Windows Server 2016 ADFS × Azure MFAで多要素認証

皆さんこんにちは。国井です。

今日はOffice 365 Advent Calendar 2017に参加して、本投稿を書いています。

■Office 365 Advent Calendar 2017
https://adventar.org/calendars/2585

Office 365へのサインインのうち、50％がADFSサーバーを使ったサインインだといわれているので、そのADFSサーバーへのサインインをAzure ADの多要素認証と組み合わせて強化していく方法について見てみたいと思います。

ADFSサーバーで多要素認証を実装すると言ったら、基本的に証明書認証一択だったと思いますが、Azure AD Premium P1で提供されるAzure MFAを組み合わせると、Azure MFAの電話認証等がADFSサーバーでも利用できるようになります。

この設定自体は以前からあったのですが、Azure ADで提供されるツールをインストールするなどの作業がなくなったので、簡単に利用できるようになりました。
(以前提供していたツールって、インストール後のウィザードが複雑すぎて何をすれば正解なのか、よくわからなかったりして、実装には色々と苦労させられてたんですよね..)

ではさっそく、簡単になったAzure MFAをWindows Server 2016と組み合わせて設定する方法について実装方法をみていきましょう。

準備

Azure AD Premium P1以上のライセンスとADFSサーバーによるAzure ADシングルサインオン環境が必要です。
実はこれが一番のハードルだったりします。。

Azure MFAを利用できるようにするための初期設定

Azure MFA用の証明書の作成、証明書とAzure MFAのアプリIDを組み合わせてSPNを作成、ADFSと関連づける設定、この3つをPowerShellで実行します。

$certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID <ドメイン名>
New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -Type asymmetric -Usage verify -Value $certBase64
Set-AdfsAzureMfaTenant -TenantId <ドメイン名> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

Azure MFAのアプリIDは981f26a1-7f43-403b-a875-f8b09b8cd720って決まっているので、そのまま入力するだけ。TenantIdにはAzure AD Connectのコネクタスペースの名前が入りますが、それはすなわちActive Directoryのドメイン名になります。