ADSelfService Plus ナレッジベース

エンドポイント多要素認証についての解説と設定手順


本ナレッジでは、ADSelfService Plusの機能の一つである「エンドポイント多要素認証(MFA)」についてご案内いたします。

 

 

セキュリティ攻撃から二重保護

セキュリティ侵害の推定70%がエンドポイントから始まっている現状を考慮すると、これまでのユーザー名とパスワードだけでは安全を確保するのが難しくなってきました。そのため管理者は、二段階認証/多要素認証の導入などを通して、機密情報が公開されるリスクを低減する必要に迫られています。ADSelfService Plusは、単にパスワードを強化するだけではなく、エンドポイントMFA機能を提供しており、よりセキュアな環境整備・組織リソースの保護に貢献します。

 

サポートされている認証技術

エンドポイントMFA機能を有効にすると、端末へのアクセスを二段階続けて認証する必要があります。そのため、万が一、部外者にユーザーのパスワードが漏れた場合でも確認コードなどの2つ目の認証が必要になるため、不正ログインの可能性を低減できます。
第一段階目は、認証情報(ユーザー名とパスワード)を入力します。第二段階目では以下の認証を設定可能です。

  • セキュリティ質問&回答
  • SMSまたはメールによる認証コード
  • Google Authenticator
  • Duo Security
  • RSA SecurID
  • RADIUS認証
  • プッシュ通知
  • 指紋認証
  • ORコード
  • TOTP認証
  • ADセキュリティ質問
  • Microsoft Authenticator
  • YubiKey

 

ログオンまでの流れ(Windowsの場合)

  1. 設定済みユーザーがWindows端末へログオンする際、ドメインの資格情報を入力し、ADによる認証を実施
  2. 有効期限付き認証コード(SMS/メールアドレス、他社の認証サービス)などにより2つ目の認証を実施
  3. 上記の認証に成功した場合、Windows端末にログオン完了

 

エンドポイントMFAの設定方法

※手順実行前に次の前提条件をご確認ください。

<前提条件>
SSLが有効であること

SSLを有効化するには、次の手順をご参照ください。
1. 管理者としてADSelfServicePlusにログインします。
2. [管理]タブ-->[製品設定]-->[接続]に移動します。
3. [https]を選択し、保存します。

※ポート番号は任意の番号に変更可能です。

必要な認証が有効であること

必要な認証を有効化する必要がございます。
認証の有効化は、 [設定]タブ-->[セルフサービス]-->[マルチファクター認証] で行うことができます。

端末にADSelfService Plus エージェントがインストールされていること(Windows, macOS, Linux)

MFAを有効化するデバイスにエージェントをインストールする必要がございます。
インストール方法は、次の手順をご参照ください。
1. [設定]タブ-->[管理ツール]-->[GINA/Mac/Linux (Ctrl+Alt+Del)]をクリックします。
2. [GINA/Mac/Linux のインストール]をクリックします。
3. [新規インストール]タブにて、インストールするデバイスが属するドメインを選択します。
4. インストールするデバイスにチェックを付けます。
5. [インストール]をクリックします。

端末がADSelfService Plus管理下のドメインに参加していること

エンドポイントMFAは、ADSelfService Plus管理下のドメインに参加している端末でなければ利用できません。
ワークグループサーバー(ドメインに参加していないサーバー)では、エンドポイントMFAを利用することはできません。

ユーザーがADSelfService Plusのユーザーとして登録されていること

ADSelfService Plusのユーザーとして登録されているユーザーでなければ、エンドポイントMFAを利用することはできません。

<設定手順>

1. [設定]タブ-->[セルフサービス]-->[マルチファクター認証]をクリックします。
2. [ポリシーの選択]にて任意のポリシーを選択します。

※OU/グループ単位でポリシーを設定した場合は、OU/グループごとに認証を設定可能です。
2-1. [設定]タブ-->[セルフサービス]-->[ポリシー設定]をクリックします。
2-2. [OU/グループの選択]にて、任意のOU/グループを選択し、保存します。

3. [エンドポイントMFA]にて、任意の認証を選択し、設定を保存します。

※ADSelfService Plusに到達できない、またはADSelfService Plusがダウンしている場合、
次のオプションを有効化することでMFAをバイパスすることが可能です。

[ADSelfService Plusがダウンしている場合はTFAをバイパスします]

以上です。