OWAログイン用のMFA
※エンドポイントMFAのご利用には追加のオプションライセンスが必要です。詳細は価格ページをご参照ください。
本設定により、Outlook on the Web (OWA)およびExchange管理センターのログインに対してMFA を有効にし、Exchange環境にセキュリティのレイヤーを追加できます。ADSelfService PlusでMFAを有効にする方法をご紹介します。
- ユーザーによりOWAまたはExchange管理センターへログイン試行します。
- OWAにて一次認証を完了するように求められます。
- 認証成功後、OWAはリクエストをADSelfService Plus MFA Connectorに渡します。このコネクタは、残りの認証要素を進めるようADSelfService Plusに通知します。
- ユーザーによる必要なすべての認証に成功後、OWAまたは Exchange管理センターにログインします。
※OWAログイン用のMFAは、下記Exchangeのバージョンに対応しています。
- Exchanger Server 2013
- Exchanger Server 2016
- Exchanger Server 2019
OWA用のMFAを有効化する手順:
前提条件:
- ADSelfService PlusでHTTPSプロトコルを使用していることをご確認ください。
- ADSelfService PlusのSSL証明書はExchange Serverにインストールされている必要があります。
手順1: OWAログイン用MFAの設定
- [設定]タブ > [セルフサービス] > [マルチファクター認証] > [エンドポイント用MFA]タブ> [OWAログイン用のMFA]をクリックします。
- ポリシーの選択にて、MFAを使用するユーザーが属するユーザーが対象のポリシーを選択します。
- OWAログイン用のMFAでは、[有効]のドロップダウンより有効化する認証数を選択します。[OWAログインMFAの認証アプリを選択してください]のドロップダウンより有効化する認証を選択します。
- [設定保存]をクリックします。
※ADSelfService Plusでは、OU/グループ単位でポリシーを設定できます。まだポリシーを設定していない場合、[設定]タブ
> [セルフサービス] >
[ポリシー設定]にて[ポリシーの追加]をクリックしてください。[OU/グループを選択]をクリックし、ご要件に合わせてポリシーを作成し保存します。なお、ポリシーとして4つのうち少なくとも1つのポリシーにチェックを入れる必要があります。
※SAMLはOWAログイン用のMFAのサポート対象外です。
手順2: ADSelfService PlusのMFAコネクターをインストールする
OWAおよびExchange管理センターへのログインにMFAを有効化するには、IIS MFA拡張機能をExchanger Serverにインストールする必要があります。プライマリパスワード認証が成功した後、他の認証要素の完了のリクエストをトリガーします。
- [設定]タブ > [セルフサービス] > [マルチファクター認証]にて[エンドポイント用MFA]タブをクリックします。
- [OWAログイン用のMFA]の横にある
「?」アイコンをクリックします。
- 表示されたポップアップ画面上で、ADSelfService Plus MFA Connectorをダウンロードします。
- AdsspOWAIISModule.zipファイルをExchange server(Windows server)にコピーします。 ZIPファイルのコンテンツを抽出し、存在する場所に保存します。
- 管理者としてPowerShell (x64)を開き、AdsspOWAIISModule.zipファイルがあるフォルダーへ移動します。
- 次のコマンドを実行します。
PS C:\> .\setupIISMFAModule.ps1 Install
ADSelfService Plus MFA Connectorのアンインストール/更新
- 管理者としてPowerShell (x64)を開き、AdsspOWAIISModule.zipファイルがあるフォルダーへ移動します。(デフォルトのパス C:\Program Files\ManageEngine\ADSelfService Plus MFA Connector)
- アンインストールするには、次のコマンドを実行します。
PS C:\> .\setupIISMFAModule.ps1 Uninstall - 更新するには、次のコマンドを実行します。
PS C:\> .\setupIISMFAModule.ps1 Update
※もしADSelfService Plusがダウンしている、またはADSelfService
Plusへアクセスできない場合などにMFA認証を完了できない場合に備えて、ユーザーMFAをスキップすることができます。詳細は詳細設定をご参照ください。