妻が携帯を故障させたことで、携帯の故障などで管理者(ここでは情シス想定)の端末が使えなくなったらどうするのがよいのかというのが気になりました。技術的にどうなっているのか仕様を知らない点が何個かあったので実機検証をしてみました。
一般的な設定
Microsoft 365を利用している場合はどのタイミングで初期セットアップしたかによりますが、現行としてはMFAの設定を必須としていると既定としては「Microsoft Authenticator」が表示されます。
そのため、パスワード+携帯端末によるMicrosoft Authenticatorという設定が多いのかなと思っていますが、SMSや電話の着信で対応している方もそれなりの数がいるかと思っています。
多要素認証ってなんで必要?
改めて”2 段階認証” や “多要素認証”と言われるものはなぜ必要なのかというのを整理していきます。
以前はIDとPASSだけでサインインするというのが一般的でしたがこれはただの「情報」のため、本人でなくても知っている人であれば利用ができてしまいます。
世の中にはID/PASSのセットで売られているケースもありますし、芸能人のアドレスを知った人がブルートフォースアタック(パスワードを総当たりで打っていく)で突破してSNSを乗っ取ってニュースになったなど、情報だけでは本人確認としては安全とは言いかねます。
そこで本人確認するには何がよいだろう?という視点で考えると、「本人であることの証明」できるもの(指紋や顔認証など)や本人が「所持」しているもの(スマートフォンやセキュリティキーなど)を2つ目の確認として使うこととなります。
参考:意味: 多要素認証
追加の認証は何にするか?
企業であれば緊急用の管理者を作っておいてそのアカウントがサインインする際にセキュリティキーを使うというのが簡単ではあるのですが、これも難しいのであれば従来通りあほみたいな長さのパスワードを設定して金庫に入れておくのも有効です。
参考:FIDO2で緊急管理者を作ろう
参考:パスワードレス認証を試してみた話
※今回はパスワード+Microsoft Authenticatorを使っているシナリオとする。
1人管理者環境で携帯が壊れた時や紛失した際と置き換えてみると多要素認証を通常使う携帯のMicrosoft Authenticatorだけというのは少し弱いなというのを痛感する出来事がありました。
(妻が目の前で携帯落として画面がずっと発光しているという、、、自腹で修理してくれw)
自分がこうなった場合に複数環境を管理しているので影響がでるため、どうしようかというのを改めて考えてみました。
セキュリティキー(FIDO2デバイス)
複数管理者を置きたくない環境の場合はやはりこれが一番かなと思っています。
スマホと同じで「所持」のため、同じカバンに入れて紛失したとかになると目も当てられない状況となりますが、別途保管していれば同時に携帯とデバイスが壊れることはないかと思います。
私も検証機として数年前に購入していたので実際はこれを設定しています。
電話(代替の電話)
Microsoft Authenticatorの設定をしている携帯ではないほうが好ましいですが(最悪はSIM入れ替えればいいのでこれでもよい)、こちらを登録しておくというのも「所持」なのでよいと思います。
固定電話でもいいですが、自分以外が出る可能性が多いと向かないと思うので、別携帯や固定電話があるようであれば登録しておくというのもよいかと思います(サインイン時に通知先を選べるので指定しない限り通話もSMSも発生しない)
※代替の場合は通話のみでSMSの設定はできない模様(実機をキャプチャーした画像より)
Microsoft Authenticator(2台目)
携帯が複数あるケース(iOSとAndroid)は同時に通知が来るために手元に近い方で対応ができるので、この方法もよいかと思います。私はiOSとAndroidの2台持ちなのでこの設定もしています。
※逆を言えば両方通知が来るので無駄にうるさいし電池の持ちが悪いw
その他
Microsoft AuthenticatorをMicrosoftアカウントでサインインしておいてクラウドバックアップを取っている場合は、別の端末でMicrosoft Authenticatorをインストールして初期設定画面で「回復」をすることで認証情報を復元することが可能です。
ただし、Microsoft 365の場合は再度QRコードの読み込み必須なので、すぐに使えるわけではないため、そもそもMicrosoft 365のセッションがない場合はサインインする方法がないのでこの方法では不十分となります(Androidでしか検証していないがiOSも同じと想定している)
公開後追記:iOSも同じ動きとのことです。@yokoyamatさんありがとうございます!
(ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第4版 の著者の方です。私はご縁があって本人からいただいた。)
参考:Authenticator アプリでのアカウント資格情報のバックアップと回復
まとめ
ただの利用者であれば管理者に連絡をしてMFAの設定をリセットしてもらうなどの方法がありますが、自分が管理者でMFAに設定していた携帯が故障したり紛失した場合は別の管理者権限がないととても困った状況になります。
別の携帯や固定電話を登録するのがお手軽ですが、セキュリティキー(FIDO2デバイス)も選択肢の一つになるかと思いますので是非ご検討ください。