M365基本認証の廃止
2022年10月頃から急に Outlook へログインできなくなり、焦った方も少なくなかったかと思います。
Microsoft は以前から、レガシー (遺産的な) プロトコルである「基本認証」の廃止についてアナウンスしており、Microsoft 365 のテナント管理者が2022年9月30日までに先進認証をオプトアウト (拒否を意味する言葉) していない場合、強制的に「先進認証」へ移行することになっていました。
先進認証とは
先進認証とは、従来の認証方式である「基本認証」から、徐々に移行されつつあるセキュア(安全)な、今どきの認証方式のことです。
先進認証は「モダン認証」や「OAuth 2.0 認証」とも呼ばれます。
モダン認証とは、クライアント (ノート PC やスマートフォンなど) とサーバー間の認証および承認方法と、すでによく知られているアクセスポリシーに依存するセキュリティ対策を組み合わせたものの総称です。これには次のものが含まれます。
認証方法:
https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/hybrid-modern-auth-overview?view=o365-worldwide#what-is-modern-authentication
多要素認証 (MFA)、スマートカード認証、クライアント証明書ベースの認証
承認方法:
Microsoft の Open Authorization (OAuth) 実装
条件付きアクセスポリシー:
モバイルアプリケーション管理 (MAM) と Microsoft Entra 条件付きアクセス
条件付きアクセスポリシーとは、「誰が」「どこから」「どのようなデバイスで」等さまざまな条件を設定しておき、その条件を満たしたものだけを「許可する/拒否する」ことができるポリシーのことです。
先進認証の認証ダイアログ
先進認証では、以下の画像のような Web ベースの認証ダイアログが表示されます。
OAuth 2.0とは
先進認証では、「OAuth 2.0」という認可プロトコルが利用されています。
話が少しそれますが、OAuth について説明します。
OAuth は簡単に言うと、「第3者のアプリ」が「本家の Web サービス」に対して限定的なアクセスを可能にする認可の仕組みのことです。
また、利用者に対しアクセス可能時間を制限することができるようになります。
この認可プロトコルを利用することで、ログインアカウントへ与える権限を制限でき、万が一不正アクセスされたとしても被害を最小限に抑えることができます。
OAuth 2.0 は、認可(Authorization)プロトコルであり、認証(Authentication)プロトコルではありません。
OAuth 2.0 は「RFC 6749」で規定されています。
以下は「RFC 6749」から一部抜粋した内容です。
概要
OAuth 2.0 承認フレームワークを使用すると、リソース所有者に代わって、リソース所有者と HTTP サービス間の承認インタラクションを調整するか、サードパーティアプリケーションに次のことを許可することにより、サードパーティアプリケーションが HTTP サービスへの制限付きアクセスを取得できます。自分のためにアクセス権を取得します。この仕様は、RFC 5849 で説明されている OAuth 1.0 プロトコルを置き換え、廃止します。
https://tex2e.github.io/rfc-translater/html/rfc6749.html
基本認証のデメリット
基本認証は、ユーザーIDとパスワードを入力してユーザーを認証します。
そして、それを直接サーバーに送信するという、いたってシンプルな認証方法です。
一方、先進認証では、ユーザー名とパスワードを直接サーバーに送信することはありません。
代わりに、ユーザーは、信頼できる認証サービスに転送され、そこでユーザー名とパスワードを入力します。
基本認証の何が問題かというと、「ユーザーID」と「パスワード」さえ知っていれば、誰でもログインできてしまうという点です。
パスワード総当りでログイン試行されること (ブルートフォース攻撃) によって、不正ログインされてしまう可能性がある、という点が基本認証のデメリットです。
先進認証を利用するメリット
アクセス可能範囲を限定的にすることに加えて、多要素認証が利用できることも先進認証のメリットの一つです。
多要素認証とは、「ユーザー名」と「パスワード」で認証した後、さらに SMS に送付された6桁の番号を入力する、認証アプリで定期的に変わる番号を入力するといった、追加の本人確認要素を付け加えた認証方法のことです。
ここで言う多要素認証は(厳密には違いますが)2段階認証とほぼ同義です。
まとめ
- セキュア(安全)な今どきの認証方式
- モダン認証とも呼ばれる
- ユーザーIDとパスワードを直接サーバーに送らない
- OAuth 2.0 という認可プロトコルが利用されている
- 多要素認証(MFA)が利用できる
- 条件付きアクセスポリシー等を組み合わせている
- (従来の)いたってシンプルな認証方式
- ベーシック認証や、レガシー認証とも呼ばれる
- ユーザー名とパスワードを直接サーバーに送る
- サイバー攻撃に弱い