ハードウェアトークンで多要素認証やってみた(yubikey 5C NFC)(管理者登録)

今回はハードウェアトークンを利用してAzureの多要素認証を設定してみます。

実施内容

現在(2025/1/10)時点ではAzureでのハードウェアトークはパブリックプレビューのため正式にサポートされているわけではありません。

そのため、動作確認の意図も含め記事にします。

手順として、管理者が全ユーザ分登録するパターンと個人が個別で登録するパターンがあります。
今回は、管理者で登録する手順を記載します。

個人が登録する手順は以下に記載しています。

ハードウェアトークンで多要素認証やってみた(yubikey 5C NFC)(自己登録)
今回はハードウェアトークンを利用してAzureの多要素認証を設定してみます。実施内容現在(2025/1/10)時点ではAzureでのハードウェアトークはパブリックプレビューのため正式にサポートされているわけではありません。...
taiyakiman.com
2025.01.13

使用製品

製品は、Yubicoの「yubikey 5C NFC(Type-C)」を利用します。

準備するもの

手順を実施するために以下が必要です。

  • Microsoft Entra ID
  • Yubikey本体
  • Yubikey Authenticator
  • YubiKey Manager
  • Microsoft Entra ID P1以上のライセンス

手順は以下を参考にします。
https://support.yubico.com/hc/en-us/articles/360015669179-Using-YubiKeys-with-Microsoft-Entra-ID-MFA-OATH-TOTP

Yubikey Authenticatorのインストール

Yubikey Authenticatorのインストールは以下をご確認ください。

ハードウェアトークンで多要素認証やってみた(yubikey 5C NFC)(自己登録)
今回はハードウェアトークンを利用してAzureの多要素認証を設定してみます。実施内容現在(2025/1/10)時点ではAzureでのハードウェアトークはパブリックプレビューのため正式にサポートされているわけではありません。...
taiyakiman.com
2025.01.13

YubiKey Managerのインストール

以下のダウンロードサイトにアクセスして、Yubikey Authenticatorのインストーラをダウンロードします。

yubikey-manager-qt
developers.yubico.com

ダウンロードしたインストーラをダブルクリックして実行します。

「Next」をクリックします。

インストール先を選択します。
ここではデフォルトのインストール先を選択しました。

「Install」をクリックします。

インストールが完了したら「Finish」をクリックします。

以上で「YubiKey Managerのインストール」は終了です。

CSVファイルの作成

次にAzureにアップロードする用のCSVファイルの作成をします。

CSVファイルに紐づけたいアカウントの数だけ以下の情報を入力します。

  • upn
    Microsoft Entra IDのアカウント(xxxx@aaa.com等)情報
  • serial number
    Yubikey本体のQRコード付近に記載されているシリアル番号
  • secret key
    以下のページの手順を参考に秘密鍵を生成
    https://support.yubico.com/hc/en-us/articles/360015668699-Generating-Base32-string-examples
  • timeinterval
    時間間隔。「30」を指定
  • manufacturer
    「Yubikey」を入力
  • model
    製品に応じて記載
    今回は「YubiKey5NFC」を記載

※秘密鍵生成参考

以下のようなCSVファイルを作成して任意の場所に保存します。

upn,serial number,secret key,timeinterval,manufacturer,model

test001@xxx.onmicrosoft.com,aaaaaaaa,5ZZE7CVMIX5CNKFY5PBHVQV3OMFSZ564,30,YubiKey,YubiKey5NFC

test002@xxx.onmicrosoft.com,aaaaaaaa,LWJERV2NUT36FY36DK7RRMWOOVUEAYFO,30,YubiKey,YubiKey5NFC

Yubikey Authenticatorへのアカウント情報の登録

Yubikey Authenticatorとアカウント情報を紐づけるためにYubikey ManagerのCLIを利用して紐づけを行います。

コマンドプロンプトを起動して、ykman.exeがあるディレクトリに移動します。
※デフォルトのインストール先であれば「C:\Program Files\Yubico\Yubikey Manager」配下にあるはずです。

紐づけたいアカウントごとに以下のコマンドを実行します。
[upn]と[secret key]はCSVに記載したものと同じものを入力します。

ykman oath accounts add -i Microsoft [upn] [secret key]

Yubikey Authenticatorに追加したアカウントが表示されていることを確認します。

Microsoft Entra ID設定

Microsoft Entra IDに多要素認証の設定をします。

上部タブで「多要素認証」と検索して「多要素認証」をクリックします。

「OATHトークン」をクリックします。

「アップロード」をクリックして先ほど作成したCSVファイルをアップロードします。

アップロードが成功することを確認します。

「アクティブ化」をクリックします。

Yubikey Authenticatorのワンタイムパスワードを入力し「OK」をクリックします。

確認が成功し、アクティブ化されていることを確認します。

ログイン確認

ログイン確認は以下をご確認ください。

ハードウェアトークンで多要素認証やってみた(yubikey 5C NFC)(自己登録)
今回はハードウェアトークンを利用してAzureの多要素認証を設定してみます。実施内容現在(2025/1/10)時点ではAzureでのハードウェアトークはパブリックプレビューのため正式にサポートされているわけではありません。...
taiyakiman.com
2025.01.13

コメント

タイトルとURLをコピーしました