AD Connector のMulti-Factor Authenticationを有効にする - AWS Directory Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AD Connector のMulti-Factor Authenticationを有効にする

オンプレミスまたは EC2 インスタンスで Active Directory を実行している場合は、AD Connector の Multi-Factor·Authentication を有効にすることができます。AWS Directory Service でのMulti-Factor Authenticationを使用の詳細については、「AD Connector の前提条件」を参照してください。

注記

Multi-Factor Authenticationは、Simple AD では使用できません。ただし、MFA は AWS Managed Microsoft AD ディレクトリで有効にすることができます。詳細については、「AWS マネージド Microsoft AD のマルチファクタ認証を有効にする」を参照してください。

AD Connector のMulti-Factor Authenticationを有効にするには

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

  2. AD Connector ディレクトリのディレクトリ ID リンクをクリックします。

  3. [Directory details] (ディレクトリの詳細) ページで、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Multi-factor authentication] セクションで、[Actions] (アクション)、[Enable] (有効化) の順に選択します。

  5. [Enable multi-factor authentication (MFA)] (Multi-Factor·Authentication (MFA) の有効化) ページで、次の値を指定します。

    [Display label] (表示ラベル)

    ラベル名を指定します。

    [RADIUS server DNS name or IP addresses] (RADIUS サーバーの DNS 名または IP アドレス)

    RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます (例えば、192.0.0.0,192.0.0.12)。

    注記

    RADIUS MFA は、AWS Management Console へのアクセス、または、WorkSpaces、Amazon QuickSight、Amazon Chime などの Amazon エンタープライズアプリケーションおよびサービスへのアクセスを認証する場合にのみ適用されます。EC2 インスタンス上で実行されている、または EC2 インスタンスにサインインするための Windows ワークロードに MFA を入力することはありません。 AWS Directory Service では、RADIUS チャレンジ/レスポンス認証はサポートされていません。

    ユーザーは、ユーザー名とパスワードを入力するときに、MFA コードを持っている必要があります。または、ユーザーの SMS テキストの検証など、MFA 帯域外を実行するソリューションを使用する必要があります。帯域外 MFA ソリューションでは、ソリューションに合わせて RADIUS タイムアウト値を適切に設定する必要があります。帯域外 MFA ソリューションを使用している場合、ユーザーはサインインページで MFA コードの入力を求められます。この場合は、ベストプラクティスとして、ユーザーはパスワードフィールドと MFA フィールドの両方に自分のパスワードを入力することをお勧めします。

    [Port] (ポート)

    RADIUS サーバーが通信のために使用しているポート。オンプレミスのネットワークで、AWS Directory Service サーバーからのデフォルトの RADIUS サーバーポート (UDP: 1812) を介したインバウンドトラフィックが許可されている必要があります。

    [Shared secret code] (共有シークレットコード)

    RADIUS エンドポイントの作成時に指定された共有シークレットコード。

    [Confirm shared secret code] (共有シークレットコードの確認)

    RADIUS エンドポイントの共有シークレットコードを確認します。

    [Protocol] (プロトコル)

    RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。

    [Server timeout (in seconds)] (サーバータイムアウト (秒単位))

    RADIUS サーバーのレスポンスを待つ時間 (秒)。これは 1~50 の範囲の値にする必要があります。

    [Max RADIUS request retries] (RADIUS リクエストの最大再試行数)

    RADIUS サーバーとの通信を試みる回数。これは 0~10 の範囲の値にする必要があります。

    Multi-Factor·Authentication は、[RADIUS Status] (RADIUS 状態) が [Enabled] (有効) に変わると使用できます。

  6. [Enable] (有効化) を選択します。