皆さんこんにちは。国井です。
Azure ADで多要素認証を利用する場合、携帯電話による通話やSMSによるワンタイムパスワードなど、いくつかの認証方法が選択できますが、その中のひとつにMicrosoft Authenticatorを利用した方法があります。Microsoft AuthenticatorはiOS, Android用アプリで、初期設定でアカウントとアプリを紐付けておくと、多要素認証に利用することができます。
ところが、このAuthenticatorアプリ、今まで1アカウントにつき、1台のデバイスにインストールされたAuthenticatorアプリしか使えないという制約がありました。そのため、携帯を家に置いてきてしまったらどうするのか?とか、機種変更のときはどうするのか?とか、いろいろあったわけです。
それがいつの間にか、その制約がなくなり、複数のデバイスにインストールして利用できるようになりました(ということをお客さんに指摘されて初めて知りました)。
では、初期設定から見てみましょう。
まずは多要素認証が有効になっているユーザーでアクセスパネル(https://myapps.microsoft.com/)にアクセスし、[プロファイル]をクリックして、
[追加のセキュリティ確認]をクリックします。ここをクリックすると、多要素認証で使う認証方法を選択する画面に移動できます。
[認証アプリまたはトークン]にチェックをつけて、[Authenticatorアプリの設定]をクリックして、
QRコードが表示されたら、登録するデバイスのAuthenticatorアプリを起動し、QRコードを読み取ってください。
これで携帯電話(というかAuthenticatorアプリ)の登録は完了です。簡単でしょ?
同じ要領で2台目も登録します。
これで出来上がり。あとは実際に多要素認証が有効になっているユーザーでサインインすれば、自動的にAuthenticatorアプリから通知が出てくるので、[承認]を押すだけです。
このときに面倒になるのが、2台のデバイスを登録すると、[サインインを承認しますか?]の通知が2台同時に出てくることです。どちらのデバイスからでも多要素認証に応答できて便利なんだけど、一方で鬱陶しい。
そういう時はQRコード読み取りの画面で、[通知をオフにしてアプリを構成]をクリックしてからQRコードの読み取りを行います。そうすると、上の通知画面は出てこなくなります。
通知が出てこなくなったら多要素認証できなくなるんじゃないか?って思った人もいると思うのですが、1台でも[通知をオフにしてアプリを構成]から登録すると、Authenticatorアプリの通知機能は使わなく(使えなく?)なり、代わりにAuthenticatorアプリに表示されるワンタイムパスワードを入力するような認証方式に切り替わります。
上の画面が出てきたら、Authenticatorアプリに表示される6桁の数字を代わりに入れることで多要素認証のサインインを完了できます。
2台の携帯にAuthenticatorアプリを入れるとワンタイムパスワードの6桁の数字はそれぞれ違う数字になりますが、どちらの数字を入れてもサインインは成功します。
