モバイルアプリからOffice 365の多要素認証を使う

Office 365では、サインインするとき、ユーザー名/パスワード以外の要素を利用して認証する手段(多要素認証)をサポートしています(正確に言うと、Windows Azure Active Directoryにサインインするときに多要素認証をサポートしている、ですね)。そして、一般には電話をかける、テキストメッセージを受信する、などの方法で物理的なデバイスを持っている人だけがOffice365の認証をパスするという仕組みを使うケースが多いかと思いますが、一方でモバイルアプリを使ってワンタイムパスワード(OTP)を生成させて認証を行いたいケースもあるかと思います。

そこで、今回はOffice365の多要素認証の設定と、多要素認証にモバイルアプリを使う方法を確認してみたいと思います。

 

1.多要素認証の初期設定

Office365管理センターサイトの[ユーザーとグループ]の中に入っている[複数の要因を含む認証要件を設定する]の欄にある[セットアップ]をクリックします。

image

続く画面がこちら(下)。画面の説明にもあるように、現在のところOffice365の管理者アカウントだけが追加コストなしで多要素認証を設定できます。(すべてのユーザーを対象に多要素認証の設定ができるようになりました。2014年2月15日追記)
多要素認証を設定するユーザーを選んで[有効にする]をクリックします。

image

管理者以外のユーザーに対して、多要素認証を有効にする場合は、Viewの欄を[サインインが許可されているユーザー]を選択します。(2014年2月15日追記)

image

続く画面はこちら。

image

image

完了したら、一度サインアウトします。

 

2.モバイルアプリの設定

OTP用のモバイルアプリをダウンロードします。アプリの名前は
Windows Azure Multi-Factor Authenticationですが、
ストアでは「Multi-Factor Authentication」という名前で通っています。

アプリの会社名はMicrosoftではなく、PhoneFactor, Inc.なので注意してください。
(特にAndroidでは、まがい物にご注意!)

アプリはWindows Phone用、iPhone用、Android用が出ています。
今回はiPhone用をiPadにインストールして使います。
20140124_155627000_iOS

インストールが完了して、起動すると、

20140124_155726000_iOS

iPad用に最適化されていないので、画面サイズがおかしくなってます。

 

3.多要素認証設定後の初回サインイン

ポータルサイトにユーザー名/パスワードを入力してサインインします。
すると、[今すぐセットアップ]のボタンが現れました。

image

[今すぐセットアップ]をクリックすると、こちらの画面が現れます。
ここでは電話を選択して、電話番号を設定するのですが、今回はモバイルアプリなので、
[モバイルアプリケーション]を選択して、[構成]をクリックします。

image

バーコードが現れました。このバーコードを前の手順でインストールしたアプリにスキャンさせます。
(ちなみにGoogle認証アプリにスキャンさせたら、エラーになりました)

image

成功すると、

image

こんな感じで登録されます。

ポータルサイトに戻って、

image

下の画面に切り替わるので、[今すぐ確認]をクリックすると、

image

モバイルアプリの画面は下のような画面になります。
ここで[認証]をタップすると、

image

ポータルサイトでは、確認できたことを表しています。

image

その他、アプリが使えなかったときの緊急用電話番号の登録を行い、image

ブラウザー以外でのサインインを行うときに使うパスワードの生成を行って終了です。
(この部分については別の機会に)

image

ここまでで完了です。

 

4.多要素認証のテスト

サインインしてみましょう。
ユーザー名/パスワードを入力して、

image

この時点で、モバイルアプリに通知が送られるので、

image

モバイルアプリの画面で[認証]をタップすると、

image

認証は完了です。

OTPのコードを入れて、認証を行いたい場合には、ユーザー名/パスワードを入力した後、
[その他の検証オプション]をクリックして、

image

[モバイルアプリケーションの確認コードを使用する]をクリックして、

image

確認コードを入力します。

image

確認コードはモバイルアプリに表示されているものを入力します。

image

 

以上です。

Office365は100%ブラウザーサービスではないので、
Outlookからアクセスするときどうするか?とか、
モバイルでExchange ActiveSync経由のアクセスはどうなるのか?とか、
色々課題があります。
これについては、機会を改めて検証してみたいと思います。