Azureサブスクリプション管理者向けに多要素認証する

以前のPostで組織アカウントのみを使ってAzure サブスクリプションを契約することができました。
あとはサインアップに使ったアカウント(全体管理者)をきちんと管理したいですよね。

Microsoftアカウントであればそちら側で多要素認証(MFA)が使えますが、Azrue ADの組織アカウントでの多要素認証ってどうなんでしょうか?

基本的に無料ではなさそう?いいえ実は上記Blogに書いてないことが1つあります。ユーザー向けではなくAzrueの全体管理者向けにはMFAが無料で提供されるのです。

管理者用の Azure Multi-Factor Authentication の無料版はありますか?

対応する Azure Active Directory がディレクトリ ユーザーに対して Azure Multi-Factor Authentication を使ってプロビジョニングされていない場合、Azure の全体管理者は Azure Multi-Factor Authentication 機能の一部を無料でご利用いただけます。

https://azure.microsoft.com/ja-jp/pricing/details/multi-factor-authentication/

image

https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication/

意外と知られてそうで知られてない事実のようです。早速使ってみましょう。操作はClassicポータルで行います。

How to

まず最初の状態。サインアップしてすぐですね組織アカウントだけがテナントに存在しています。
image

もちろんMFAプロバイダも存在しません。
image

この状態でユーザー一覧ページの下部にある「Multi-Factor Authの管理」を選択します。
image

多要素認証用の管理ページが表示されるので、ユーザーを選択して「有効にする」を選択します。
image

あとはウィザードに従って有効化していきます。
image
image

有効になりました。
image

有効化後、ユーザー自身でセットアップを行う必要があります。一度サインアウトして再度サインインします。
パスワード入力後、多要素認証のセットアップを求められるので「今すぐセットアップ」でセットアップします。
image

後は基本的にウィザードに従うだけです。ここではモバイルアプリ(Azure Authenticator)を使ってみます。
image
image

Azure Authenticatorで追加を選んでQRコードを読み取ればOKです。無事追加されたあと、認証の確認を行います。
image
「連絡してください」を選択します。

後はアプリがダメな場合の代替手段として電話やSMS用の番号を登録します。
image

最後にアプリ用のパスワードが表示されるので必要なら控えておきます。
image
※一部MFAできないアプリケーションでの認証用

セットアップが完了したらサインインできると思います。
Azure Authenticator側はサインイン時のパスワード入力後、Push通知が来るのでアプリ側でぽちっと認証するだけです。
image

便利ですね。ちなみにAzure AuthenticatorはMSアカウントやgoogleアカウントの多要素認証にも対応してるので便利です。(自分は全部このアプリに統合しちゃった)

また新規で管理者ユーザーアカウントを作成する場合はウィザードで有効化にチェックいれれば手動で有効化する手間をはぶけます。
image

おまけ

azure CLIなどでMFAセットアップ時に登録したアプリケーションパスワード使おうとしても使えません。注意しましょう。(最新版であれば引数なしでazure login等で動作するから問題ないですね)
image

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中