の多要素認証を有効にするAWS Managed Microsoft AD - AWS Directory Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

の多要素認証を有効にするAWS Managed Microsoft AD

AWS Managed Microsoft AD ディレクトリに対して多要素認証 (MFA) を有効にすると、ユーザーが サポートされている Amazon Enterprise アプリケーション. にアクセスするための AD 認証情報を指定するときのセキュリティが強化されます。MFA を有効にすると、ユーザーはいつものようにユーザー名とパスワード (第 1 要素) を入力した後、仮想 MFA ソリューションまたはハードウェア MFA ソリューションから取得する認証コード (第 2 要素) も入力する必要があります。これらの要素によって、ユーザーが有効なユーザー認証情報と MFA コードを提供しない限り Amazon エンタープライズアプリケーションにアクセスできないというセキュリティが追加されます。

MFA を有効にするには、Remote authentication dial-in user service (RADIUS) サーバーである MFA ソリューションが必要です。または、オンプレミスインフラストラクチャに実装済みの RADIUS サーバーへの MFA プラグインが必要です。MFA ソリューションでは、ユーザーがハードウェアデバイスから取得するか、または携帯電話などのデバイスで実行されるソフトウェアから取得する、ワンタイムパスコード (OTP) を実装する必要があります。

RADIUS は、業界標準のクライアント/サーバープロトコルであり、ユーザーをネットワークサービスに接続するための認証、認可、アカウント管理を行うことができます。AWS Managed Microsoft AD には、MFA ソリューションを実装した RADIUS サーバーに接続する RADIUS クライアントが付属しています。RADIUS サーバーはユーザー名と OTP コードを検証します。RADIUS サーバーがユーザーの検証に成功すると、AWS Managed Microsoft AD は AD に対してユーザーを認証します。AD に対する認証に成功すると、ユーザーは AWS アプリケーションにアクセスできます。AWS Managed Microsoft AD RADIUS クライアントと RADIUS サーバーとの間の通信では、ポート 1812 を介した通信を有効にした AWS セキュリティグループを設定する必要があります。

以下の手順を実行して、AWS Managed Microsoft AD ディレクトリの多要素認証を有効にすることができます。AWS Directory Service および MFA を操作して、RADIUS サーバーを設定する方法の詳細については、「多要素認証の前提条件.」を参照してください。

注記

多要素認証は、 では使用できません。Simple AD. ただし、MFA は AD Connector ディレクトリでは有効にすることができます。詳細については、「」を参照してください。の多要素認証を有効にするAD Connector.

注記

MFA は、AWS Managed Microsoft AD のリージョン別機能です。マルチリージョンレプリケーション を使用している場合は、各リージョンで次の手順を個別に適用する必要があります。詳細については、「グローバル機能とリージョン機能」を参照してください。

の多要素認証を有効にするにはAWS Managed Microsoft AD

  1. RADIUS MFA サーバーと AWS Managed Microsoft AD ディレクトリの IP アドレスを特定します。

  2. Virtual Private Cloud (VPC) セキュリティグループを編集して、AWS Managed Microsoft AD IP エンドポイントと RADIUS MFA サーバーとの間でポート 1812 を介した通信を有効にします。

  3. AWS Directory Service console ナビゲーションペインで [ディレクトリ.] を選択します。

  4. AWS Managed Microsoft AD ディレクトリのディレクトリ ID リンクを選択します。

  5. [ディレクトリの詳細] ページで、次のいずれかの操作を行います。

    • [Multi-Region replication (マルチリージョンレプリケーション)] の下に複数のリージョンが表示されている場合は、MFA を有効にするリージョンを選択し、[Networking & security (ネットワークとセキュリティ)] タブを選択します。詳細については、「」を参照してください。プライマリリージョンと追加リージョン.

    • [Multi-Region replication (マルチリージョンレプリケーション)] に表示されるリージョンがない場合は、[Networking & security (ネットワークとセキュリティ)] タブを選択します。

  6. [多要素認証] セクションで、[アクション]、[有効化] の順に選択します。

  7. [多要素認証 (MFA) の有効化] ページで、以下の値を指定します。

    表示ラベル

    ラベル名を指定します。

    RADIUS サーバーの DNS 名または IP アドレス

    RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます (たとえば、192.0.0.0,192.0.0.12)。

    注記

    RADIUS MFA は、AWS マネジメントコンソール、または Amazon WorkSpaces、Amazon QuickSight、Amazon Chime などの Amazon エンタープライズアプリケーションおよびサービスへのアクセスを認証する場合のみ適用されます。EC2 インスタンス上で実行されている、または EC2 インスタンスにサインインするための Windows ワークロードに MFA を入力することはありません。 AWS Directory Service では、RADIUS チャレンジ/レスポンス認証はサポートされていません。

    ユーザーはユーザー名とパスワードを入力するときに、MFA コードが必要になります。または、ユーザーの SMS テキストの検証など、MFA 帯域外を実行するソリューションを使用する必要があります。帯域外 MFA ソリューションでは、ソリューションに合わせて RADIUS タイムアウト値を適切に設定する必要があります。帯域外 MFA ソリューションを使用している場合、ユーザーはサインインページで MFA コードの入力を求められます。この場合は、ベストプラクティスとして、ユーザーはパスワードフィールドと MFA フィールドの両方に自分のパスワードを入力することをお勧めします。

    ポート

    RADIUS サーバーが通信のために使用しているポート。オンプレミスネットワークで、AWS Directory Service サーバーからのデフォルトの RADIUS サーバーポート (UDP: 1812) を介した受信トラフィックが許可されている必要があります。

    共有シークレットコード

    RADIUS エンドポイントの作成時に指定された共有シークレットコード。

    [共有シークレットコードの確認]

    RADIUS エンドポイントの共有シークレットコードを確認します。

    プロトコル

    RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。

    サーバータイムアウト (秒単位)

    RADIUS サーバーのレスポンスを待つ時間 (秒)。これは 1~50 の範囲の値にする必要があります。

    RADIUS リクエストの最大再試行数

    RADIUS サーバーとの通信を試みる回数。これは 0~10 の範囲の値にする必要があります。

    多要素認証は、[RADIUS Status] が [Enabled] に変わると使用できます。

  8. [Enable] を選択します。

サポートされている Amazon Enterprise アプリケーション

Amazon WorkSpacesと Amazon WorkDocs を MFA で使用する場合、Amazon WorkMail、Amazon QuickSight、 AWS、AWS マネジメントコンソール、AWS Managed Microsoft AD シングルサインオン、AD Connectorへのアクセス を含むすべての Amazon Enterprise IT アプリケーションがサポートされます。

AWSを使用して、Amazon エンタープライズアプリケーション、 AWS マネジメントコンソール シングルサインオン、AWS Directory Service への基本的なユーザーアクセスを設定する方法については、「AWS のアプリケーションおよびサービスへのアクセスを有効にする」および「AD 認証情報による AWS マネジメントコンソール へのアクセスを有効にする.」を参照してください。

AWS セキュリティブログの関連記事