Azure AD でパートナー会社社員を guest 登録し、これに multi-factor authentication を強制する術
[guest 登録]
- Azure Active Directory を選択
- Users and Groups を選択
- All users を選択
- 上部の New guest user を選択
- メールアドレス(外部ドメイン)とメッセージ入力し、Invite する。
これにて、対象者にメールが届き、Accept すると当社の AD にguest
として登録完了となる。guest のアイコンは地球儀みたいで社員と区別
付きやすい。
[guestへ MFAを強制する]
- これを実施するには、Invite 側が、Azure AD Premium ライセンスを
保有していること。保有していないと、設定ができない。本目的では、P1
で十分だと思う(現在トライアル中でP2)。P1で、ユーザーあたり 4.5
GBP / Annual、というなかなか微妙な(巧いと思う)値付け。なお、ト
ライアルをEnableしてから本作業を実施できるようになるまで、少なく
とも10分程待たされた。直ぐにチケット発行せず、待つこと。
guest 側にはライセンスは無用。
- このライセンスは、Azure というよりは、どちらかというと
Office365等と同じような扱いとなっているようで、Office 365側の管
理画面にも表示される。Azure側では、このライセンスを各ユーザーに
アサインできるようになっている(まだ Preview)が、これが何を意味
するのか、まだ勉強不足。本目的には無関係のようだ(誰にもアサイン
していない)
- Azure Portal から Azure Active Directory を選択。
- SECURITY 直下の Conditional access を選択。
- New policy を選択。
- 適当に名前を付与し、各パラメターを入力する。MFA を強制したいユー
ザー、グループや、 アプリを柔軟に指定できる。
- Enable policy を On にして、Createボタンをクリック。
- これで新ポリシーが出来上がり、わりと直ぐに適用される。
- guest さんに、MFAをテストしてもらい、オシマイ。
---
MFA関係は、なにかと設定してから反映まで時間がかかるようなので、
動作が変な時は30分程、待ってみるべし。
--- 補足
上は、 guest に対して MFA を強制するのが目的だが、社員だけにこれ
を実施したい場合は、必ずしも P1 を購入する必要はなく、
Azure Active Directory, Users and Groups, All users の上部にある
Multi-Factor Authentication からユーザーを選択して実施できる。
但し、”Conditional" では無い分、柔軟性は低く、Group やアプリ毎
の指定はできない。また、guests も一覧表示されるが、 greyed out
されていて、MFAは設定できない。
この状態では(P1無し)、 guest 側組織が guest に MFA を強制して
いるとしても、当社のアプリ・アクセスの際には無関係で、password
のみの認証となってしまう。即ち、Inviteする側(当社)の判断が勝ち、
という仕掛けである。”要求の厳しいもの勝ち”にしてくれればよいの
に、と思うが、MSの収入が減る方に運動するであろうからね。
- Azure Active Directory を選択
- Users and Groups を選択
- All users を選択
- 上部の New guest user を選択
- メールアドレス(外部ドメイン)とメッセージ入力し、Invite する。
これにて、対象者にメールが届き、Accept すると当社の AD にguest
として登録完了となる。guest のアイコンは地球儀みたいで社員と区別
付きやすい。
[guestへ MFAを強制する]
- これを実施するには、Invite 側が、Azure AD Premium ライセンスを
保有していること。保有していないと、設定ができない。本目的では、P1
で十分だと思う(現在トライアル中でP2)。P1で、ユーザーあたり 4.5
GBP / Annual、というなかなか微妙な(巧いと思う)値付け。なお、ト
ライアルをEnableしてから本作業を実施できるようになるまで、少なく
とも10分程待たされた。直ぐにチケット発行せず、待つこと。
guest 側にはライセンスは無用。
- このライセンスは、Azure というよりは、どちらかというと
Office365等と同じような扱いとなっているようで、Office 365側の管
理画面にも表示される。Azure側では、このライセンスを各ユーザーに
アサインできるようになっている(まだ Preview)が、これが何を意味
するのか、まだ勉強不足。本目的には無関係のようだ(誰にもアサイン
していない)
- Azure Portal から Azure Active Directory を選択。
- SECURITY 直下の Conditional access を選択。
- New policy を選択。
- 適当に名前を付与し、各パラメターを入力する。MFA を強制したいユー
ザー、グループや、 アプリを柔軟に指定できる。
- Enable policy を On にして、Createボタンをクリック。
- これで新ポリシーが出来上がり、わりと直ぐに適用される。
- guest さんに、MFAをテストしてもらい、オシマイ。
---
MFA関係は、なにかと設定してから反映まで時間がかかるようなので、
動作が変な時は30分程、待ってみるべし。
--- 補足
上は、 guest に対して MFA を強制するのが目的だが、社員だけにこれ
を実施したい場合は、必ずしも P1 を購入する必要はなく、
Azure Active Directory, Users and Groups, All users の上部にある
Multi-Factor Authentication からユーザーを選択して実施できる。
但し、”Conditional" では無い分、柔軟性は低く、Group やアプリ毎
の指定はできない。また、guests も一覧表示されるが、 greyed out
されていて、MFAは設定できない。
この状態では(P1無し)、 guest 側組織が guest に MFA を強制して
いるとしても、当社のアプリ・アクセスの際には無関係で、password
のみの認証となってしまう。即ち、Inviteする側(当社)の判断が勝ち、
という仕掛けである。”要求の厳しいもの勝ち”にしてくれればよいの
に、と思うが、MSの収入が減る方に運動するであろうからね。
コメント
コメントを投稿