Microsoft Entra ID を ID プロバイダーとして統合する
Microsoft Azure Active Directory (Azure AD) は、現在は Microsoft Entra ID と呼ばれており、ID およびアクセス管理ソリューションです。Juniper Mist Access Assuranceでは、OAuthを使用して次のことを実行することで、認証サービスをEntra IDに統合できます。
- 拡張認証プロトコルトンネル TLS(EAP-TTLS)によるユーザー認証
- 委任認証、つまり、OAuth を使用してユーザー名とパスワードを確認します。
- ユーザー・グループ・メンバーシップ情報を取得して、このユーザー・アイデンティティに基づく認証ポリシーをサポートします。
- ユーザー アカウントの状態 (アクティブまたは中断) を取得します。
- 拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)およびEAP-TTLSによるユーザー認証
- ユーザー・グループ・メンバーシップ情報を取得して、このユーザー・アイデンティティに基づく認証ポリシーをサポートします。
- ユーザー アカウントの状態 (アクティブまたは中断) を取得します
-
EAP-TTLS とパスワード認証プロトコル(PAP)
- 委任認証、つまり、OAuth またはリソース所有者パスワード資格情報 (ROPC) を使用してユーザー名とパスワードを確認します。
- ユーザー・グループ・メンバーシップ情報を取得して、このユーザー・アイデンティティに基づく認証ポリシーをサポートします。
- ユーザー アカウントの状態 (アクティブまたは中断) を取得します
Entra IDポータルでの設定
Entra IDをJuniper Mist Access Assuranceと統合するには、Entra IDポータルが生成する値であるクライアントID、クライアントシークレット、およびテナントIDが必要です。
Juniper Mistダッシュボードでの設定
Juniper Mist ポータルで、 [> Insights > Client Events の監視] に移動します。
Juniper Mist Access Assurance が Azure AD で EAP-TLS を使用してユーザーを認証すると、次に示すように NAC IDP Group Lookup Success イベントが表示されます。
EAP-TTLS 認証の場合、NAC IDP 認証成功イベントが表示されます。このイベントは、Azure AD によってユーザー資格情報が検証されたことを示します。この認証では、ユーザ グループ メンバーシップを取得する NAC IDP Group Lookup Success イベントも表示されます。
Azure AD と ROPC を使用した EAP-TTLS 認証
EAP-TTLS は、Azure AD によるリソース所有者パスワード資格情報 (ROPC) OAuth フローを利用して、ユーザーを認証し、ユーザー グループ情報を取得します。ユーザー名とパスワードのみを検証し、多要素認証 (MFA) をスキップする ROPC フローなどのレガシ認証を使用する場合は、いくつかの要素を考慮する必要があります。
- モバイルデバイス管理(MDM)またはグループポリシーオブジェクト(GPO)を使用して、正しいワイヤレスプロファイルでクライアントデバイスを構成する必要があります。ログインプロンプトでユーザー名とパスワードのみを入力すると、一部のオペレーティングシステムではレガシー認証が機能しません。
- ユーザーが入力するユーザー名は、ユーザー プリンシパル名 (UPN) 形式 (username@domain) である必要があります。
- サーバー証明書を信頼するようにクライアントを構成する必要があります。
- ユーザーは、ROPC 認証を使用してアクセスを試みる前に、少なくとも 1 回は Azure portal にログインする必要があります。この手順は、ユーザー アカウントをテストするために重要です。
- Azure portal では、ユーザー パスワードをフル クラウド アカウント、または Azure AD Connect でパスワード同期が有効になっているローカル AD に格納する必要があります。フェデレーション認証ユーザーはサポートされていません。
- ROPC 認証を選択したユーザーの MFA を無効にする必要があります。EAP-TTLS の MFA バイパスを実現する方法の 1 つは、以下の手順で Mist Access Assurance 元 IP アドレス を信頼できる場所としてマークすることです。
- Microsoft Entra ポータルで、 [ 保護] > [条件付きアクセス] > [ネームド ロケーション ] に移動し、 [ 新しい場所] を選択します。
- [新しい場所 (IP 範囲)] で、詳細を入力します。
図 5: 信頼されたIP アドレス範囲からのサインインに MFA をバイパスする
- 場所の名前を入力します。
- [ 信頼できる場所としてマークする] を選択します。
- Juniper Mist Access Assurance IPアドレスのIP範囲を入力します。
- 「作成」をクリックします。
- 条件付きアクセス MFA ポリシーで、信頼できる IP ソースを除外条件として参照します。
図 6: アクセス ポリシー からネームド ロケーションを除外する