Office365 Multi Factor Authentication How To

Office365

とある事情で某中小企業にOffice365をセットアップしつつ悪戦苦闘しているのでメモついでに残します。あくまでも私個人のつまづきからの発見と振り返りのためのメモであり、正しいとは限りません。

Office365におけるMulti Factor Authentication とは

まず、そもそもローカライズがなんとも中途半端なのですが、Office365のメニューやヘルプに出てくる「多段認証」という言葉と「Multi Factor Authentication」という言葉は同じものを指しています。

で、(2016.08現在)結局のところOffice365を導入すると一応おまけついでの多段認証が付いてくるということのようです。もっとちゃんとやりたいならAzureという製品と組み合わせる必要がある、ということのようです? Office365のメニューから辿っていくと、このAzureという製品に迷い込んでしまうルートがあったりして、訳がわからなくなります。また現時点で管理センターのインタフェースが生まれ変わろうとしていて、現在まずプレビュー版と呼ばれるUIに飛ばされるのですが、実は「以前の管理センター」から出ないと正しくリンクが機能してなかったりとバグもたくさんあります。そのうち改善されるでしょう。

何のために使うのか

多段認証としては必要最低限の機能を持っているので社員がモバイルPCを使ったり、OWAやOutlook等を自宅のパソコンから使いたい(とかBYODとか)のニーズを叶え、かつそれに対するセキュリティ対策を行う、という点対では十分ではないかと思います。

勘違いしてはならないのは、悪意ある社員や、PCにあまり縁のない社員が家から使用できないようにしよう、とか、一定のアクセス制限に使うというものではない、ということです。前提として、社員には全員が十分に情報リテラシが行き届いており、ついうっかりデバイスをなくしたり、落としたりした時に、悪意ある第三者による攻撃や被害を防ぐためのものです。と思います。。

ただし、OWAを始め、ブラウザを経由してOffice365にログインできるという機能は素晴らしいのですが、いわゆるクラウドサービスですのでインターネットが使えれば実はどこからでも使えてしまう、というITを生業としない日本社長には中々受け入れられなさそうな代物です。訳も分からない社員が自宅から使えてしまう、というのが嫌だというわけです。これに対しては何か考えていかないといけません。教えてください。

Multi Factor Authenticationでどんなことができるのか

現時点で私が行っている使用方法は以下の通り。

  • 自宅、モバイルPC、スマホ、会社のPC全てからOffice365を常に使える状態。(普通の状態)
  • ブラウザからのログイン時、 iOSのAuthenticatorアプリに表示される認証コードで、多段認証を行う必要がある(14日に1度聞かれる)
  • iOSのカレンダーアプリなどは、多段認証に対応していないので、「アプリケーションパスワード」を発行して普通の認証にしている。
  • iOSOutlookアプリ等は、Authenticatorアプリの認証コードでログインできるようになったので良い感じ(最近)

Multi Factor Authentication の設定方法について

  • [多要素認証]に移動する - 管理者アカウントでOffice365にログインし、アクティブなユーザー → ユーザ名 → Multi Factor Authenticationの管理 と遷移。
  • 多要素認証を有効化する - [多要素認証]のページから、ユーザを選択し(または一括設定で)、Multifactor authentication のStatusは[無効] → [有効] に設定します。
  • 多要素認証の設定を行う - 実はこの[多要素認証]のページ、ページの上の方に2つのタブで分かれているページです。[ユーザ]と[サービス設定]があります。 めちゃくちゃわかりづらい! [サービス設定]のタブで、Azure Authenticatorによる認証を使うかどうかや、何日間認証コードを記憶するかが選択できます。
  • 多要素認証の初期設定(ユーザ毎の初回ログイン時)- 多要素認証を設定後、当該ユーザがoffice365にログインする際(ログアウトしてログインしなおすと)多段認証の初期設定が始まります。上の初期設定の最後に、アプリケーションパスワードが1つ発行されます。必要であればメモっておきます。ここでのユーザ毎の初期設定が終わると、上の[多要素認証]ページの当該ユーザの Multifactor authentication の状態は [有効] → [強制] に変化します。なんてわかりづらい日本語!強制=承認済みとか、設定済みのような感じです。でも英語版だと Force になってるのだけど...
  • 各ユーザの多要素認証の選択 - 必要に応じてAzure Authenticatorを使えるように設定します。デフォルトではスマホのショートメールで認証するのですが、これが意外と煩わしいので私は Authenticatorで認証する方がいいかな...。各ユーザでログイン後、ユーザの[マイアカウント]のページに飛びます。飛び方は、Office365にログインし、右上のユーザアイコン(人の形)→[アカウントの表示]→[マイアカウント]ページに遷移です。その後右上の[ネジマーク]→[追加のセキュリティ検証]→[アカウントのセキュリティ検証に使用する電話番号を更新します]→[追加のセキュリティ確認]のページに遷移です。
  • この[追加のセキュリティ確認]ページで、 [Azure Authenticator]にチェックもすると、多段認証手段をメール送信以外の選択肢として選べるようになります。[構成]を選択し、表示されているバーコードをiOSのAuthenticatorアプリを起動して読み取ります。認証コードが表示されるので、これを[構成]に入力して認証完了です。
  • アプリケションパスワードの追加 - 実は[追加のセキュリティ確認]のページには、実は[追加のセキュリティ確認]と[アプリケーションパスワード]のタブがあります。必要に応じて [アプリケーションパスワード]のタブから、アプリケーションパスワードが追加できます。これすごい悩んだ。。マジでわかりづらいです。

終わり