 R2 で AD FS のラボ環境を設定する