以前のPostで組織アカウントのみを使ってAzure サブスクリプションを契約することができました。
あとはサインアップに使ったアカウント(全体管理者)をきちんと管理したいですよね。
Microsoftアカウントであればそちら側で多要素認証(MFA)が使えますが、Azrue ADの組織アカウントでの多要素認証ってどうなんでしょうか?
基本的に無料ではなさそう?いいえ実は上記Blogに書いてないことが1つあります。ユーザー向けではなくAzrueの全体管理者向けにはMFAが無料で提供されるのです。
管理者用の Azure Multi-Factor Authentication の無料版はありますか?
対応する Azure Active Directory がディレクトリ ユーザーに対して Azure Multi-Factor Authentication を使ってプロビジョニングされていない場合、Azure の全体管理者は Azure Multi-Factor Authentication 機能の一部を無料でご利用いただけます。
https://azure.microsoft.com/ja-jp/pricing/details/multi-factor-authentication/
https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication/
意外と知られてそうで知られてない事実のようです。早速使ってみましょう。操作はClassicポータルで行います。
How to
まず最初の状態。サインアップしてすぐですね組織アカウントだけがテナントに存在しています。
もちろんMFAプロバイダも存在しません。
この状態でユーザー一覧ページの下部にある「Multi-Factor Authの管理」を選択します。
多要素認証用の管理ページが表示されるので、ユーザーを選択して「有効にする」を選択します。
あとはウィザードに従って有効化していきます。
有効になりました。
有効化後、ユーザー自身でセットアップを行う必要があります。一度サインアウトして再度サインインします。
パスワード入力後、多要素認証のセットアップを求められるので「今すぐセットアップ」でセットアップします。
後は基本的にウィザードに従うだけです。ここではモバイルアプリ(Azure Authenticator)を使ってみます。
Azure Authenticatorで追加を選んでQRコードを読み取ればOKです。無事追加されたあと、認証の確認を行います。
「連絡してください」を選択します。
後はアプリがダメな場合の代替手段として電話やSMS用の番号を登録します。
最後にアプリ用のパスワードが表示されるので必要なら控えておきます。
※一部MFAできないアプリケーションでの認証用
セットアップが完了したらサインインできると思います。
Azure Authenticator側はサインイン時のパスワード入力後、Push通知が来るのでアプリ側でぽちっと認証するだけです。
便利ですね。ちなみにAzure AuthenticatorはMSアカウントやgoogleアカウントの多要素認証にも対応してるので便利です。(自分は全部このアプリに統合しちゃった)
また新規で管理者ユーザーアカウントを作成する場合はウィザードで有効化にチェックいれれば手動で有効化する手間をはぶけます。
おまけ
azure CLIなどでMFAセットアップ時に登録したアプリケーションパスワード使おうとしても使えません。注意しましょう。(最新版であれば引数なしでazure login等で動作するから問題ないですね)
ブチザッキ 