Microsoft Entra IDを利用する際に許可しておくべきエンドポイント
はじめに
ゼロトラストと言われるような構成の場合、通信要件を細かく整理しておく必要があることが多い。
そこでMicrosoft Entra Hybrid Join(ME-HJ/ハイブリッド参加)かつWindows Hello for businessクラウドKerberos信頼を構成済みの端末を利用する際に、許可しておくべきインターネット向け通信について、MS見解を求めて問い合わせした。
解説
考え方
・Microsoft Entra Hybrid Join (MEHJ) を構成している
・加えて、Windows Hello for Business (WHfB) を Cloud Kerberos 信頼モデルで構成している
・クライアント端末では、WHfB のプロビジョニングを実施済み (PIN や生体認証で Windows へのログオンが行える状態)
・上記前提において、Windows ログオン画面 (もしくはロック画面) にて、WHfB の方法でログオン (もしくはアンロック) する際に必要な通信を把握したい
上記認識に齟齬が無い場合、WHfB の方法でログオンするかどうかを考慮する必要はなく [Windows ログオン画面で Microsoft Entra ID (ME-ID / 旧名 Azure AD) ユーザーとしての認証に必要な通信] という観点で考えることが可能です。
許可すべきエンドポイント
ログイン時に許可する必要があるエンドポイント
MEHJ 構成前提ですので、オンプレ AD の DC サーバーに対する Kerberos 認証や LDAP 接続は (通常のオンプレ AD 参加端末と同様に) 生じますが、MEHJ 構成であるために生じる ME-ID ユーザーとしての認証のために行う通信のエンドポイントは以下のみとなります。
login.microsoftonline.com
※ HTTPS (TCP/443) での通信となります。
ただし↓で注意点があります
ログイン時だけではなく、Entraを利用する際に許可しておくべきエンドポイント
Windows ログオン画面からの認証時だけではなく [ME-ID へのユーザー認証等、ME-ID を利用する上でクライアントからの通信が行える状態にしておくべきすべてのエンドポイント] という視点では、以下の技術情報のエンドポイントが該当します。
※ いずれも HTTPS でのアクセスです。
Microsoft 365 の URL と IP アドレスの範囲 - Microsoft 365 Enterprise | Microsoft Learn https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide#microsoft-365-common-and-office-online
こちらの ID 56 と 59 のセクションが [ME-ID としての機能を提供するためのエンドポイント] 群となります。
->他にも、シームレス SSO と呼ばれる認証方式を利用したり AutoPilot 展開を行う前提では ID 97 (login.live.com) が必要になります。
また、HTTPS でアクセスを行うため、サーバー証明書の失効確認を行うためのエンドポイントとして ID 125 への通信も生じうることになります。
そのため、ME-ID をご利用になる接続元からは ID 56, 59 (+97, 125) への接続が行える通信環境を維持していただくことが望ましいと言えます。
質問1 エンドポイントに記載のIPは変わるか
回答いただいた、通信を行える状態にしておくべきエンドポイントについてはFQDNだけでなくIPアドレスも含まれますが、定期的に更新がなされる可能性がありますでしょうか?
回答1 変わる可能性があるが、頻度は低い
ME-ID に限らず、Azure や M365 のクラウド サービスが使用するパブリック IP は、恒久的に固定化される前提になく、変化は生じうることになります。
上記前提はございますが、"定期的な変更 (例えば 1 年に 1 回は必ず変更される、等)" が行われているわけではございません。
例えば、ME-ID (旧名称 Azure Active Directory) では、2018 年 9 月に IP アドレス範囲が追加されておりますが、それ以降 IP 範囲が変更されていない状況です。
ご参考
Azure Active Directory への接続で使用する IP アドレス範囲の変更
URL:https://jpazureid.github.io/blog/azure-active-directory/changed_aad_ip_range/
とは言え [エンドポイントの名前解決先のグローバル IP 範囲が固定化される前提はない] ことも事実ですので、クラウド サービスの通信先の制御は IP アドレスではなくエンドポイント URL で管理されることをお勧めいたします
質問2 WHfBプロビジョニング前であれば変わるか
Q前提の部分
>・クライアント端末では、WHfB のプロビジョニングを実施済み (PIN や生体認証で Windows へのログオンが行える状態)
こちらの、プロビジョニングが未実施の場合であれば、必要な通信は変化しますでしょうか。
未実施の場合に許可しておくべきエンドポイントをご教示いただけますでしょうか。
回答2 WHfBのプロビジョニング前後で許可しておくべきエンドポイントに変わりはない
(すべて HTTPS ベースです)
まだ WHfB のプロビジョニング (PIN や生体認証のセットアップ) を実施していない端末において、プロビジョニング操作時に通信されうるエンドポイントは以下となります。
(いずれも、お伝えした ID 56, 59, 97 に含まれております)
login.live.comaccount.live.comacctcdn.msftauth.netlogin.microsoftonline.comaadcdn.msftauth.netaadcdn.msftauthimages.netaccount.activedirectory.windowsazure.comenterpriseregistration.windows.net
以下は、WHfB のプロビジョニング時に突破が必須である MFA の実行方法を、現在操作しているユーザーがセットアップしていない場合に、プロビジョニング操作の過程において MFA 方法の登録も求められますが、その際の通信先エンドポイントとなります
(*.microsoft.com は、Entra ID 技術に関わらず、弊社サービスをご利用いただく上で通信が行える前提としていただけますと幸いです)
mysignins.microsoft.comapi.mysignins.microsoft.comcred.microsoft.com
上記は [WHfB のプロビジョニング処理時に発生しうる通信先エンドポイント] のご案内でございました。
なお、WHfB がプロビジョニング済み (=Windows ログオン時に、PIN や生体認証を利用することができる状態) でも、WHfB のプロビジョニングが未実施 (=Windows ログオン時にパスワードのみが利用可能) であっても [Windows ログオン画面でのユーザー認証時の、Entra ID への通信] は (WHfB であってもパスワードであっても) login.microsoftonline.com となります。
それぞれの処理に対する通信は上記のとおりとなります。
繰り返しとなり恐縮ですが、ME-ID をご利用になる接続元からは ID 56, 59 (+97, 125) への接続が行える通信環境を維持していただくことが望ましいという見解に関しては共通しておりますので、改めて運用をご検討いただけますと幸いです。
※ME-ID=Microsoft Entra ID
おわりに
基本、ID 56, 59 (+97, 125)を許可しておくのが望ましい
Microsoft 365 の URL と IP アドレスの範囲 - Microsoft 365 Enterprise | Microsoft Learn https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide#microsoft-365-common-and-office-online
Discussion