よく "会社支給のスマートフォンからのみOffice 365にアクセスさせたい" という要望を聞く機会があります。
昔からExchange OnlineではActiveSyncの管理機能を使用して、実現することができていました。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2012/04/22/mobile-device-management-using-exchange-online.aspx
これがWindows Server 2012 R2のDevice Registration Serviceという機能を使用することでより柔軟な管理ができるようになっています。
http://blogs.technet.com/b/junichia/archive/2013/11/14/3610844.aspx
あらかじめ使用するデバイスに対して、証明書を配布しておき、Active Directoryに登録しておくことで、Office 365へのアクセス可否を操作する機能です。
下記のサイトを見ると、スマートフォンからADFSサーバーにアクセスすることでActive Directoryに登録を行う、というようなイメージなので、会社端末についてはこれらの作業を行った後で、ユーザーに配布するオペレーションになりそうですね。
(証明書に関してはすでにスマートフォンに含まれているようなサードパーティ製のものを使用すればユーザー作業は不要なのかな…?)
http://sophiakunii.wordpress.com/2013/09/18/windows-server-2012-r2%e3%82%92%e4%bd%bf%e3%81%a3%e3%81%a6ios%e3%81%a0%e3%81%91%e3%81%8coffice365%e3%81%ab%e3%82%a2%e3%82%af%e3%82%bb%e3%82%b9%e3%81%a7%e3%81%8d%e3%82%8b%e3%82%88%e3%81%86%e3%81%ab/
2014年2月18日火曜日
Office 365の多要素認証機能
Office 365の多要素認証機能がアップデートされました。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2014/02/12/multi-factor-authentication-for-office-365.aspx
少し前に実装された機能ですが、どのあたりがアップデートされたのかというと…
【これまで】
・管理者に対してしかできなかった。しかも有料だった。
・ADFSによりSSOを実装している構成では使用できなかった。
【これから】
・エンドユーザーも使用可能になった。
・しかも無料になった。(Exchange Onlineなど各製品のライセンスがあればOK)
・ADFSによりSSOを実装している構成で使用できるようになった。(↓)
http://blogs.office.com/2014/02/10/multi-factor-authentication-for-office-365/
多要素認証とはそもそも、自分のOffice 365のIDとパスワードを入力して、サービスにログインしようとした際に、さらにもう一回別の認証を聞かれる、というものです。
この「別の認証」というのは以下のようなものになります。
【Office 365多要素認証の方法】
1. 携帯電話に電話がかかってくる
自分の(登録している)携帯電話がなるので、出てから1回シャープ記号を押すとログインできる。
携帯電話がない場合には会社とかの電話でもOK。
2. ユーザーの携帯電話へのテキスト コードが送られる
自分の(登録している)携帯電話に 6 桁の数字のコードを含むテキストメッセージが送信されるので、このコードをOffice 365ポータルで入力するとログインできる。
3. スマートフォン用の専用アプリに通知が送信される
スマートフォンのアプリをインストールしておくと、そこに通知が送信され、それに応答するとログインできる。
(Windows Phone、iPhone、Android の各種デバイスに対応)
4. スマートフォン用の専用アプリにワンタイム コードが表示される
No.3と同じアプリで6 桁の数字のコードが表示されるので、それをポータルで入力するとログインできる。
この多要素認証機能の実装方法ですが、大きく分けて以下の2パターンがあります。
【Office 365多要素認証の実装方法】
(1) Multi-Factor Authentication for Office 365
こちらはOffice 365ポータル上だけで設定が可能なものになります。
上述のサイトではこちらに関する設定方法が記載されています。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2014/02/12/multi-factor-authentication-for-office-365.aspx
(2) Windows Azure Multi-Factor Authentication
こちらは他のアプリケーションとの連携を考慮したい場合など、(1) の機能だけでは実現できない要件がある場合に使用するもののようです。
具体的な設定方法や、(1) との機能差異については下記のTechNetにまとめられています。
http://technet.microsoft.com/en-us/library/dn383636.aspx
クラウドはいろいろセキュリティについて議論されることが多いので、もしかするとこのあたりの設定は今度主流になってくるかもしれません。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2014/02/12/multi-factor-authentication-for-office-365.aspx
少し前に実装された機能ですが、どのあたりがアップデートされたのかというと…
【これまで】
・管理者に対してしかできなかった。しかも有料だった。
・ADFSによりSSOを実装している構成では使用できなかった。
【これから】
・エンドユーザーも使用可能になった。
・しかも無料になった。(Exchange Onlineなど各製品のライセンスがあればOK)
・ADFSによりSSOを実装している構成で使用できるようになった。(↓)
http://blogs.office.com/2014/02/10/multi-factor-authentication-for-office-365/
多要素認証とはそもそも、自分のOffice 365のIDとパスワードを入力して、サービスにログインしようとした際に、さらにもう一回別の認証を聞かれる、というものです。
この「別の認証」というのは以下のようなものになります。
【Office 365多要素認証の方法】
1. 携帯電話に電話がかかってくる
自分の(登録している)携帯電話がなるので、出てから1回シャープ記号を押すとログインできる。
携帯電話がない場合には会社とかの電話でもOK。
2. ユーザーの携帯電話へのテキスト コードが送られる
自分の(登録している)携帯電話に 6 桁の数字のコードを含むテキストメッセージが送信されるので、このコードをOffice 365ポータルで入力するとログインできる。
3. スマートフォン用の専用アプリに通知が送信される
スマートフォンのアプリをインストールしておくと、そこに通知が送信され、それに応答するとログインできる。
(Windows Phone、iPhone、Android の各種デバイスに対応)
4. スマートフォン用の専用アプリにワンタイム コードが表示される
No.3と同じアプリで6 桁の数字のコードが表示されるので、それをポータルで入力するとログインできる。
この多要素認証機能の実装方法ですが、大きく分けて以下の2パターンがあります。
【Office 365多要素認証の実装方法】
(1) Multi-Factor Authentication for Office 365
こちらはOffice 365ポータル上だけで設定が可能なものになります。
上述のサイトではこちらに関する設定方法が記載されています。
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2014/02/12/multi-factor-authentication-for-office-365.aspx
(2) Windows Azure Multi-Factor Authentication
こちらは他のアプリケーションとの連携を考慮したい場合など、(1) の機能だけでは実現できない要件がある場合に使用するもののようです。
具体的な設定方法や、(1) との機能差異については下記のTechNetにまとめられています。
http://technet.microsoft.com/en-us/library/dn383636.aspx
クラウドはいろいろセキュリティについて議論されることが多いので、もしかするとこのあたりの設定は今度主流になってくるかもしれません。
登録:
投稿 (Atom)