AWS マネージド Microsoft AD のマルチファクタ認証を有効にする - AWS Directory Service
考慮事項 AWS マネージド型Microsoft AD の MFA 認証を有効にするサポートされている Amazon エンタープライズアプリケーション

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS マネージド Microsoft AD のマルチファクタ認証を有効にする

AWS 管理対象の Microsoft AD ディレクトリで多要素認証 (MFA) を有効にすると、ユーザーが AD 認証情報を指定してアクセスする際のセキュリティを強化できます。サポートされている Amazon エンタープライズアプリケーションMFA が有効化されている場合、ユーザーは、通常と同じくユーザーネームとパスワード (第 1 要素) を入力した後、仮想 MFA ソリューションまたはハードウェア MFA ソリューションから取得する認証コード (第 2 要素) も入力する必要があります。これらの要素によって、有効なユーザー認証情報に加えて MFA コードをユーザーが提供しない限り、Amazon エンタープライズアプリケーションへのアクセスが許可されないというセキュリティが追加されます。

MFA を有効にするには、MFA ソリューションとして Remote Authentication Dial-In User Service (RADIUS) サーバーを使用するか、オンプレミスインフラストラクチャに RADIUS サーバー用の MFA プラグインを実装しておく必要があります。MFA ソリューションでは、ワンタイムパスコード (OTP) を実装する必要があります。ユーザーは、ハードウェアデバイスから、または携帯電話などのデバイスで実行されるソフトウェアから、このコードを取得します、

RADIUS は、業界標準のクライアント/サーバープロトコルであり、ユーザーをネットワークサービスに接続するための認証、許可、アカウント管理の機能を提供します。 AWS マネージド Microsoft AD には、MFA ソリューションを実装した RADIUS サーバーに接続する RADIUS クライアントが含まれています。この RADIUS サーバーが、ユーザーネームと OTP コードを検証します。RADIUS サーバーがユーザーを正常に検証すると、 AWS 管理対象の Microsoft AD は次に Active Directory に対してユーザーを認証します。Active Directory に対する認証に成功したユーザーは、 AWS アプリケーションにアクセスできるようになります。 AWS 管理対象の Microsoft AD RADIUS クライアントと RADIUS サーバー間の通信では、ポート 1812 AWS を介した通信を有効にするセキュリティグループを構成する必要があります。

次の手順を実行して、 AWS 管理対象の Microsoft AD ディレクトリの多要素認証を有効にできます。RADIUS サーバーと AWS Directory Service および MFA を連携させるための設定方法については、「Multi-Factor·Authentication の前提条件」を参照してください。

考慮事項

AWS 管理対象の Microsoft AD の多要素認証に関する考慮事項は次のとおりです。

  • Multi-Factor·Authentication は、Simple AD では使用できません。ただし、AD Connector ディレクトリでは、MFA を有効にすることができます。詳細については、「AD Connector のMulti-Factor Authenticationを有効にする」を参照してください。

  • MFA AWS はマネージド Microsoft AD の地域機能です。マルチリージョンレプリケーション を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「グローバル機能とリージョン機能」を参照してください。

  • AWS Managed Microsoft AD を外部通信に使用する場合は、ネットワークアドレス変換 (NAT) インターネットゲートウェイまたはInternet Gateway AWS をネットワーク外の通信用に構成することをお勧めします。

    • AWS 管理対象の Microsoft AD AWS とネットワーク上でホストされている RADIUS サーバー間の外部通信をサポートしたい場合は、お問い合わせくださいAWS Support

AWS マネージド Microsoft AD のマルチファクタ認証を有効にする

次の手順は、 AWS 管理対象の Microsoft AD の多要素認証を有効にする方法を示しています。

  1. RADIUS MFA AWS サーバーと管理対象の Microsoft AD ディレクトリの IP アドレスを特定します。

  2. Virtual Private Cloud (VPC) セキュリティグループを編集して、 AWS 管理対象の Microsoft AD IP エンドポイントと RADIUS MFA サーバー間のポート 1812 を介した通信を有効にします。

  3. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

  4. AWS 管理対象の Microsoft AD ディレクトリのディレクトリ ID リンクを選択します。

  5. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、MFA を有効にするリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  6. [Multi-factor authentication] セクションで、[Actions] (アクション)、[Enable] (有効化) の順に選択します。

  7. [Enable multi-factor authentication (MFA)] (Multi-Factor·Authentication (MFA) の有効化) ページで、次の値を指定します。

    [Display label] (表示ラベル)

    ラベル名を指定します。

    [RADIUS server DNS name or IP addresses] (RADIUS サーバーの DNS 名または IP アドレス)

    RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます (例えば、192.0.0.0,192.0.0.12)。

    注記

    RADIUS MFA は AWS Management Console、または Amazon や Amazon Amazon Chime WorkSpaces などの Amazon エンタープライズアプリケーションおよびサービスへのアクセスを認証する場合にのみ適用されます。 QuickSightEC2 インスタンスで実行されている Windows ワークロードに MFA を提供したり、EC2 インスタンスにサインインしたりするための MFA は提供されません。 AWS Directory Service RADIUS チャレンジ/レスポンス認証はサポートしていません。

    ユーザーは、ユーザー名とパスワードを入力するときに MFA コードが必要になります。または、ユーザーの SMS out-of-band テキスト検証などの MFA を実行するソリューションを使用する必要があります。 out-of-band MFA ソリューションでは、RADIUS タイムアウト値をソリューションに適切に設定する必要があります。 out-of-band MFA ソリューションを使用する場合、サインインページでユーザーに MFA コードの入力を求められます。この場合、ユーザーはパスワードフィールドと MFA フィールドの両方に、自分のパスワードを入力します。

    [Port] (ポート)

    RADIUS サーバーが通信のために使用しているポート。オンプレミス・ネットワークでは、サーバーからのデフォルトの RADIUS サーバーポート (UDP: 1812) を介したインバウンドトラフィックを許可する必要があります。 AWS Directory Service

    [Shared secret code] (共有シークレットコード)

    RADIUS エンドポイントの作成時に指定された共有シークレットコード。

    [Confirm shared secret code] (共有シークレットコードの確認)

    RADIUS エンドポイントの共有シークレットコードを確認します。

    [Protocol] (プロトコル)

    RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。

    [Server timeout (in seconds)] (サーバータイムアウト (秒単位))

    RADIUS サーバーのレスポンスを待つ時間 (秒)。これは 1~50 の範囲の値にする必要があります。

    注記

    RADIUS サーバのタイムアウトは、20 秒以下に設定することが推奨されます。20 秒を超えるタイムアウトを使用すると、システムは別の RADIUS サーバで再試行できなくなり、タイムアウトで失敗する可能性があります。

    [Max RADIUS request retries] (RADIUS リクエストの最大再試行数)

    RADIUS サーバーとの通信を試みる回数。これは 0~10 の範囲の値にする必要があります。

    Multi-Factor·Authentication は、[RADIUS Status] (RADIUS 状態) が [Enabled] (有効) に変わると使用できます。

  8. [Enable] (有効化) を選択します。

サポートされている Amazon エンタープライズアプリケーション

Amazon、Amazon WorkSpaces、Amazon を含むすべての Amazon WorkDocs エンタープライズ IT アプリケーション WorkMail QuickSight、および MFA AWS 付きマネージド Microsoft AD および AD Connector AWS IAM Identity Center AWS Management Console へのアクセスがサポートされます。

Amazon Enterprise アプリケーションへの基本的なユーザーアクセス、 AWS シングルサインオン、および使用の設定方法については AWS Directory Service、「」と「」を参照してくださいAWS アプリケーションとサービスへのアクセスを有効にする。 AWS Management Console AD 認証情報による AWS Management Console へのアクセスを有効化する

AWS 関連するセキュリティブログ記事