今回のUpdateで一番大きかったのはWindows Azure Active Directoryの管理が統合されたこと+Windows Azure Active Directory側で多要素認証がサポートされたことじゃないでしょうか。
多要素認証って何?という細かい話は置いといて、ざっくりいうとID/Pass認証に追加して電話またはSMSによる追加認証ができます。(今だと多要素っていうか二要素ですね ※イントラのADと組み合わせてOTPとかさらに追加できるんでしょうかね(できそうだけど))
Office 365+Windows Azure Active Directoryを使った例はすでにMSの安納さんがBlogに書かれているので是非そちらを参照ください。
※ついでにWindows Azure Active Directoryって何?という方はこちらもどうぞ
今回はWindows Azureの管理ポータルをWindows Azure Active Directoryのアカウントで認証できるようにして、多要素認証までやってみたいと思います。連携も多要素認証も今回のアップデートからですね。
※Windows Azure Active DirectoryがWindows Azureブランドだからよくわからない感じになっていますがw
1. Windows Azure Active Directoryテナントの用意
まずWindows Azure Active Directoryのテナントがないと始まりません。まだ持っていない方はこちらからサインアップしましょう。
2. Windows Azureのサブスクリプションを契約
Windows Azure Active Directoryのテナントができたら、そのテナントのアカウントを使用してWindows Azure を契約しましょう。
契約についてはすっ飛ばします。
3. いざWindows Azure管理ポータルへログイン
Windows Azure管理ポータルへのログインですが、いつもの画面の左下にある「Office 365ユーザー:組織のアカウントを使用してサインインする」をクリックしましょう。(今回利用するIDはいわゆるMicrosoftアカウントじゃないので)
そしたら少しだけ趣の違うログイン画面になります。
URLもlogin.microsoftonline.comドメインですね。
ここで作成したWindows Azure Active DirectoryテナントのID/Passを入れてサインインします。
はい、ログインできました。ちょっと違うのは右上のIDを表すアイコンが少し企業っぽいのと、Active Directoryに「エンタープライズ ディレクトリ」タブが増えたことぐらいですね。
あとは普通のWindows Azure管理ポータルです。少しだけ違うのは、Co-Adminに同じWindows Azure Active DirectoryテナントのIDを追加できることぐらいでしょうか。
4. 多要素認証の設定
では早速やってみましょう。Active DirectoryのエンタープライズディレクトリからWindows Azure Active Directoryテナントを選ぶとユーザー管理ができるようになっています。さっそく多要素認証をOnにするユーザーを作成してみましょう。
※ユーザーが唯一だと何かあったら死ぬので追加しないとね
※こんな感じで追加します。ちなみにUSのBlogだと初期段階で多要素認証のチェックをOnにしても大丈夫そうでしたけど、日本語環境だとNGでした。。謎い。一度チェックせずに普通に作ってそのアカウントでサインインしてパスワード設定後、有効にすればいけます。ここではチェックつけたままの手順で記載しておきますのでNGの場合は一度オフにして試してみてください。
多要素認証のチェックをオンにすると、何やら検証が走ります。
何やら設定しろといわれるので設定します。
ここで追加の認証に使う電話番号などを登録します。ちなみにこの設定画面、あとで出す方法が今のところさっぱりわからないので慎重に行いましょう。
保存すると、実際に電話なりSMSが飛んできますのでその指示に従いましょう。言語が日本だとちゃんと音声ガイダンスもSMSも日本語なので安心です。
ただし、SMSにした場合、受信したSMSが「Microsoft 確認コードは xxxxx です。続行するには、このコードを指定してください。」といった文面できます。で画面は待てど暮せど変わらず。
正確には書かれているコード(数字)だけのSMSを返信しないといけないのですが、なんだよ指定って。英語はちゃんとReplyだぞ!! ※おかげで毎度電話がかかってくる羽目に…
というわけで電話の場合は指示に従って、SMSの場合はコードを返信しましょう。
問題なく検証できたらOKな画面になります。
さてこれで準備ができました。あ、追加したユーザーアカウントを忘れずにWindows AzureのCoAdminにしておきましょうね。
実際にサインインするとID/Passを入力した後、SMSなり電話がかかってきますので先ほどと同じように対応すれば無事Windows Azure管理ポータルにアクセスすることができます!
まとめ
というわけでざっくりWindows Azure Active Directoryの新機能とポータルまわりの紹介でした。是非エンタープライズでヒィヒィ言わせてやってください!
最後に、まだまだPreview的なところはしょうがないですが、誤訳と設定画面が無いのはどうにかしてくださいね!
※今回の内容はだいたい以下のBlogあたりをカバーしてると思います。
- 【IDM】Office 365 と Windows Azure AD の電話による二要素認証
- New Active Directory Features in the Windows Azure Portal
- Managing Windows Azure AD from the Windows Azure Portal 1– Sign Up with an Organizational Account
- Managing Windows Azure AD from the Windows Azure Portal 2– Explore the Directory Features
- Managing Windows Azure AD from the Windows Azure Portal 3– Add a Co-Admin, Use 2FA