エンドポイント多要素認証についての解説と設定手順
本ナレッジでは、ADSelfService Plusの機能の一つである「エンドポイント多要素認証(MFA)」についてご案内いたします。
セキュリティ攻撃から二重保護
セキュリティ侵害の推定70%がエンドポイントから始まっている現状を考慮すると、これまでのユーザー名とパスワードだけでは安全を確保するのが難しくなってきました。そのため管理者は、二段階認証/多要素認証の導入などを通して、機密情報が公開されるリスクを低減する必要に迫られています。ADSelfService Plusは、単にパスワードを強化するだけではなく、エンドポイントMFA機能を提供しており、よりセキュアな環境整備・組織リソースの保護に貢献します。
サポートされている認証技術
エンドポイントMFA機能を有効にすると、端末へのアクセスを二段階続けて認証する必要があります。そのため、万が一、部外者にユーザーのパスワードが漏れた場合でも確認コードなどの2つ目の認証が必要になるため、不正ログインの可能性を低減できます。
第一段階目は、認証情報(ユーザー名とパスワード)を入力します。第二段階目では以下の認証を設定可能です。
- セキュリティ質問&回答
- SMSまたはメールによる認証コード
- Google Authenticator
- Microsoft Authenticator
- Azure AD MFA
- Duo Security
- RSA SecurID
- RADIUS認証
- プッシュ通知
- 指紋認証
- ORコード
- TOTP認証
- SAML認証
- ADセキュリティ質問
- TOTP
- SAML認証
- YubiKey Authenticator
- Zoho OneAuth TOTP
- カスタムTOTP認証システム
ログオンまでの流れ(Windowsの場合)
- 設定済みユーザーがWindows端末へログオンする際、ドメインの資格情報を入力し、ADによる認証を実施
- 有効期限付き認証コード(SMS/メールアドレス、他社の認証サービス)などにより2つ目の認証を実施
- 上記の認証に成功した場合、Windows端末にログオン完了
エンドポイントMFAの設定方法
※手順実行前に次の前提条件をご確認ください。
<前提条件>
SSLが有効であること
SSLを有効化するには、次の手順をご参照ください。
1. 管理者としてADSelfServicePlusにログインします。
2. [管理]タブ-->[製品設定]-->[接続]に移動します。
3. [https]を選択し、保存します。
※ポート番号は任意の番号に変更可能です。
必要な認証が有効であること
必要な認証を有効化する必要がございます。
認証の有効化は、 [設定]タブ-->[セルフサービス]-->[マルチファクター認証] で行うことができます。
端末にADSelfService Plus エージェントがインストールされていること(Windows, macOS, Linux)
MFAを有効化するデバイスにエージェントをインストールする必要がございます。
インストール方法は、次の手順をご参照ください。
1. [設定]タブ-->[管理ツール]-->[GINA/Mac/Linux (Ctrl+Alt+Del)]をクリックします。
2. [GINA/Mac/Linux のインストール]をクリックします。
3. [新規インストール]タブにて、インストールするデバイスが属するドメインを選択します。
4. インストールするデバイスにチェックを付けます。
5. [インストール]をクリックします。
端末がADSelfService Plus管理下のドメインに参加していること
エンドポイントMFAは、ADSelfService Plus管理下のドメインに参加している端末でなければ利用できません。
ワークグループサーバー(ドメインに参加していないサーバー)では、エンドポイントMFAを利用することはできません。
ユーザーがADSelfService Plusのユーザーとして登録されていること
ADSelfService Plusのユーザーとして登録されているユーザーでなければ、エンドポイントMFAを利用することはできません。
<設定手順>
1. [設定]タブ-->[セルフサービス]-->[マルチファクター認証]をクリックします。
2. [ポリシーの選択]にて任意のポリシーを選択します。
※OU/グループ単位でポリシーを設定した場合は、OU/グループごとに認証を設定可能です。
2-1. [設定]タブ-->[セルフサービス]-->[ポリシー設定]をクリックします。
2-2. [OU/グループの選択]にて、任意のOU/グループを選択し、保存します。
3. [エンドポイントMFA]にて、任意の認証を選択し、設定を保存します。
※ADSelfService Plusに到達できない、またはADSelfService Plusがダウンしている場合、
[ADSelfService Plusがダウンしている場合はTFAをバイパスします]
次のオプションを有効化することでMFAをバイパスすることが可能です。
以上です。