次の方法で共有

フェデレーション IdP からの MFA 要求を使用して Microsoft Entra ID 多要素認証 (MFA) コントロールを満たす

  • [アーティクル]

このドキュメントでは、Security Assertions Markup Language (SAML) および WS-Fed フェデレーション用に構成された acceptIfMfaDoneByFederatedIdp および enforceMfaByFederatedIdp の federatedIdpMfaBehaviour 値を優先するために、Microsoft Entra ID がフェデレーション ID プロバイダー (IdP) に要求するアサーションについて説明します。

ヒント

フェデレーション IdP による Microsoft Entra ID の構成は、省略可能です。 Microsoft Entra では、Microsoft Entra ID で利用可能な 認証方法 を推奨しています。

  • Microsoft Entra ID には、フェデレーション IdP を経由しなければ使用できなかった証明書やスマートカードを用いた認証方法のサポートが含まれており、その中には Entra 証明書ベースの認証も含まれます
  • Microsoft Entra ID には、サードパーティの MFA プロバイダーとの 外部認証方法 の統合をサポートが含まれています。
  • フェデレーション IdP と統合されたアプリケーションは、Microsoft Entra ID と直接統合できます。

WS-Fed または SAML 1.1 フェデレーション IdP の使用

管理者が必要に応じて、WS-Fed フェデレーションを使用して フェデレーション IdP を使用するように Microsoft Entra ID テナントを構成すると、Microsoft Entra は認証のために IdP にリダイレクトし、SAML 1.1 アサーションを含む要求セキュリティ トークン応答 (RSTR) の形式で応答を期待します。 そのように構成されている場合、次の 2 つの要求のいずれかが存在する場合、Microsoft Entra は IdP によって実行された MFA を受け入ります。

  • http://schemas.microsoft.com/claims/multipleauthn
  • http://schemas.microsoft.com/claims/wiaormultiauthn

これらは、AuthenticationStatement 要素の一部としてアサーションに含めることができます。 例えば:

 <saml:AuthenticationStatement
    AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
    <saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>

または、AttributeStatement 要素の一部としてアサーションに含めることができます。 例えば:

<saml:AttributeStatement>
  <saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
       <saml:AttributeValue>...</saml:AttributeValue> 
      <saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
  </saml:Attribute>
</saml:AttributeStatement>

WS-Fed または SAML 1.1 でのサインイン頻度とセッション制御の条件付きアクセス ポリシーの使用

サインイン頻度 では UserAuthenticationInstant (SAML アサーション http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant) が使用されます。これは、SAML1.1/WS-Fed のパスワードを使用した第 1 要素認証の AuthInstant です。

SAML 2.0 フェデレーション IdP の使用

必要に応じて、管理者が SAMLP/SAML 2.0 フェデレーションを使用して フェデレーション IdP を使用するように Microsoft Entra ID テナントを構成すると、Microsoft Entra は認証のために IdP にリダイレクトされ、SAML 2.0 アサーションを含む応答が必要になります。 受信 MFA アサーションは、AuthnStatementAuthnContext 要素に存在する必要があります。

<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
    <AuthnContext>
        <AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
    </AuthnContext>
</AuthnStatement>

その結果、受信 MFA アサーションが Microsoft Entra によって処理されるには、それらは、AuthnStatementAuthnContext 要素に存在する必要があります。 この方法で提示できるメソッドは 1 つだけです。

SAML 2.0 でのサインイン頻度とセッション制御の条件付きアクセス ポリシーの使用

サインイン頻度 では、AuthnStatementで提供される MFA 認証または First Factor 認証の AuthInstant が使用されます。 ペイロードの AttributeReference セクションで共有されているアサーションは、http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstantを含め、無視されます。

関連コンテンツ

federatedIdpMfaBehaviour