Windows Azure 管理ポータルへのアクセスに多要素認証を適用する - Microsoft アカウント編
この記事では、 Windows Azure 管理ポータルへのログオンに「多要素認証」を適用することで安全性を高める方法を説明します。
どんな ID で管理ポータルへアクセスするかによって設定方法が異なるのですが、まずは今のところ多数派であると思われる Microsoft アカウント (旧称: Windows Live ID) を利用する場合の方法について説明します。
今後は、 Windows Azure Active Directory のアカウントを利用することも増えてくると思いますので、それに関してはまた別の記事で説明します。
Microsoft アカウントの2段階認証設定方法
Microsoft アカウントで「2段階認証」という認証方式を有効にすると、ユーザーは、通常のユーザー名、パスワードの他に何らかの手段で受け取った「セキュリティコード」(ワンタイムパスワード)を入力することで初めてログオンできるようになります。具体的に方法を見ていきましょう。
まずは https://account.live.com/ へアクセスします。
「概要」→「セキュリティ情報」から「2段階認証のセットアップ」をクリックします。
次の画面では単に「次へ」をクリックします。
認証アプリのセットアップ画面が出てきます。
「認証アプリ」というのは何かといえば、スマートフォンにこのアプリケーションを導入して、Microsoft アカウントと関連付けると、スマートフォンがセキュリティコード(ワンタイムパスワード)の生成器になるのです。Windows Phone用にはマイクロソフト製の認証アプリがあります。
iPhoneやAndroid用は、マイクロソフト製のものはありませんがご安心ください。これは要するに TOTP (Time-based One-time Password Algorithm) 準拠のワンタイムパスワード生成アプリであれば良いので、例えば Google Authenticator 等が利用できます。それらのアプリで下図の画面の QR コードを読み取れば、関連付けができます。
次にこんな画面が出てきます。
「アプリパスワード」というのは、Web ブラウザ以外の「セキュリティコードを入力できない既存のアプリケーション」を使うときに、代わりに利用するパスワードです。例えばスマートフォンのメールアプリ等で利用します。ブラウザで Windows Azure 管理ポータルへアクセスすることだけを考えるなら、ひとまずこれは無視してかまいません。
以上で2段階認証のセットアップは完了です。早速、Windows Azure管理ポータルへアクセスしてみましょう。
2段階認証を使用したログオン
通常通り、まずは Microsoft アカウントログオン画面へ。
次に、こんなのが出てきます。ここに「セキュリティコード」を入力するわけです。
先ほどの手順でスマホに認証アプリをセットアップ済みであれば、アプリの画面に表示されているコードを入力します。(iPhone で前述の Google Authenticator を使った場合の画面です)
これで、めでたく管理ポータルへのログオンが完了します。
認証アプリ以外の方法
なお、セキュリティコード入力欄の隣にある「別の確認オプションを使う」をクリックすると、コードを取得する別の方法が選択できます。
- 「電話をかける」を選ぶと、あらかじめ Microsoft アカウントに登録しておいた携帯電話番号に自動音声電話がかかってきて、コードを(機械の)お姉さんが教えてくれます。
- 「メールを送信」を選ぶと、これもあらかじめ登録しておいたメールアドレス宛に、 account-security-noreply@account.microsoft.com からコードを知らせるメールが来ます。
いずれにせよ、Microsoft アカウントとパスワードを「知っている」ということのほかに、パスコードを生成ないしは受け取ることができる『デバイスを持っている』という別の要素を組み合わせて認証の安全性を高めているわけです。設定も以上の通り簡単なので、ぜひお試しください。
関連情報
Microsoft Account Gets More Secure
__END__