ユーザーのセキュリティ設定を管理する

1. [パスワード] [パスワードを再設定] をクリックします。
2. [パスワードを自動的に生成する] オプションをオンにするか、手動入力します。

   パスワードの最小文字数は、デフォルトでは 8 文字です。管理者は、必要に応じて組織のパスワード要件を変更できます。

3. （省略可）プレビュー アイコン をクリックしてパスワードを確認します。
4. （省略可）ユーザーにパスワードの変更を要求する場合は、[次回ログイン時にパスワードの変更を要求する] がオン になっていることを確認します。
5. [再設定] をクリックします。
6. （省略可）別の場所（ユーザーとの Google Chat の会話の画面など）にパスワードを貼り付けるには、[クリックしてパスワードをコピー] をクリックします。
7. ユーザーにパスワードをメールで送信するか、[完了] をクリックします。

セキュリティ キーは、2 段階認証プロセスを使って Google アカウントにログインする際に使用する小型デバイスです。セキュリティ キーは、Google がサポートしている 2 段階認証プロセス方式の中で、最も安全です。パソコンの USB ポートに挿入するか、NFC または Bluetooth を利用してモバイル デバイスに接続します。詳細

ユーザーがセキュリティ キーを使用中の場合は、[セキュリティ キー] 欄をクリックして、キーが追加された日時と最後に使用された日時を確認します。

キーを追加する

セキュリティ キーは、管理者がユーザーに代わって追加するか、ユーザーが自分で追加することができます。

• ユーザーが自分でキーを追加する場合は、Google アカウントにセキュリティ キーを追加する手順で追加できます。
• ユーザーに代わってキーを追加するには:
  1. [セキュリティ キー] 欄をクリックして [セキュリティ キーを追加] ボタンを表示します。
  2. [セキュリティ キーを追加] をクリックします。
  3. 画面の指示に沿って操作します。

     注: お使いのパソコンにセキュリティ キーが挿入されている場合は、キーを取り外してからユーザーの新しいキーを登録してください。

  4. [完了] をクリックします。

キーを削除する

セキュリティ キーを削除するのは、キーを紛失した場合のみです。キーを一時的に利用できない場合は、その際の回避策としてバックアップ セキュリティ コードを生成できます。後述のユーザーのバックアップ確認コードを取得するをご覧ください。

1. [セキュリティ キー] 欄をクリックして鍵情報テーブルを表示します。
2. テーブルを右端までスクロールします。
3. 削除するキーの行にカーソルを合わせると、右側にゴミ箱アイコン が表示されます。
4. ゴミ箱アイコン [削除] をクリックします。
5. [完了] をクリックします。

   セキュリティ キーを取り消すたびに、管理コンソールの監査ログにイベントが追加されます。

注: ユーザーに対して、2 段階認証プロセスでのセキュリティ キーの使用を必須にすることができます。

2 段階認証プロセス（2SV）を有効にできるのは、ユーザーのみです。管理者が行えるのは、ユーザーの 2 段階認証プロセスの現在の設定の確認です。また、ユーザーがロックされた場合はバックアップ コードを取得できます。

[2 段階認証プロセス] 欄では、2 段階認証プロセスがユーザーに対して有効になっているかどうか、2 段階認証プロセスが組織全体に適用されているかどうかを確認できます。

• アカウントにアクセスできないユーザーに対し、2 段階認証プロセスをオフにすることもできますが、おすすめしません。代わりに、ユーザーがログインするためのバックアップ コードを取得します。

  注: アカウントが停止されているユーザーに対し、2 段階認証プロセスを無効にすることはできません。

• 2 段階認証プロセスが組織全体に適用されている場合、ユーザーの 2 段階認証プロセスを個別にオフにするオプションは無効になります。

2 つ目の認証方法に一時的にアクセスできないユーザーは、アカウントにログインできない可能性があります。たとえば、セキュリティ キーを自宅に置いてきた場合や、携帯電話でアクセスコードを受信できない場合などです。そうしたユーザーに対しては、バックアップ確認コードを生成してログインを可能にできます。

1. ユーザーのバックアップ確認コードを表示するには、[2 段階認証プロセス] [バックアップ確認コードを取得] をクリックします。
2. 既存のバックアップ コードのいずれか 1 つをコピーするか、新しいコードを生成します。注: 既存のバックアップ コードが盗まれたと思われる場合や、既存のバックアップ コードをすべて使い切った場合は、[新しいコードを取得] を選択します。既存のバックアップ コードは自動的に無効になります。
3. バックアップ コードを使用してログインするの手順に沿ってログインするようユーザーに伝えます。

ユーザーが 2 段階認証プロセスでセキュリティ キーを使用する必要がある場合は、セキュリティ キーが必要になるまでの猶予期間がどれくらい残っているかが表示されます。

ユーザーのパスワードが盗まれた可能性がある場合は、次回のログイン時にパスワードを再設定するようユーザーに要求することができます。

1. [パスワードの変更の要求] をクリックしてオンにします。
2. [完了] をクリックします。

ユーザーがパスワードを再設定すると、この設定は自動的にオフに設定されます。

注: 組織でサードパーティの IdP を介した SSO を使用している場合、ネットワーク マスクを使用して一部のユーザーが直接 Workspace にログインできるようにしない限り、パスワードの変更を要求する設定は使用できません。ネットワーク マスクが設定されているかどうかを確認するには、[セキュリティ][サードパーティの IdP による SSO][組織の SSO プロファイル]を選択してください。

承認されていないユーザーがアカウントにアクセスしようとしている疑いがある場合、アクセスが許可される前にログイン時の本人確認を求める画面が表示されます。ユーザーは、次のいずれかを行う必要があります。

• 再設定用の電話番号または再設定用のメールアドレス（組織ドメイン以外のメールアドレス）に届いた確認コードを入力する
• アカウントのオーナーのみが正解できる本人確認用の質問に答える

ユーザーの再設定用の情報を追加、編集するには:

1. [復元情報] をクリックします。
2. 次の項目を追加または編集します。
   • メールアドレス（組織外のもの）
   • 再設定用の電話番号

     注: 再設定用の電話番号は、各ユーザーがそれぞれ別の番号を使うよう指定します。複数のユーザーが同じ再設定用の電話番号を使用すると、セキュリティ上の理由からその番号は自動的にブロックされます。

3. [保存] をクリックします。

承認されていないユーザーがアカウントにアクセスしようとしている疑いがある場合、アクセスが許可される前にログイン時の本人確認を求める画面が表示されます。ユーザーは、携帯電話に送信された確認コードを入力するか、アカウントのオーナーのみが正解できる別の確認用の質問に答える必要があります。

また、Google Workspace ユーザーが機密情報に関する操作を行うと、そのユーザーに確認用の本人確認メッセージが表示されることがあります。ユーザーがリクエストされた情報を入力できない場合、機密情報に関する操作は拒否されます。

正規のユーザーが本人であることを証明できない場合は、ログインまたは本人確認を 10 分間無効にすることで、ユーザーがログインできるようになります。

ユーザーがパソコンやモバイル デバイスを紛失した場合、管理者は、ログイン Cookie をリセットすることで、そのユーザーの Google アカウントに対する不正アクセスをブロックできます。これにより、すべてのデバイスとブラウザで、Google アカウント（Google Workspace アプリケーションを含む）からユーザーがログアウトされます。

注: ユーザーを停止した場合は、この操作は不要です。ユーザーを停止すると、ユーザーのログイン Cookie がリセットされます。

サードパーティの ID プロバイダ（IdP）を使用してシングル サインオン（SSO）を設定してある場合、ユーザーの SSO セッションではログイン Cookie のリセット後でも Google アカウントにアクセスできることがあります。この場合は、SSO セッションを終了してから Google ログイン Cookie をリセットします。SSO の管理に関してサポートが必要な場合は、IdP のサポートチームにお問い合わせください。

ユーザーの Cookie をリセットするには:

1. [ログイン Cookie] [リセット] をクリックします。
2. [完了] をクリックします。

現在の Gmail セッションからユーザーがログアウトされるまでに、1 時間ほどかかる場合があります。時間はアプリケーションによって異なります。

ユーザーが 2 段階認証プロセスを使用していて、確認コードを受け付けないアプリまたはデバイスにログインする必要がある場合は、アプリケーション固有のパスワードが必要になります。詳しくは、アプリケーション固有のパスワードについてのページをご覧ください。

ユーザーがアプリ パスワードを作成したアプリは、[アプリケーション固有のパスワード] 欄に表示されます。注: アプリ パスワードを使用していない場合、この欄は操作できません。

アプリ名をクリックすると、そのアプリのパスワードが作成された日時と、パスワードが最後に使用された日時が表示されます。

ユーザーがデバイスを紛失したり、そのパスワードで認証されるアプリの使用を停止したりした場合は、アプリ パスワードを取り消す必要があります。

1. アプリ パスワードを使用しているアプリを表示するには、[アプリケーション固有のパスワード] 欄をクリックします。
2. アプリ名にカーソルを合わせ、右側のゴミ箱アイコン をクリックします。
3. [取り消し] をクリックします。
4. [完了] をクリックします。

ユーザーが自分のアプリ パスワードを取り消すこともできます。

[接続済みのアプリケーション] 欄には、ユーザーの Google アカウント データにアクセスできるすべてのサードパーティ製アプリケーション（Google Workspace Marketplace アプリなど）が一覧表示されます。詳しくは、承認済みのアクセスの仕組みをご覧ください。

注: サードパーティ製アプリケーションがインストールされていない場合、この欄は表示されていません。

アプリケーション名をクリックすると、詳しい情報が表示されます。

• [アクセスレベル] 列には、アプリケーションがアクセスできるユーザーデータが表示されます。ユーザーは Google データへのフルアクセス権限、または部分的なアクセス権限を付与できます。
• [承認日] 列には、アプリケーションにデータアクセスが許可された日時が表示されます。

アプリのデータアクセス権限を一時的に削除するには:

1. アプリ名にカーソルを合わせ、右側のゴミ箱アイコン をクリックします。
2. [削除] をクリックします。
3. [完了] をクリックします。

注: アプリのデータアクセス権限を削除しても、ユーザーが将来そのアプリを使用できなくなることはありません（ユーザーに必要な権限がある場合）。ユーザーがアプリに再度ログインすると、データアクセス権限が復元されます。アプリケーションへのユーザー アクセスを完全に制限するには、該当するアプリケーション スコープへのアクセスをブロックし、組織で承認されているアプリのホワイトリストを設定します。