【Ignite関連】Microsoft Entra ID における外部認証方法
Ignite 2024で発表されていた外部認証方法(MFAにサードパーティの機能を使える)について、主催している情報共有コミュニティで説明したところ、いろいろとご質問いただいたので、深堀して調査しました。
外部認証方法とは
ユーザーがアプリやリソースにアクセスする際に多要素認証が要求されるとき、2番目の認証としてサードパーティ製の外部サービスを利用して多要素認証を完了させるための機能です。
外部認証方法を利用する際は、事前に Entra ID と外部サービスの両方で構成が必要となります。
Entra ID と外部サービスの両方で構成を行った後、外部認証方法を利用することで、外部サービスから発行された認証結果を受けて、Entra ID で多要素認証を完了させます。
外部認証方法を利用する際の Entra ID 側の構成方法については以下のリンクにて記載あります。
https://learn.microsoft.com/ja-jp/entra/identity/authentication/how-to-authentication-external-method-manage#create-an-eam-in-the-admin-center
構成方法補足
Entra ID 側での外部認証方法のセットアップは、外部サービスとの連携のため事前設定が必要となりますが、個々のユーザーの紐づけ対応(Entraユーザと外部サービスのユーザを一つ一つ紐づける作業)は不要です。
管理者の作業としては、認証方法ポリシー項目から 外部認証方法の追加 および 外部認証方法の利用に伴って使用するアプリケーションの作成作業があります。
※このとき、外部サービス側でも並行して Entra ID との連携作業が必要です。
上記の作業後、追加した外部認証方法を利用することを許可するユーザーを “すべてのユーザー" もしくは “グループ" で対象として選択します。
その後は、対象ユーザーが条件付きアクセスポリシー等によって MFA を要求された際に、個々のユーザーで外部認証方法のセットアップおよびその方法で MFA を完了させることで、Entra ID における認証が完了します。
外部認証方法のメリット
以下のようなケースでメリットになると思います。
- Entra ID で提供されている認証方法以外の外部サービスで提供されている認証方法を使用したい
- すでに外部サービスの認証方法を利用している(スマホに外部サービスの認証アプリがインストールされていて、Microsoft Authenticatorを追加でインストールしたくない場合 など)
Entra上でユーザアカウント/パスワード認証完了後、外部サービス側でも、ユーザアカウント/パスワード(外部サービス側の値)認証は必要になるか
外部サービスの実装に依存するので、正確な情報については利用する外部サービスベンダーに確認する必要があります。
Entra ID の動作としては、パスワード認証後、外部サービスに認証要求を送る際に (リダイレクトする際に)、 ユーザー情報を含めて提示しますが、外部サービス側がそのユーザー情報を使用する実装となっている場合は、ユーザー情報の再入力が不要となると思われます。
またユーザー情報の提示後、外部サービスがパスワードの入力を要求するかについても、外部サービス側の実装に依存するので、外部サービスベンダーに確認する必要があります。