AD Connector の多要素認証を有効にする - AWS Directory Service

AD Connector の多要素認証を有効にする

オンプレミスまたは EC2 インスタンスで Active Directory を実行している場合は、AD Connector の多要素認証を有効にすることができます。AWS Directory Service での多要素認証を使用の詳細については、「AD Connector の前提条件」を参照してください。

注記

多要素認証は、Simple AD では使用できません。ただし、MFA は AWS Managed Microsoft AD ディレクトリで有効にすることができます。詳細については、「AWS Managed Microsoft AD の Multi-Factor·Authentication を有効にする」を参照してください。

AD Connector の多要素認証を有効にするには

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

  2. AD Connector ディレクトリのディレクトリ ID リンクをクリックします。

  3. [Directory details] (ディレクトリの詳細) ページで、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Multi-factor authentication] (多要素認証) セクションで、[Actions] (アクション)、[Enable] (有効化) の順に選択します。

  5. [Enable multi-factor authentication (MFA)] (多要素認証 (MFA) の有効化) ページで、次の値を指定します。

    [Display label] (表示ラベル)

    ラベル名を指定します。

    [RADIUS server DNS name or IP addresses] (RADIUS サーバーの DNS 名または IP アドレス)

    RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます (例えば、192.0.0.0,192.0.0.12)。

    注記

    RADIUS MFA は、AWS Management Console へのアクセス、または、WorkSpaces、Amazon QuickSight、Amazon Chime などの Amazon エンタープライズアプリケーションおよびサービスへのアクセスを認証する場合にのみ適用されます。EC2 インスタンス上で実行されている、または EC2 インスタンスにサインインするための Windows ワークロードに MFA を入力することはありません。 AWS Directory Service では、RADIUS チャレンジ/レスポンス認証はサポートされていません。

    ユーザーは、ユーザー名とパスワードを入力するときに MFA コードが必要になります。または、ユーザーの SMS テキストの検証など、MFA 帯域外を実行するソリューションを使用する必要があります。帯域外 MFA ソリューションでは、ソリューションに合わせて RADIUS タイムアウト値を適切に設定する必要があります。帯域外 MFA ソリューションを使用している場合、ユーザーはサインインページで MFA コードの入力を求められます。この場合は、ベストプラクティスとして、ユーザーはパスワードフィールドと MFA フィールドの両方に自分のパスワードを入力することをお勧めします。

    [Port] (ポート)

    RADIUS サーバーが通信のために使用しているポート。オンプレミスのネットワークで、AWS Directory Service サーバーからのデフォルトの RADIUS サーバーポート (UDP: 1812) を介したインバウンドトラフィックが許可されている必要があります。

    [Shared secret code] (共有シークレットコード)

    RADIUS エンドポイントの作成時に指定された共有シークレットコード。

    [Confirm shared secret code] (共有シークレットコードの確認)

    RADIUS エンドポイントの共有シークレットコードを確認します。

    [Protocol] (プロトコル)

    RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。

    [Server timeout (in seconds)] (サーバータイムアウト (秒単位))

    RADIUS サーバーのレスポンスを待つ時間 (秒)。これは 1~50 の範囲の値にする必要があります。

    [Max RADIUS request retries] (RADIUS リクエストの最大再試行数)

    RADIUS サーバーとの通信を試みる回数。これは 0~10 の範囲の値にする必要があります。

    多要素認証は、[RADIUS Status] (RADIUS 状態) が [Enabled] (有効) に変わると使用できます。

  6. [Enable] (有効化) を選択します。