Microsoft Learn「Azure AD の認証機能について説明する」学習しました。

Microsoft365の認定資格「Microsoft Certified: Security, Compliance, and Identity Fundamentals」の学習コンテンツとして提供されている4つのラーニングパスのうちの2つめ、「SC-900 パート 2: Microsoft Identity およびアクセス管理ソリューションの機能について説明します」の学習をしています。

2つめのモジュール「Azure AD の認証機能について説明する」を学習しました。

モジュール「Azure AD の認証機能について説明する」

ユニット:Azure AD のさまざまな認証方法について説明する

Azure Active Directory の多要素認証は、次のものを要求することで機能します。

ユーザーが知っているもの - 通常はパスワードまたは PIN と
ユーザーが持っているもの - 携帯電話やハードウェア キー または のような簡単に複製されない信頼されたデバイスなど
ユーザー自身 - 指紋スキャンや顔面認識などの生体認証。

Azure Active Directory の多要素認証では、次のような追加の検証形式を使用できます。

Microsoft Authenticator アプリ
sms
音声通話
OATH ハードウェア トークン

モジュール「Azure AD の認証機能について説明する」より

Azure Active irectory の多要素認証は、このモジュールを学習する前、MS-900向けのモジュールでMicrosoft365管理センターの操作について学習しているときに(たしか先月だったような…。)、無料試用版テナントで、いきなり設定要求が表示されてびっくりしたけど、このモジュールを学習していれば慌てることはなかったはず。

ユニット:Azure AD の多要素認証 (MFA) について説明する

多要素認証として、パスワードと以下のいずれかを組み合わせる。

電話(通話またはテキストメッセージ)
Microosoft Authenticator アプリ
OATH (Open Authentication)

これについても、前述の無料試用版テナントで Microosoft Authenticator アプリを使用して設定してみたので、なんとなく理解はできている。実運用のテナントで、ユーザーがMicroosoft Authenticator アプリを利用するのは、サポートが大変な気がする。スマホでアプリを利用させるなら、BYOD許可の有無も考えねばならなくなる。生体認証がよいような気がする。

実際、Microosoftアカウント(個人アカウント)は、Windows Hello(顔認証)を使って毎日サインオンしていて問題なく認識できている。多要素認証を必須にするなら顔認証が手間いらずと思う。

ユニット:Windows Hello for Business について説明する

顔認証には、Windows Hello と Windows Hello for Business があって、仕組みが異なっているんですね。クライアントPC(Windows10)+ Windows Hello でMicrosotアカウントを認証するのと、Windows Hello for Business で Azure Active Directoryアカウントを認証するのは、異なるってことかな。外部ユーザーとして Microsotアカウントを接続させる場合はどうなるのかな?いろいろ興味が湧いてくる。あとあとのモジュールで取り上げられることを期待することにしよう。

ユニット:Azure AD のセルフサービス パスワード リセット (SSPR) について説明する

セルフサービス パスワード リセットは、ITスタッフの手を煩わせることなくリセットできるので負担が減ってよいと思うが、ユーザー自身で作業を実施できない場合はやはりサポートが必要になるのではないだろうか。

特に、SSPRで使用できる認証方法を2つ以上用意しておくとよいことは覚えておきたい。
モバイル アプリの通知
モバイル アプリ コード
Email
携帯電話
会社電話
セキュリティの質問

ユニット:Azure AD のパスワード保護と管理機能について説明する

グローバル禁止パスワードリスト、カスタム禁止パスワードリストは、よわよわパスワードを使用できないように制限することができるので、管理者にとってはありがたい機能。めんどうくさがりなユーザーにもきちんと条件に合う複雑なパスワードを強制できる。

Microsoft Learn
ラーニングパス:
SC-900 パート 2: Microsoft Identity およびアクセス管理ソリューションの機能について説明します
モジュール:
Azure AD の認証機能について説明する

コメント

タイトルとURLをコピーしました