Windowsの2段階認証(2ファクタ認証)をツールで実装するには?

Active Directory アカウント管理セルフサービスソフト

Windowsの2段階認証(2ファクタ認証)とは?

Windowsの2段階認証(2ファクタ認証)とは、エンドユーザーが、Active DirectoryのID・パスワード入力のほかに、異なる要素を持つセキュリティコードを組み合わせて認証を行うことで、2段階の本人確認を行い、不正アクセスを防止するための認証方法です。

Windowsにログインする際、Active DirectoryのID・パスワードを入力することで、ログインを行います。しかし、パスワードのみによるセキュリティ認証は、第三者による盗み見やハッキング、パスワードの総当たり攻撃を完全に防げるわけではありません。そこで、更なる2段階認証(2ファクタ認証)を取り入れることで、二重のセキュリティの仕組みを導入できます。

それでは、2段階認証を具体的に実装していくためには、どのようなツールが必要なのでしょうか?

 

Windowsの二段階認証

実装できるツール 「ADSelfService Plus

機能や特長がわかる 概要資料 はこちら →

2段階認証を実装するツールとは?

情報セキュリティの向上が叫ばれている昨今、2段階認証を実装するためのツールが、市場に多く販売されています。 多くのツールの中から、より自社・自組織に合うツールを選ぶためには、「2段階目の認証に、どの方法を採用するか?どの方法がより自組織の業務に合うか?」という視点が必要です。

たとえば、モバイル端末を活用する企業では、SMS認証の方が取り入れやすいこともあるでしょうし、Mobile Duoアプリの方が環境に適している場合もあります。また、2段階認証の実装だけではなく、ほかにもパスワードにまつわる機能を備えることで、追加のツールを導入することなく、必要なライセンス料金を最小限に抑えることが可能となります。

当社製品のADSelfService Plusは、2段階認証の実装にも対応する、Active Directoryアカウント管理セルフサービスソフトです。

パスワードのセルフリセットをサポートする機能に加え、合計14の方法により、2段階認証を追加できます。 もちろん、すべてのクライアントPCに2段階認証を加えるのではなく、クリティカルなサービスに権限を持つOU・メンバーシップに基づいて、2段階認証を設定するのも可能です。 以下に、ADSelfService Plusによる2段階認証機能を詳しくお伝えします。

セキュリティ侵略に対抗するための二重防壁

セキュリティ侵略は日に日に増加しており、ユーザー名とパスワードのみを利用してユーザーのアカウントの安全性を保つことはできなくなりつつあります。パスワードを強固にするだけでなく、より強力なソリューションによって、不正なユーザーを振るい落とすためのセキュリティを向上させる必要があります。二段階認証(TFA)—ユーザーの知っていることや持っているものによって、本人確認を行うプロセスです。

ADSelfService PlusでWindowsにログイン

ADSelfService Plus' Windows Logon TFA機能を有効化すると、ユーザーはWindows端末にアクセスするために、二段階の手順で本人確認をする必要があります。第一段階の認証は、Windowsの通常の資格情報です。第二段階の認証は、以下の方法があります。
詳しくはこちらをご覧ください。

Windows Logon TFAは、パスワードが漏洩した場合でも機密情報を保護します。不正なユーザーがユーザーのパスワードを知っても、ユーザーの電話やメールアドレスにアクセスして認証コードを知る必要があります。さらに、SMSおよびメールベースの認証コードや、Duo Security、RSA SecurIDなどの認証コードはユーザーごとに固有です。これらのコードは一度使用したり、一定時間が経過したりすると失効します。

Windows Logon TFAを有効化すると、Windowsのローカルおよびリモートログイン時にTFAが追加されます。

ADSelfService Plusは、Windows Logon TFAを以下のオペレーティングシステムでサポートしています:

  • Windows Vista以降
  • Windows Server 2008以降

仕組み

  • ユーザーがWindows端末へのログインを試みるとき、本人確認をするためにActive Directoryのドメインの資格情報が必要です。
  • 次に、ユーザーは、SMSまたはメールアドレスに送信された時間制限のある認証コード、またはサードパーティの認証プロバイダーを通じて本人確認を行う必要があります。
  • これで、ユーザーはWindows端末に正常にログインすることができます。
図 1:Windows Logon TFAの仕組み。

利点

Windows Logon TFAでは、ADSelfService Plusが、ユーザーアカウントのセキュリティを向上させて、潜在的なセキュリティ上の脅威に対抗できるようにします。ドメイン内の全ユーザーがWindows Logon TFAを利用する必要はないことが多いため、ADSelfService Plusは、TFAをドメイン、OU、グループメンバーシップに基づいて設定する機能も提供しています。

以下はwindowsログインTFAを示します。

 

Windowsの二段階認証

実装できるツール 「ADSelfService Plus

機能や特長がわかる 概要資料 はこちら →

主な機能

シングルサインオンでの単一アイデンティティ

ワンクリックで100以上のクラウドアプリケーションにシームレスにアクセスできます。エンタープライズシングルサインオンを使用すると、ユーザーはActive Directoryの資格情報ですべてのクラウドアプリケーションにアクセスできます。ADSelfService Plus へようこそ!

パスワード/アカウント期限通知

Active Directoryユーザーに対して、差し迫ったパスワード・アカウントの有効期限通知を送信することができます。

パスワード同期

Office 365、G Suite、IBM iSeriesなど、Windows Active Directoryのユーザーパスワード/アカウントの変更を複数のシステムに自動的に同期できます。

パスワードポリシーの強化

ADSelfService Plusを使用してさまざまなハッキングの脅威に対抗する強力なユーザーパスワードの設定を確保することが可能です。パスワードの複雑さ要件が明確に表示されることにより、Active Directoryユーザーは準拠するパスワードを作成することができます。

ディレクトリの自主更新と社員検索

Active Directoryユーザーが最新情報を更新できるようにするポータルと、検索対象の人物の連絡先番号などの検索キーを使用して、同僚に関する情報を検索するためのクイック検索機能です。