業務ハックLab -とある情シスの備忘録-

とある情シスの備忘録的なものです。

【スポンサーリンク】

Microsoft365の多要素認証の設定方法

皆さんこんにちは!!
業務ハックLabのよ~よんです。
今日はMicrosoft365の多要素認証設定方法についてお話したいと思います。

皆さん、多要素認証設定していますか?
もちろんパスワードは設定していると思いますが実はパスワードって
案外簡単に突破されちゃうんです。

すべての文字の組み合わせをひたすら試す手法をブルートフォース攻撃というのですがなんと「アルファベット小文字/大文字 + 数字」の組み合わせでも6桁だとたった13秒、
8桁でも13.5時間で突破されちゃうそうです。

いやはや恐ろしい・・・

そこで多要素認証が登場です!!
多要素認証ですがわかりやすく言うとパスワード以外に別の認証を組み合わせることによって安全性を高める手法のことです。

この設定、もう必須と言ってもいい設定です。
まだ設定をしていない方はぜひこの機会に設定してみて下さい!!

 

管理者側での設定編

まずは管理者側で多要素認証の有効化をする必要があります。
設定はAzure Active Directoryから設定します。

多要素認証の有効化

  1. まずはMicrosoft365管理センターから「Azure Active Directory」をクリック

    f:id:yo-yon:20201111205844p:plain

  2. 左側のメニューで「ユーザー」をクリック

    f:id:yo-yon:20201111205939p:plain

  3.  

    「Multi-Factor Authentication」をクリック

    f:id:yo-yon:20201111210141p:plain

  4.  

    多要素認証を有効にするユーザーにチェックを入れ右側のメニューで
    「有効にする」をクリック

    f:id:yo-yon:20201111210328p:plain

  5.  

    「multi-factor authを有効にする」をクリック

    f:id:yo-yon:20201111210458p:plain

  6.  

    有効になっていることを確認する

    f:id:yo-yon:20201111210607p:plain

ユーザー側での設定編

管理者側の設定が終わったら、次にユーザー側の設定をします。
今回は認証アプリとしてMicrosoft Authenticatorを使用した例を紹介します。
ユーザー側の設定は手順が少し多いことと、PCにOutlookをインストールしている場合、アプリパスワードの設定をする必要があるので注意してください。

Authenticatorアプリの設定

  1. Microsoft365ポータルを開く

    f:id:yo-yon:20201111211805p:plain

  2. 画面右上の自分のアイコンをクリックし開いた画面で「アカウントを表示」を
    クリック

    f:id:yo-yon:20201111211845p:plain

  3. マイアカウントが開くので左側メニューから「セキュリティ情報」をクリック

    f:id:yo-yon:20201111211945p:plain

  4. セキュリティ情報の画面になったら「方法の追加」をクリックする

    f:id:yo-yon:20201111212016p:plain

  5. 「認証アプリ」を選択し、追加をクリック

    f:id:yo-yon:20201111212048p:plain

  6. 「次へ」をクリック

    f:id:yo-yon:20201111212119p:plain

  7. 「次へ」をクリック

    f:id:yo-yon:20201111212155p:plain

  8. スマホMicrosoft Authenticatorアプリを開き、PC画面に表示されたQRコード
    読み取る

    f:id:yo-yon:20201111212428p:plain

  9. PC画面側で次へをクリック

    f:id:yo-yon:20201111212733p:plain

  10. スマホにサインイン認証要求の着信が来るので「承認」をタップする

    f:id:yo-yon:20201116154000p:plain

  11. PC画面側で「次へ」をクリック

    f:id:yo-yon:20201111212808p:plain

  12. Microsoft Authenticatorが追加されたことを確認する

    f:id:yo-yon:20201111212840p:plain

アプリパスワードの設定

多要素認証に対応していないOutlookなどを使用している場合、アプリパスワードを設定する必要があります。(設定しなくても使える方法はあるのですがそれはまた後日)

  1. Authenticatorアプリの設定の1~4までと手順は同様にすすむ
  2. 「アプリパスワード」を選択し、追加をクリック

    f:id:yo-yon:20201111213737p:plain

  3. 管理しやすいようにわかりやすい名前をつける(英数字で8文字以上)
    f:id:yo-yon:20201111213815p:plain
  4. 表示されたパスワードをコピー

    f:id:yo-yon:20201111213922p:plain

  5. Outlook起動時に表示されるWindowsセキュリティで4でコピーしたパスワードを
    貼り付けする

    f:id:yo-yon:20201111214001p:plain

前述の通りアプリパスワードを設定しなくても使用できる方法はありますがまだ僕自身が検証できていませんので検証ができ次第、記事を追加させて頂きます。

 ※2020/11/12追記

アプリパスワードを使わない方法の検証ができたので追記します!!

Outlook in Exchange Online で最新認証の有効化をする方法

 2017/8/1以前にOffice365のテナントを立ち上げた方はExchange Onlineで先進認証が有効化されていないようです。
これを有効化しないと多要素認証を設定した際にアプリパスワードを設定する必要があります。
有効化するにはPowerShellを使用します。
では早速、説明していきます。

EXO V2 モジュールをインストール

設定する上でEXO V2 モジュールのインストールが必要となります。
インストールはPowerShell上で実施します。

  1. PowerShellを管理者権限で起動する

    f:id:yo-yon:20201112182139p:plain

  2. 下記コマンドを入力
    Install-Module -Name ExchangeOnlineManagement -RequiredVersion 2.0.3

    f:id:yo-yon:20201112182245p:plain

Exchange Online の先進認証設定を変更

準備が整ったら先進認証設定を変更します。

  1. Exchange Online に接続(PowerShellでcommandを入力)
    ※<UPN>のところはご自分のテナントで使用している管理者IDを入れてください。
    Connect-ExchangeOnline -UserPrincipalName <UPN> -ShowProgress $true

    f:id:yo-yon:20201112182422p:plain
    f:id:yo-yon:20201112182438p:plain

  2. 先進認証設定を確認(PowerShellでcommandを入力)
    Get-OrganizationConfig | Format-Table -Auto Name,OAuth*

    f:id:yo-yon:20201112182505p:plain
    Falseになっていると有効になっていません。

    f:id:yo-yon:20201112182547p:plain

  3. 先進認証設定を変更(PowerShellでcommandを入力)
    Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

    f:id:yo-yon:20201112182610p:plain

この先進認証を有効化することでアプリパスワードの設定が必要なくなります。

では皆さん、セキュリティをしっかりと確保しつつ良いMicrosoft365ライフを送りましょう~!!
ではまた!!

 

免責事項