(この記事は 2014 年 2 月 10 日に Office 365 Technology Blog に投稿された記事の翻訳です)

投稿者: Office 365 チーム、投稿日: 2014 年 2 月 10 日

今回は、Office 365 チームで ID 担当のテクニカルプロダクトマネージャーを務める Paul Andrew の投稿をご紹介します。

マイクロソフトは先日、Office 365 多要素認証を Office 365 Midsize Business プラン、Enterprise プラン、Education プラン、非営利団体向けプラン、スタンドアロン型の Office 365 プラン (Exchange Online、SharePoint Online を含む) の各プランに追加したことを発表しました。これにより、これらのサブスクリプション プランを契約されている企業の Office 365 ユーザーの皆様は、多要素認証機能をご利用いただけるようになります。なお、これに伴い、追加の料金やサブスクリプションが発生することはありません。

多要素認証を使用すると、クラウドサービスへログインする際のセキュリティが、パスワードのみを使用する場合よりも大幅に向上します。Office 365 多要素認証では、パスワードを入力した後に、スマートフォンからの通話や、テキスト メッセージの送信、アプリの通知によって認証を行う必要があります。この第 2 の認証要素が認証されない限り、サービスにサインインすることはできません。

多要素認証は、2013 年 6 月から Office 365 の管理者ロールで使用が開始されましたが、今回、すべての Office 365 ユーザーにご利用いただけるようになりました。また、昨年 6 月から導入されている機能がさらに強化されたほか、ユーザー向けのアプリ パスワード機能が新たに追加され、これによって多要素認証がまだ有効化されていない Office のデスクトップ アプリケーションからも認証を実行できるようになりました。また、フェデレーションされたオンプレミスのディレクトリから認証を受けたユーザーに対しても、多要素認証を使用できます。

今回の多要素認証の追加は、マイクロソフトが進めている Office 365 のセキュリティ強化への取り組みの一環です。また、Office デスクトップ アプリケーションにおいても、Office 365 多要素認証に対応した機能強化を進めています。この件については、今後このブログで随時お知らせする予定です。Office 365 は、すべてのユーザーを対象とした組み込みの堅牢なセキュリティ機能を多数備えているだけでなく、サブスクリプション所有者の皆様を対象とした、セキュリティ設定のカスタマイズ機能もオプションでご用意しています。Office 365 のセキュリティに関する詳細については、Office 365 セキュリティ センターを参照してください。

ここからは、Office 365 ユーザーによる多要素認証の活用方法とその構成方法、さらに Office デスクトップアプリケーションのアプリパスワード機能の使用方法について説明します。

ユーザーがアカウントのパスワードを入力すると、認証用の通話呼び出し中に上記のようなメッセージが表示されます。

Office 365 多要素認証の使用方法

Office 365 管理者はまず、多要素認証の対象とするユーザーを Office 365 管理センターから登録します。

Office 365 管理センターの [ユーザーとグループ] ページで [複数の要因を含む認証要件を設定する:セットアップ] リンクをクリックすると、多要素認証の対象とするユーザーを登録できます。

[多要素認証] ページにユーザーの一覧が表示され、ここから各ユーザーを多要素認証の対象として登録できます。

多要素認証に登録されたユーザーは、次回のログイン時に第 2 の認証要素を構成する必要があります。続いて再ログインが強制され、パスワードとスマートフォンによる通知の両方が要求されます。

多要素認証に登録されると、ユーザーが次回ログインしたときに、第 2 の認証要素のセットアップを要求するメッセージが表示されます。

第 2 の認証要素には、次のいずれかの方法を使用できます。

1. ユーザーの携帯電話への通話。ユーザーは自分の携帯電話に着信を受け、シャープ記号を押すよう促されます。シャープ記号を 1 回押すとログインが許可されます。
2. ユーザーの携帯電話へのテキストコードの送信。ユーザーの携帯電話に 6 桁の数字のコードを含むテキストメッセージが送信されるので、このコードをポータルで入力します。
3. 職場の電話への通話。ユーザーの携帯電話への着信と同様ですが、携帯電話を持っていない場合は他の電話を使用することもできます。
4. アプリからの通知。スマートフォンのアプリに通知が送信され、ユーザーがログインの確認作業を実行します。スマートフォンのアプリは、Windows Phone、iPhone、Android の各種デバイスで使用可能です。
5. アプリでのワンタイムコードの表示。上記と同じスマートフォンアプリを使用しますが、通知を受信するのではなく、ユーザーがアプリに表示された 6 桁の数字のコードをポータルで入力します。

ユーザーは、サインイン後に第 2 の認証要素を変更することができます。

設定メニューは、ポータル画面右上の歯車アイコンをクリックすると表示されます。この設定メニューで [追加セキュリティ検証] リンクをクリックします。

Office 365 多要素認証のアプリ パスワード機能

多要素認証に登録されたユーザーが Outlook、Lync、Word、Excel、PowerPoint、SkyDrive Pro などの Office デスクトップアプリケーションを使用するには、アプリパスワードを構成する必要があります。

インフォメーションワーカーは、多要素認証を使用してログインする場合、Office クライアントアプリケーションを使用するためにアプリパスワードを 1 つまたは複数作成することができます。アプリ パスワードは 16 文字の無作為に生成されたパスワードであり、セキュリティ強化を目的として第 2 の認証要素の代わりに Office クライアント アプリケーションで使用できます。

アプリパスワードは、PowerShell から Office 365 にアクセスする場合は使用できません。また、特殊なセキュリティ ポリシーを持つユーザーに対しては、Office 365 テナントを完全に無効化できます。

Outlook などの Office デスクトップアプリケーション用にアプリパスワードを作成すると、そのアプリケーションがアカウントのリストに表示されます。

Office デスクトップ アプリケーションへの多要素認証導入のロード マップ

マイクロソフトは、Office クライアントの統合やスマートカード認証といった、多要素認証への投資を引き続き行ってまいります。今回リリースした多要素認証では、Outlook、Lync、Word、Excel、PowerPoint、PowerShell、SkyDrive Pro などの Office デスクトップ アプリケーションにログインするための第 2 の認証要素は導入していません。ただし、上記のアプリ パスワードの説明にあったとおり、現時点では、ユーザーを多要素認証に登録するという選択肢があります。ユーザーを多要素認証の対象に登録すると、Office クライアント アプリケーションへのログインにアプリ パスワードを使用できるようになるため、ユーザーが考えたパスワードのみを使用する場合よりも、セキュリティが大きく向上します。

今後近いうちに、Office 365 ユーザーが Office 2013 クライアントアプリケーションから多要素認証を直接使用できるようにする予定です。マイクロソフトは 2014 年後半に、Outlook、Lync、Word、Excel、PowerPoint、PowerShell、OneDrive for Business などのアプリケーションにネイティブの多要素認証機能を追加する計画です。今回の更新では、現在のスマートフォン ベースの多要素認証を導入しましたが、今後はサードパーティの多要素認証ソリューションやスマート カードといった別形態の認証機能との統合を進めていく予定です。サポート対象のスマート カードには、米国国防総省 (DoD) の共通アクセス カード (CAC)、および米国政府従業員証 (PIV) などを予定しています。この件の詳細情報や更新情報は、リリース前に改めてお知らせします。

Office 365 多要素認証の詳細については、TechNet のOffice 365 多要素認証に関する記事を参照してください。

– Paul Andrew、@pndrw