ADFS認証において多要素認証を導入する方法

クラウドサービスに対する認証をEntraで実施している場合は、Entraで用意されている様々な多要素認証のオプションが用意されています。ADFSで認証を実施している場合、多要素認証を導入は可能なのでしょうか。

ADFSの機能(クライアント証明書による認証)を利用する方法

以下の公開情報にも説明がありますが、AD FS では、証明書認証を用いた追加認証が既定で用意されています。(3rd Party 製の認証プロバイダーを AD FS と連携することで、AD FS 上での MFA にてこの認証プロバイダーを追加認証方法として利用することも可能です)

■AD FS の追加の認証方法の構成

URL:https://learn.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/configure-additional-authentication-methods-for-ad-fs

// 抜粋 //

多要素認証 (MFA) を有効にするには、追加の認証方法を少なくとも 1 つ選択する必要があります。

既定では、Windows Server の Active Directory フェデレーション サービス (AD FS) で、追加の認証方法として証明書の認証 (スマート カード ベースの認証) を選択できます。

//////////

以下が実際の AD FS の設定画面となりますが、赤枠の [追加の認証方法] の項目から AD FS の多要素認証で利用する認証方法を選択し、AD FS のアクセス制御ポリシーを用いて MFA を要求する条件を指定するといったイメージとなります。

証明書認証を利用する場合には、AD FS としては認証に利用するクライアント証明書を発行する機能は存在しないので、注意ください。そのため、認証に利用するクライアント証明書は証明機関を構成や証明書サービスを用いて用意する必要があります。

Azure MFAを利用する方法

Microsoft Entra ID P1 ライセンス以上の有償ライセンスがあれば、AD FS の MFA として Azure MFA を構成することも可能です。

この機能を利用することで AD FS 上でのパスワード認証完了後に、AD FS 上で引き続き Azure MFA による追加認証を利用できる動作となります。

AD FS を使用して Microsoft Entra 多要素認証を 認証プロバイダーとして構成する

URL:https://learn.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/configure-ad-fs-and-azure-mfa

Entra

Posted by MITSUAKI TSURUTA