Microsoft 365

FIDO2 セキュリティ キーを緊急アクセス用管理者アカウントに設定してみた

  • 2024.09.03

2024年1015日以降、Microsoft Azure ポータル、Microsoft Entra 管理センター、Microsoft Intune 管理センターへのアクセス時に多要素認証 (MFA) の利用が義務付けられます。前回の投稿で緊急アクセス用管理者アカウントの MFA 対応方法について考えてみました。

そして「FIDO2 Security Key」 を利用して緊急アクセス用管理者アカウントの MFA 対応をやってみたので、設定方法を備忘録としてご紹介します。

FIDO2 セキュリティ キーの有効化

FIDO2 セキュリティ キーを Microsoft 365 の認証要素として利用するには、まずは Microsoft Entra 管理センターで有効化が必要です。

  1. Microsoft Entra 管理者センターにアクセスし、[保護] – [認証方法] – [パスキー (FIDO2)] をクリックします。
  2. 「有効にする」 のトグルをオンに。
  3.  有効化後、FIDO2 セキュリティ キーの利用を許可するグループを設定します。
    指定可能なグループは、Microsoft 365 グループ、セキュリティ グループ、メールが有効なセキュリティ グループで、複数選択も可能です。設定後 [保存] をクリック。

      → 画面では「FIDO2 グループ」 というセキュリティ グループを作成し、緊急アクセス用管理者アカウントを追加した「FIDO2 グループ」 というセキュリティ グループを指定しています。

    多要素認証の登録

    FIDO2 セキュリティ キーを登録するには、事前に別の多要素認証の登録が必要です。今回は一時的に個人スマートフォンを登録し、FIDO2 セキュリティ キーの登録後にスマートフォン情報を削除することとします。

    1. Microsoft Entra管理センターので [ユーザー] – [すべてのユーザー] – <緊急アクセス用管理者アカウント> 名をクリックします。
    2. [認証方法] – [認証方法の追加] をクリックし、[電話番号] を選択します。
      選択後、認証コードを受信する携帯番号を入力します。電話番号の入力の際、最初に国番号が必要なため +81 を付けてください。入力後、[追加] をクリックします。

    電話番号を利用した多要素認証が可能になりました。既定のサインイン方法が 「SMS」 であることを確認してください。

    FIDO2 セキュリティ キーの登録

    セキュリティ キーの登録は、電話番号のように Microsoft Entra 管理センターで登録できません。ユーザー自身が Microsoft 365 にアクセスして登録します。

    今回私は FIDO2 セキュリティ キーのデバイスとして Security Key NFC by Yubico を利用しました。USB Type-A 用で PC に挿入して利用します。NFC 機能もあるため、デバイスに NFC リーダーがあれば Yubico デバイスをカード代わりに認証で利用できます♪

    1. Web ブラウザーを起動し、緊急アクセス用管理者アカウントで Microsoft 365 ホーム (https://portal.office.com) にサインイン後、<画面右上の写真> – [アカウントを表示] をクリックします。
    2. [セキュリティ情報] を開き、[サインイン方法の追加] – [セキュリティ キー] をクリックし、[追加] をクリックします

      クリック後、次のような画面が表示された場合、多要素認証が必要です。[次へ] をクリックして多要素認証を行ってください。
    3. [USB デバイス] をクリック

      1. Yubico デバイスを PC に挿入し、[次へ] をクリックします。
      2. Windows OS のバージョンにより画面が異なります。
        Windows 10 の場合、[別の方法で保存する] – [外部セキュリティ キーを使用する] をクリックしてください。

        Windows 11 の場合は、[セキュリティ キー] を選択し、[次へ] をクリック

      3. セキュリティ キーのセットアップで [OK]、さらにセットアップの続行で [OK] をクリックし、次に利用するセキュリティ キーを入力します。
      4. Yubico のセンサーが点滅します。センターをタッチします。指紋の登録ではないので、どの指でタッチしても問題ありません。
      5. 保存されたパスキーで、[OK] をクリック、そしてセキュリティ キー名を入力し、[次へ] をクリックします。

      セキュリティ キーの登録が完了しました!
      以降は、FIDO2 セキュリティキーを利用したパスワードレス認証で Microsoft 365 にアクセスできます。多要素認証のために登録を行った電話番号を削除します。
      ※ 電話番号を削除しなくても、FIDO2 セキュリティ キーは利用できます。

      なお、緊急アクセス用管理者アカウントや FIDO2 セキュリティ キーの利用に関わらず、Microsoft 365 管理者は Microsoft Entra 管理センターの [ユーザー] – <ユーザー名> – [認証方法] をクリックすることで、ユーザーが登録している認証方法を確認できます。

      動作確認

      FIDO2 セキュリティ キーを利用して、Microsoft 365 にパスワードレス認証でサインインします。Yubico デバイスは PC に挿入済みの状態です

      1. 普段利用している業務アカウントではないため Microsoft Edge の InPrivate ウィンドウを利用し、https://portal.office.com へアクセスし、サインイン画面の [サインイン オプション] をクリックします。
      2. [顔、指紋、PIN、またはセキュリティ キー] を選択。
      3. [別のデバイスを使用する] – [次へ] をクリック、さらに [セキュリティ キー] を選択して [次へ] をクリック
      4. 登録した FIDO2 セキュリティ キー暗証番号を入力し、[OK] をクリック。
      5. 本人確認の画面がでたら Yubico のセンサーにタッチします

      FIDO2 セキュリティ キーを利用してパスワードレス認証で Microsoft 365 にアクセスできました!

      最後に

      今回は緊急アクセス用管理者アカウントの MFA 義務化対策として FIDO2 セキュリティ キーを利用してみましたが、管理者アカウントや一般アカウントも同様の設定で FIDO2 セキュリティ キーを利用した認証を実現できます。FIDO2 セキュリティ キーはスマートフォンやハードウェア トークンでの MFA に比べると、準備や設定の手間も少なく、さらにパスワードレス認証となるため、Microsoft 365 をより安全に利用できます。

      MFA の導入を悩まれている方は、ぜひ FIDO2 セキュリティ キーも検討してみてください!

      Microsoft 365 管理者向けコース

      • CI505-H Microsoft 365 運用管理
        Microsoft 365 の運用管理において必要となる知識を習得し、行うべき設定項目を理解いただけます。アカウントやデバイス管理の必須となる Azure AD に対する必須知識から、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business などの各サービスに対して行うべき設定、推奨される設定、理解しておきたいしくみなど、運用管理に必要となる内容を基本から、運用にもとめられるレベルまで解説します。また入退社や人事異動への対応方法、監査ログや検疫といったセキュリティ・コンプライアンス対策のために行うべきこともあわせてご紹介します。
      • CI509-H Microsoft 365 デバイス運用管理
        IT 担当者を対象に、安全なモバイルワークを実現する第一歩である Microsoft 365 でのデバイスの管理や運用手法について解説します。デバイスの安全性を高めるために Microsoft Entra ID や Microsoft Intune により、OS のバージョン管理、利用可能とするアプリの許可、接続するネットワークの制限、デバイスの盗難や紛失、退職者のデバイスを正しく管理する方法などを解説します。本コースでは iPhone を使用した実習を行うため、モバイルデバイスの管理方法について、動作を確認しながらさまざまな機能をご理解いただけます。
      • CI507-H Microsoft 365 情報保護とコンプライアンス
        Microsoft 365 の管理者を対象に、ファイルやメール、チームといった Microsoft 365 内の情報を保護するために必要な基本知識や利用すべき機能、および利用方法を解説します。
      • CI508-H Microsoft 365 PowerShell による管理効率化
        Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルを運用管理で利用できるサンプルをもちいて解説します。また、今後利用が推奨される Microsoft Graph PowerShell SDK の利用方法もあわせて解説します。

      お問い合わせ

      イルミネート・ジャパンが提供するトレーニングやサービスに関するご相談など、
      お気軽にご連絡ください。

      担当者に相談する