セキュリティを強化して正当なユーザーであることを確認する

承認されていない人物がユーザー アカウントにアクセスしようとしている疑いがある場合、その人物に対して追加のセキュリティ保護用の質問や本人確認が提示されます。たとえば、実際のユーザーのスマートフォンに確認コードが届きます。質問に答えることができない場合や指定された操作を行えない場合、その人物はユーザー アカウントにはアクセスできません。

本人確認方法の種類

Google では、複数のセキュリティ要素に基づいて、ユーザーに対してどの本人確認を提示するのが適切かを判断します。

モバイル デバイスによる確認

  • [はい] をタップし、スマートフォンで番号をタップするよう求める画面が表示されます。
  • ユーザーの再設定用デバイスに、テキスト メッセージや通話で、確認コードとアカウントにアクセスする手順の説明が届きます。

組織で Google モバイル管理を使用している場合、管理対象のモバイル デバイス(企業アカウントにアクセスするために通常使用するデバイス)でユーザーに本人確認を行ってもらうことができます。Google モバイル管理について詳しくは、組織のモバイル デバイスの管理をご覧ください。

モバイル デバイスでの本人確認が求められている場合は、次のいずれかの画面が表示されます。

従業員 ID による「ログイン時の本人確認」

従業員 ID を本人確認方法として使用できます。本人確認にはさまざまな種類がありますが、なかでも従業員 ID は推測するのがより難しいため、フィッシングも難しくなります。ログイン時の本人確認に従業員 ID を使用するには、従業員 ID とユーザー アカウントが紐付けられている必要があります。詳しくは、「ログイン時の本人確認」方法として従業員 ID を追加するをご覧ください。
従業員 ID による本人確認が必要な場合、次の画面が表示されます。

再設定用のメールアドレスによる確認

不審なログインが検出された場合、本人確認方法として予備(再設定用)のメールアドレスを入力する必要があります。再設定用のメールアドレスによる本人確認が必要な場合、次の画面が表示されます。

本人確認を使用する前に

再設定用の電話番号や再設定用のメール アカウントを使って Google がユーザーの正当性を確認するには、事前にそれらの情報をユーザーから提供してもらう必要があります。ユーザーがログインすると、再設定用の電話番号または再設定用のメール アカウントの入力を求めるメッセージが表示されます。このメッセージは、ユーザーが情報を入力するまで定期的に表示されます。ログイン時の本人確認に従業員 ID を使用する場合は、従業員 ID とユーザー アカウントが紐付けられている必要があります。詳しくは、「ログイン時の本人確認」方法として従業員 ID を追加するをご覧ください。

SSO による本人確認を有効にする

SAML 経由でのシングル サインオン(SSO)によるユーザー認証には、サードパーティの ID プロバイダ(IdP)が広く利用されています。ユーザーはサードパーティの IdP で認証され、追加のリスクベースの本人確認は提示されません。Google の 2 段階認証プロセス(2SV)の設定は、すべて無視されます。これがデフォルトの動作です。

管理者は追加のリスクベース認証の本人確認と 2 段階認証プロセス(設定されている場合)を許可するポリシーを設定できます。ユーザーのログインに際し、Google が IdP から有効な SAML アサーション(ユーザーに関する認証情報)を受け取ると、Google からユーザーに追加の本人確認を提示できます。

SSO で本人確認を使用するケース

  • セキュリティ キーを使用して Google がホストする機密性の高いリソースへのアクセスを最大限安全に保護したいが、現在の IdP ではセキュリティ キーがサポートされていない。
  • ユーザーが Google リソースにアクセスする場合が多いため、サードパーティの ID プロバイダの使用にかかる費用を軽減したい。
  • Google による認証(ID プロバイダとしての Google)は必要ないが、Google のリスクベースの本人確認を利用したい。

追加の本人確認の適用による影響

新しいポリシーとその適用時期についてユーザーに通知し、円滑な導入を行います。ログイン時の追加の本人確認を適用すると、次のようになります。
  • 2 段階認証プロセスの適用など、既存の 2 段階認証プロセス ポリシーがある場合は、これらのポリシーがすぐに適用されます。
  • 新しいポリシーの適用対象となるユーザーと 2 段階認証プロセスに登録済みのユーザーには、ログイン時に 2 段階認証プロセスの本人確認が提示されます。
  • Google のログインリスク分析に基づき、ログイン時にリスクベースの本人確認がユーザーに提示されることがあります。

SSO 後の検証を設定する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [ログイン時の本人確認] にアクセスします。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 左側で、ポリシーを設定する組織部門を選択します。
    全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。
  4. [SSO を使用したログインは追加の認証と 2 段階認証プロセスの対象となります] を選択します。
    ポリシーの変更を示すエントリが管理コンソールの監査ログに作成されます。新しいポリシーでは、リスクベース認証の本人確認と 2 段階認証プロセス(設定されている場合)が提示されます。デフォルトでは、追加の本人確認は適用されません。
  5. 右下の [保存] をクリックします。

よくある質問

追加の質問と本人確認  |  電話による確認  |  本人確認の無効化  |  管理者

追加の質問と本人確認

質問や本人確認は、どのような場合にユーザーに提示されますか?

ログイン時の本人確認が求められるのは、不審なログイン(過去のパターンとは違う状況でログインが試みられた場合など)が検出された場合です。

重要: Google では、複数のセキュリティ要素やユーザビリティ要素に基づいて、ユーザーに対してどの本人確認を提示するのが適切かを判断します。従業員 ID によるログイン時の本人確認を有効にしている場合でも、ユーザーによってはこれが提示されないことがあります。

ユーザーが自分のアカウント復元情報を更新することはできますか?

はい、可能です。詳しくは、再設定用の電話番号またはメールアドレスを設定するをご覧ください。

2 段階認証プロセスを利用していますが、なぜログイン時の本人確認が必要なのですか?

2 段階認証プロセスはログイン時の本人確認の一種であるため、有効にすると、ログイン時の本人確認を別途求められなくなります。同じ理由で、管理レポートにはそれぞれの 2 段階認証プロセスがログイン時の本人確認として提示されます。

SSO を有効にしている場合、ログイン時の本人確認はどのように動作しますか?

デフォルトでは、シングル サインオン(SSO)を有効にしている組織では本人確認が有効になっていません。管理者は、管理コンソールの [SSO 後の検証] 設定を使用し、リスクベース認証の本人確認と 2 段階認証プロセス(設定されている場合)を許可するポリシーを設定できます。

この機能は G Suite for Education で利用できますか?

はい。すべてのエディションの G Suite で、追加のセキュリティ保護用の質問と本人確認をご利用いただけます。

Google ではどのような場合に不審なログインだと判断していますか?

Google のリスク分析システムによって、ユーザーの通常の行動パターンから逸脱したログインだとみなされた場合は、不審なログインだと判断します(通常とは異なる場所からのログインや、不正行為に使われる方法でのログインなど)。

電話による確認

組織のユーザーが会社の電話を持っていない場合、別の方法でアカウントの確認を行えますか?

はい、別の確認方法もあります。ユーザーのアカウントに登録されている情報に応じて、従業員 ID や再設定用のメールアドレスの入力など、別の本人確認方法がユーザーに提示されます。ユーザーの手元にスマートフォンがない場合は、バックアップ コードを使用してログインすることができます。詳しくは、バックアップ コードを使用してログインするをご覧ください。

アカウントに紐付けられている再設定用の電話番号やメールアドレスを更新するには、どうすればよいですか?

ユーザーは、アカウント設定で再設定用の情報を更新できます。

再設定用の電話番号以外の方法を選ぶことはできますか?

再設定用の電話番号を入力しない場合、再設定用のメールアドレスの入力や従業員 ID の使用など、別の方法で本人確認を行うことができます。

本人確認の無効化

ユーザーが本人であることを証明できない場合に、ログイン時の本人確認を無効にすることはできますか?

承認されているユーザーであっても、本人確認ができない場合があります。たとえば、携帯電話に電波が届かなくて確認コードを受信できない場合や、従業員 ID を覚えていなかったり、見つけられなかったりする場合などです。

このような場合には管理者が一時的にログイン時の本人確認をオフにしてログインできるようにすることができます。

  1. Google 管理コンソールにログインします。
  2. ユーザー アカウントを探します
  3. 対象のユーザー アカウントの行をクリックして、ユーザー情報ページを表示します。
  4. [セキュリティ] をクリックします。
  5. [ログイン時の本人確認] をクリックします。
  6. [10 分間無効化] をクリックします。

この変更がユーザー アカウントに反映されるまで数分かかることがあります。変更が反映されると、ログイン時の本人確認が 10 分間無効になり、ユーザーはその間にログインできます。

ユーザーによる本人確認ができず、セッションがロックされていた場合、ユーザーのパスワードを変更してセッションへのアクセスを許可することもできます。

組織でログイン時の本人確認をオフにすることはできますか?

いいえ。組織全体でこの機能をオフにすることはできません。ユーザーごとに一時的に無効にすることはできます。

ユーザー自身がアカウント設定でこの機能を無効にすることはできますか?

いいえ。ログイン時の本人確認を無効にできるのは管理者に限られ、一時的な無効化のみ可能です。

管理者の本人確認

本人確認できない管理者が、再びアカウントにアクセスできるようにするにはどうすればよいですか?

管理者は、パスワードを再設定することで本人確認を行わずに再びアカウントにアクセスできるようになります。[ログイン時の本人確認] 画面の下にある [代わりにこちらをクリックしてパスワードを再設定] をクリックします。

特権管理者が本人確認を行えない場合はどうすればよいですか?

特権管理者が本人確認を行えない場合、別の特権管理者がいれば、上記の手順に沿って問題となっている特権管理者のログイン時の本人確認を一時的にオフにできます。

または、パスワードを再設定して、特権管理者にログイン時の本人確認が提示されないようにすることもできます。[ログイン時の本人確認] 画面の下にある [代わりにこちらをクリックしてパスワードを再設定] をクリックします。

注: 自動化されたパスワード再設定オプションは一部の特権管理者にはご利用いただけません。管理者アカウントの再設定について詳しくは、管理者アカウントへの再設定オプションの追加をご覧ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。