6 メールの多要素認証 (MFA) とつきあう

(工事中)

一体全体どういうものなのか、分かりにくい。 最初、 これからは MeijiMail を使うのに多要素認証が必要になり、 多要素認証のためにスマホが必要、 と誤解した。 そうではなくて、多要素認証には色々な方法があるが、 明治大学としては、まずスマホ使うことを勧めている、 ということなのか？

でも、そういうふうに設定してしまうと、 メールはスマホとは独立に使えない、 メールはスマホに依存している、ということになる。 例えばスマホが故障した、携帯に障害が生じた、という場合はちょっと慌てる？

そういう訳で、Mac の OTP Manager を使うことにした。 これにメール・システム(?)が出した文字列を与え、 それが表示する6桁の文字列 (ワンタイム・パスワード？) をまた メール・システムに入力して設定が完了する。 ついでに何か文字列が出て来るね。はて？

(legacy authentication v.s. modern authentication -- そもそも誰が言い出したのだろう。 これは内容を説明する語が名前に付いているのではなくて、 「遺産 (実質すぐ捨てられない古いもの、と言うイメージ)」、 「新しい」だから、適切な名前の付け方とは思えない。 自分がやり出したことは modern と言っているわけだけど、 時間が経って、 古くなっても modern authentication と言い続けるつもりなのだろうか？

Gmail だと、“2段階認証プロセス” という言葉を使っているね (それがまともだと思うぞ)。 Googleからのメッセージ (何？), テキストメッセージ (SMS) または音声通話, セキュリティキー (何？)。 これはスマホでないと使えないのかな。 Google様はアンドロイドを使って欲しいのかな。

Apple は Google と近いところもあるけれど、 Mac を商っているせいで、 スマホを使わない認証が出来るのね。

段々はっきりしてきた。MeijiMail というのは、結局は Microsoft なんだ。 「レガシー認証」で検索すると、 Microsoft 関係 (Office365 とか) の記事がどっさり。 こうなるのは仕方のないことなのかな。

それにしても、インターネット・メールを使うのに、 Google, Apple, Microsoft のどこかに依存しないといけないというのは、 ちょっとげんなりする。)

はてな？

少し前にもらった「海外からのアクセスについて」と関係ある？？

回避策：
　海外からは以下のいずれかの方法でご利用ください。
　・Webブラウザー（Edge,Chrome,Safari等）で以下のURLから利用する。
　　　https://outlook.office.com/
　・Office Outlook（Outlook2013以降）もしくは、macOS Mojaveの標準メールアプリで利用する。
　　　通常の方法でセットアップすれば、認証方式がIMAP,POP,SMTPとは異なる
　　　接続方式となるため、利用することができます。
　　　もし意図的にIMAP, POP, SMTPの設定をしている場合は、利用できません。
　・MINDのSSL-VPN接続をしたうえでIMAP, POP, SMTP利用をする。
　　　学内ネットワークからの利用とみなされるため、利用することができます。

Mojave オンリーというのは気になる。 実際、Mojave だと Apple Mail で多要素認証出来るけれど、 High Sierra では出来ないみたい。 でも、そういうことが明記されているのはあまり目にしない。 (一応 Mail in MacOS Mojave Now Supports Microsoft Exchange Accounts With 2 Factor Authentication とか見つけた。) MIND の、2019年4月づけの Apple Mail の設定の仕方を見ても、 macOS のバージョンのことは書かれていないように見える (書き忘れた？ドジ？)。

Thunderbird で例えば Gmail の2段階認証とか使えるわけだけど、 Exchange の 2段階認証はサポートされていないのか。

必要な情報は次のページに書いてある (読みにくい。ちゃんと番号をつけたセクションにしようよ。)。

「MeijiMailの多要素認証について」 (これは MIND からしかアクセスできない。VPN 接続でOK.)

最初のあたりに次のように書いてある。

MeijiMailの多要素認証では 第二の要素として個人所有のスマートフォン等を用います。

上に書いたように、これは誤解を招きかねない。 「個人所有のスマートフォン等」の中に、 パソコンも入っているつもりなのか？

多要素認証にスマートフォン等を使う場合、 “第二の要素” として利用可能なものは、次の2つ。

1. モバイルアプリの認証コード
   

2. SMSの認証コード

パソコンは入っていないみたいだな。やはり間違いだと思う。

それはさておき、最初は iPhone でこの 1 を使ってみた。

設定法 やり方1

1. Microsoft Authenticator というアプリをインストールする。 AppStore で “mic” と打つと、上位に表示される。 最近やっている人が多いということか。 これは簡単にインストールできる。
2. 多要素認証の機能を有効化する。 「パスワード変更・メール送信者名変更ツール」
   • パスワードを変更する必要はない。 こう書く理由は、おどろおどろしく赤字で 「パスワードの変更をお願いします。たらたら」とおっかない画面になるから。
   • 「MeijiMail多要素認証利用設定」を選択する。
   • 「多要素認証を利用する」で「有効」選択して保存。 数秒で「変更が完了しました」。OK. ログアウト。
3. 5分ほど待つのだとか。大事そうなので、独立した項目。
4. https://outlook.office365.com/ にアクセスして、サインイン。
5. 「詳細情報が必要」が出るはず。 (これは多要素認証利用設定して初めてアクセスするから。 すでに一度やってしまった場合は「詳細情報が必要」は出ない。 それを出すためにどうするか、しばらく試行錯誤したけれど、 現時点では、一度「多要素認証利用設定」を無効にして、 有効にし直す、というやり方しか見つからなかった。)
   [次へ]。
6. 以下の3つを設定する。
   1. 連絡方法を選択する。自分の場合は、モバイルアプリ。
   2. モバイルアプリの使用用途は「確認コードを使用する」
   3. セットアップ実行
7. QRコードが表示されるので、スマホで Microsoft Authenticator を開き、 アカウントを追加する。 「職場または学校のアカウント」を選択する。 カメラが起動するので、 画面に表示されたQRコードを読み込む。成功すると認証コードが表示される。 認証コードはどんどん変更される。
8. パソコンに戻る。次へ。
9. 手順2で、そのとき iPhone に表示されている認証コードを入力する。
   (生もので、すぐに賞味期限が切れる。)
10. 追加のセキュリティ確認
    

試しに Meiji Mail を Web Mail で利用してみた。出来た出来た。

設定法 やり方2 Macを多要素認証端末として登録する

• Mac に、AppStore から OTP Manager をインストール。
  無料何とか用パスワードを保存するかとか。良く分からないがOKしていおいた。
• (これはすでにやったことがあればスキップして良さそう。 と考えたが、もしかすると、一度 OFF にして、ON に戻すのか？？)
  パスワード変更・メール送信者名変更ツール
  共通認証アカウントでログインする。 「MeijiMail多要素認証利用設定」を選択し、 多要素認証を利用する」の「有効」を選択し，「保存」, OK, OK, ログアウト。
• Safariで https://outlook.office365.com/
  こちらは MeijiMail のアカウント。
  「多要素認証を利用する」を有効にして初めての場合は、 「詳細情報が必要」と言われる。
• モバイルアプリ、確認コード使用、セットアップ
• 「モバイルアプリケーションの構成」で、 [通知をオフにしてアプリを構成] QRコードと秘密鍵を保存しておく。
  アカウント名 “学校法人明治大学” なんとか@meiji.ac.jp
  秘密鍵が表示される。これは大事にメモる。
• Mac で、OTP Manager を開き、Add your first account

• Issuer	管理しやすい名前
  Username	自分のMeijiMailのアドレス
  OTP Secret	上の秘密鍵

  Save
• ワンタイムパスワードが表示される。
• Mac の Safari に戻り、次へ。
• 追加のセキュリティ確認

(2019/9/29 追記) その後、というか最近どうしているか、書いておく。

• 古い人間なので、ネット上のどこにいても、 研究室の Mac に ssh でリモート・ログインして、 Emacs 上の Mew でメールの読み書きをしている。 しかし、この使い方はそのうち使えなくなりそうで、気が重い。
• Mojave では、上に書いた Apple Mail + OTP Manager で問題なく使えている。 この点については、Apple をほめたい。
  (ほぼ同じことが iPhone や iPad で出来るかな？そのうち試してみよう。)
• Mojave がインストール出来ない Mac では (こういう事態になっている点については、Apple を責めたい。 身の回りに6台もあるんだ。)、 MIND に VPN 接続して使っている。 しかし、これはやはり時限つきなので、気が重い。 Mojave Patcher とか使うのかなあ？？
• アプリパスワードというのを使うのか？でも、それは

  セキュリティ上の理由で2020年4月からMeijiMailにアクセスできなくなる予定です。

  だそうで、すぐ使えなくなりそう。調べる気力が出て来ない。
• MeijiMail の Web のインターフェイス (MS Exchange) はイマイチ好きになれない。 ごくたまに、iPhone や iPAD から MeijiMail を読みたい時に使っているけれど。
• Mac で Outlook を使う、というようなことはしたくない。
• MeijiMail を使うのをやめようか、とも考えている。 学生との連絡は LINE に移行しそうだし。