2 段階認証プロセス

セキュリティ チャレンジで Google Workspace アカウントを保護する

セキュリティ チャレンジは、ユーザーの本人確認を行うための付加的なセキュリティ対策です。セキュリティ チャレンジには、次の 2 つの種類があります。

  • ログイン時の本人確認 - 承認されていないユーザーが Google Workspace アカウントにログインしようとしている疑いがある場合に、ログイン時の本人確認が求められます。ユーザーがリクエストされた情報を入力できない場合、アカウントへのログインは許可されません。
  • 本人確認チャレンジ - 機密情報に関する操作をユーザーが試みた場合に、本人確認を求めるメッセージが表示されます。ユーザーがリクエストされた情報を入力できない場合、機密情報に関する操作は許可されません(アカウントは通常どおり使用を継続できます)。

セキュリティ チャレンジを使用する前に

ご利用の Google Workspace アカウントに、本人確認に必要な情報を登録してあることを確認します。

  • アカウントに再設定用の電話番号とメールアドレスを追加するよう従業員に伝えます。なお、アカウントにログインする際に、これらの情報を追加するよう定期的に求められるようになっています。
  • ユーザー アカウントに従業員 ID を追加します。「ログイン時の本人確認」方法として従業員 ID を追加するをご覧ください。

すべて開く   |   すべて閉じる

ログイン時の本人確認の種類

モバイル デバイスで本人確認を行う
 

ユーザーが本人確認の方法を選択する


ユーザーのスマートフォンにインストールされているアプリを使用して本人確認が行われる


確認コードを記載したテキスト メッセージが Google から届く


 Google からユーザーに電話がかかってきて、確認コードが提供される

社員 ID を入力する
管理者が本人確認用の従業員 ID を追加してある場合、ユーザーはその ID を使用して本人確認を行うことができます。
再設定用のメールアドレスを入力する
ユーザーはログイン時の本人確認方法として再設定用のメールアドレスを入力できます。

機密情報に関する操作のための本人確認チャレンジ

Google Workspace ユーザーが機密情報に関する操作を行うと、ユーザーに本人確認を求めるメッセージが表示されることがあります。ユーザーがリクエストされた情報を入力できない場合、機密情報に関する操作は拒否されます。

機密情報に関する操作をブロックしました

機密情報に関する操作の試行後、本人確認を求めるメッセージが表示されると、通常 [機密情報に関する操作をブロックしました] というタイトルのウィンドウが表示されます。ユーザーは、普段使用しているデバイス(スマートフォン、ノートパソコンなど)で、または通常ログインしている場所で、もう一度試すように求められます。

このアクションは現在完了できません

ユーザーのアカウントに最近追加されたデバイスまたはセキュリティ キーがあるため、ユーザーがセキュリティ チャレンジによる本人確認にすぐに対応できませんでした。このようなユーザーには、[このアクションは現在完了できません] というタイトルのウィンドウが表示されます。これらのユーザーは、デバイス、電話番号、またはセキュリティ キーがアカウントに関連付けられてから最低 7 日間が経過した後に、本人確認が可能になります。

機密情報に関する操作の例

機密情報に関する操作の例をいくつか紹介します。

  • 2 段階認証プロセスの無効化
  • アプリに Google データへのアクセスを許可
  • アカウント復元用メールアドレスまたは電話番号の変更
  • アカウント データのダウンロード
  • アカウント上の名前の変更

SSO による本人確認を有効にする

SAML を通じてシングル サインオン(SSO)ユーザーの認証にサードパーティ ID プロバイダ(IdP)を使用している組織は、SSO ユーザーに対するログイン時の本人確認をリスクベースで追加し、IdP がログイン時にユーザーを認証した後で、2 段階認証プロセス(設定されている場合)を適用できます。

SSO 後の検証設定のデフォルトは、SSO のユーザータイプによって異なります。

  • 組織の SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスがバイパスされます。
  • 他の SSO プロファイルを使用してログインするユーザーの場合、デフォルトの設定では、ログイン時の追加の本人確認と 2 段階認証プロセスが適用されます。

いずれかのユーザータイプのデフォルト設定を変更するには、下記の SSO 後の検証を設定するの手順に沿って操作してください。

SSO で追加の本人確認を使用するケース
  • セキュリティ キーを使用して Google がホストする機密性の高いリソースへのアクセスを最大限安全に保護したいが、現在の IdP ではセキュリティ キーがサポートされていない。
  • ユーザーが Google リソースにアクセスする場合が多いため、サードパーティの ID プロバイダの使用にかかる費用を軽減したい。
  • Google による認証(ID プロバイダとしての Google)は必要ないが、Google のリスクベースの本人確認を利用したい。
  • Google エコシステム内の機密情報に関する操作を Google によって保護したい。
追加の本人確認の適用による影響
新しいポリシーとその適用時期についてユーザーに通知し、円滑な導入を行います。ログイン時の追加の本人確認を適用すると、次のようになります。
  • 2 段階認証プロセスの適用など、既存の 2 段階認証プロセス ポリシーがある場合は、こうしたポリシーがすぐに適用されます。
  • 新しいポリシーの適用対象となるユーザーと 2 段階認証プロセスに登録済みのユーザーには、ログイン時に 2 段階認証プロセスの本人確認が提示されます。
  • Google のログインリスク分析に基づき、ログイン時にリスクベースの本人確認がユーザーに提示されることがあります。
SSO 後の検証を設定する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に [セキュリティ] 次に [認証] 次に [ログイン時の本人確認] にアクセスします。
  3. 左側で、ポリシーを設定する組織部門を選択します。

    全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。

  4. [SSO 後の本人確認] をクリックします。
  5. 組織での SSO プロファイルの使用方法に応じて設定を選択します。この設定は、組織の SSO プロファイルを使用するユーザーと、他の SSO プロファイルを使用してログインするユーザーに適用できます。
  6. 右下の [保存] をクリックします。

    ポリシーの変更を示すエントリが管理コンソールの監査ログに作成されます。

注: イベントによっては、ログイベント データが表示されないことがまれにあります。Google では現在この問題の解決に取り組んでいます。

よくある質問

追加のセキュリティ保護用の質問とログイン時の本人確認  |  電話による確認  |  ログイン時の本人確認またはセキュリティ チャレンジの無効化  |  管理者のログイン時の本人確認

追加のセキュリティ保護用の質問とログイン時の本人確認

ログイン時の本人確認は、どのような場合にユーザーに表示されますか?

ログイン時の本人確認が求められるのは、不審なログイン(過去のパターンとは違う状況でログインが試みられた場合など)が検出された場合です。機密情報に関する操作の試行時にリスクの高いセッションが発生した場合、ユーザーに本人確認を求めるメッセージが表示されます。

重要: どの種類のセキュリティ チャレンジをユーザーに提示するのが適切かは、複数のセキュリティ要素とユーザビリティ要素に基づいて判断されます。従業員 ID によるログイン時の本人確認を有効にしている場合でも、ユーザーによってはこれが提示されないことがあります。

管理者として、ユーザーに対して提示するログイン時の本人確認の種類を選択できますか?

2 段階認証プロセスはログイン時の本人確認の一種であるため、管理者はこのプロセスによるログイン時の本人確認をユーザーに適用できます。そうすることで、ユーザーは別の種類のリスクベースの本人確認を求められなくなります。

管理者が 2 段階認証プロセスをユーザーに適用していない場合またはユーザーが 2 段階認証プロセスを有効にしていない場合、どの種類の本人確認をユーザーに提示するのが適切かを Google が判断します。ログイン時の本人確認の適切な種類は、複数のセキュリティ要素とユーザビリティ要素に基づいて判断されます。たとえば、従業員 ID によるログイン時の本人確認を有効にしている場合でも、ユーザーによってはこれが提示されないことがあります。

ユーザーが自分のアカウント復元情報を更新することはできますか?

はい、可能です。詳しくは、再設定用の電話番号またはメールアドレスを設定するをご覧ください。

2 段階認証プロセスを使用しています。なぜログイン時の本人確認が必要なのですか?

2 段階認証プロセスはログイン時の本人確認の一種であるため、有効にすると、ログイン時の本人確認を別途求められなくなります。同じ理由で、管理レポートにはそれぞれの 2 段階認証プロセスがログイン時の本人確認として表示されます。

SSO を有効にしている場合、ログイン時の本人確認はどのように動作しますか?

組織でどのように SSO を構成しているかによって異なります。

  • 組織に SSO プロファイルを構成している場合 - デフォルトでは、ログイン時の本人確認は有効になっていません。ただし、SSO 後の認証を設定することで、リスクベースの認証チャレンジと 2 段階認証プロセス(構成済みの場合)を追加することができます。
  • 別の SSO プロファイルを使用している場合は、ログイン時の追加の本人確認(2SV が構成済みの場合はこれを含む)が自動的に適用されます。
この機能は Education エディションで利用できますか?

はい。すべてのエディションの Google Workspace で、追加のセキュリティ保護用の質問とログイン時の本人確認をご利用いただけます。

Google が不審なログインだと判断するのはどのような場合ですか?

Google のリスク分析システムによって、ユーザーの通常の行動パターンから逸脱したログインだとみなされた場合は、不審なログインだと判断します。たとえば、通常とは異なる場所からのログインや、不正行為に使われる方法でのログインです。

電話による確認

組織のユーザーが会社の電話を持っていない場合、別の方法でアカウントの確認を行えますか?

はい。ログイン時の本人確認には、さまざまな種類があります。ユーザーのアカウントに登録されている情報に応じて、従業員 ID や再設定用のメールアドレスの入力など、別の種類の本人確認方法がユーザーに提示されます。ユーザーの手元にスマートフォンがない場合は、バックアップ コードを使用してログインすることができます。詳しくは、バックアップ コードを使用してログインするをご覧ください。

アカウントに紐付けられている再設定用の電話番号やメールアドレスを更新するには、どうすればよいですか?

ユーザーは、アカウント設定で再設定用の情報を更新できます。

再設定用の電話番号以外の方法を選ぶことはできますか?

再設定用の電話番号を入力しない場合、再設定用のメールアドレスの入力や従業員 ID の使用など、別の方法でログイン時の本人確認を行うことができます。

ログイン時の本人確認や本人確認チャレンジの無効化

ユーザーが本人であることを証明できない場合に、ログイン時の本人確認や本人確認チャレンジを無効にすることはできますか?

はい。管理者は 10 分間、ログイン時の本人確認や本人確認チャレンジを無効にすることができます。

承認されているユーザーであっても、本人確認ができない場合があります。たとえば、携帯電話に電波が届かなくて確認コードを受信できない場合や、従業員 ID を覚えていなかったり、見つけられなかったりする場合などです。 その場合は、ログイン時の本人確認や本人確認チャレンジを 10 分間無効にすることで、特権管理者がログインや機密情報に関する操作を行えるようにできます。この 10 分間はアカウントの不正使用に対する安全性が低下するため、ログイン時の本人確認や本人確認チャレンジの無効化は慎重に行ってください。

組織でログイン時の本人確認や本人確認チャレンジをオフにすることは可能ですか?

いいえ。組織全体でこの機能をオフにすることはできません。ユーザーごとに一時的に無効にすることはできます。

ユーザー自身がアカウント設定でこの機能を無効にすることはできますか?

いいえ。ログイン時の本人確認や本人確認チャレンジを一時的に無効にできるのは管理者のみです。

管理者のログイン時の本人確認

本人確認できない管理者が、再びアカウントにアクセスできるようにするにはどうすればよいですか?

管理者は、ログイン ページのメッセージに沿ってパスワードを再設定することで、アカウントに再びアクセスできるようになります。

管理者アカウントへのログインにお困りの Google Workspace 管理者の方は、管理者としてのアクセスを復元するをご覧ください。

特権管理者が本人確認を行えない場合はどうすればよいですか?

特権管理者が本人確認を行えない場合、別の特権管理者がいれば、上記の手順に沿って問題となっている特権管理者のログイン時の本人確認を一時的にオフにできます。

または、特権管理者自身がパスワードを再設定して、ログイン時の本人確認が提示されないようにすることもできます。

注: 自動化されたパスワード再設定オプションは一部の特権管理者にはご利用いただけません。管理者アカウントの再設定について詳しくは、管理者アカウントへの再設定オプションの追加をご覧ください。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
検索
検索をクリア
検索を終了
メインメニュー
4070469240097735996
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false