承認されていないユーザーが Google Workspace アカウントにログインしようとしている疑いがある場合、ログイン時の本人確認の画面が表示されます。リクエストされた情報を入力できない場合、アカウントへのログインは許可されません。
ログイン時の本人確認を使用する前に
ご利用の Google Workspace アカウントに、本人確認に必要な情報を登録してあることを確認します。
- アカウントに再設定用の電話番号とメールアドレスを追加するよう従業員に伝えます。なお、アカウントにログインする際に、これらの情報を追加するよう定期的に求められるようになっています。
- ユーザー アカウントに従業員 ID を追加します。「ログイン時の本人確認」方法として従業員 ID を追加するをご覧ください。
ログイン時の本人確認の種類
ユーザーが本人確認の方法を選択する
ユーザーのスマートフォンにインストールされているアプリを使用して本人確認が行われる
確認コードを記載したテキスト メッセージが Google から届く
Google からユーザーに電話がかかってきて、確認コードが提供される
SSO による本人確認を有効にする
SAML 経由でのシングル サインオン(SSO)を使用しているユーザーの認証には、多くのお客様が Google 以外の ID プロバイダを利用しています。ユーザーはサードパーティの ID プロバイダで認証され、追加のリスクベースの本人確認は提示されません。Google の 2 段階認証プロセス(2SV)の設定は、すべて無視されます。これはデフォルトの動作です。
管理者は追加のリスクベース認証の本人確認と 2 段階認証プロセス(設定されている場合)を許可するポリシーを設定できます。ユーザーのログインに際し、Google が IdP から有効な SAML アサーション(ユーザーに関する認証情報)を受け取ると、Google からユーザーに追加の本人確認を提示できます。
- セキュリティ キーを使用して Google がホストする機密性の高いリソースへのアクセスを最大限安全に保護したいが、現在の IdP ではセキュリティ キーがサポートされていない。
- ユーザーが Google リソースにアクセスする場合が多いため、サードパーティの ID プロバイダの使用にかかる費用を軽減したい。
- Google による認証(ID プロバイダとしての Google)は必要ないが、Google のリスクベースの本人確認を利用したい。
- 2 段階認証プロセスの適用など、既存の 2 段階認証プロセス ポリシーがある場合は、こうしたポリシーがすぐに適用されます。
- 新しいポリシーの適用対象となるユーザーと 2 段階認証プロセスに登録済みのユーザーには、ログイン時に 2 段階認証プロセスの本人確認が提示されます。
- Google のログインリスク分析に基づき、ログイン時にリスクベースの本人確認がユーザーに提示されることがあります。
-
-
管理コンソールのホームページから、[セキュリティ]
[ログイン時の本人確認] にアクセスします。
- 左側で、ポリシーを設定する組織部門を選択します。
全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。 - [SSO 後の本人確認] をクリックします。
- [SSO を使用したログインでも、追加の本人確認(可能な場合)および 2 段階認証(設定されている場合)を求める] を選択します。
ポリシーの変更を示すエントリが管理コンソールの監査ログに作成されます。新しいポリシーでは、リスクベース認証の本人確認と 2 段階認証プロセス(設定されている場合)が提示されます。デフォルトでは、追加の本人確認は適用されません。 - 右下の [保存] をクリックします。
よくある質問
追加のセキュリティ保護用の質問とログイン時の本人確認 | 電話による確認 | ログイン時の本人確認の無効化 | 管理者のログイン時の本人確認
追加のセキュリティ保護用の質問とログイン時の本人確認
セキュリティ保護用の質問またはログイン時の本人確認は、どのような場合にユーザーに提示されますか?ログイン時の本人確認が求められるのは、不審なログイン(過去のパターンとは違う状況でログインが試みられた場合など)が検出された場合です。
重要: どの種類の本人確認をユーザーに提示するのが適切かは、複数のセキュリティ要素とユーザビリティ要素に基づいて判断されます。たとえば、従業員 ID によるログイン時の本人確認を有効にしている場合でも、ユーザーによってはこれが提示されないことがあります。
2 段階認証プロセスはログイン時の本人確認の一種であるため、管理者はこのプロセスによるログイン時の本人確認をユーザーに適用できます。そうすることで、ユーザーは別の種類のリスクベースの本人確認を求められなくなります。
管理者が 2 段階認証プロセスをユーザーに適用していない場合またはユーザーが 2 段階認証プロセスを有効にしていない場合、どの種類の本人確認をユーザーに提示するのが適切かを Google が判断します。ログイン時の本人確認の適切な種類は、複数のセキュリティ要素とユーザビリティ要素に基づいて判断されます。たとえば、従業員 ID によるログイン時の本人確認を有効にしている場合でも、ユーザーによってはこれが提示されないことがあります。
はい、可能です。詳しくは、再設定用の電話番号またはメールアドレスを設定するをご覧ください。
2 段階認証プロセスはログイン時の本人確認の一種であるため、有効にすると、ログイン時の本人確認を別途求められなくなります。同じ理由で、管理レポートにはそれぞれの 2 段階認証プロセスがログイン時の本人確認として表示されます。
デフォルトでは、シングル サインオン(SSO)を有効にしている組織では、ログイン時の本人確認が有効になっていません。管理者は、管理コンソールの [SSO 後の本人確認] 設定を使用して、リスクベース認証による確認と 2 段階認証プロセス(設定されている場合)を許可するポリシーを設定できます。
はい。すべてのエディションの Google Workspace で、追加のセキュリティ保護用の質問とログイン時の本人確認をご利用いただけます。
Google のリスク分析システムによって、ユーザーの通常の行動パターンから逸脱したログインだとみなされた場合は、不審なログインだと判断します。たとえば、通常とは異なる場所からのログインや、不正行為に使われる方法でのログインです。
電話による確認
組織のユーザーが会社の電話を持っていない場合、別の方法でアカウントの確認を行えますか?はい。ログイン時の本人確認には、さまざまな種類があります。ユーザーのアカウントに登録されている情報に応じて、従業員 ID や再設定用のメールアドレスの入力など、別の種類の本人確認方法がユーザーに提示されます。ユーザーの手元にスマートフォンがない場合は、バックアップ コードを使用してログインすることができます。詳しくは、バックアップ コードを使用してログインするをご覧ください。
ユーザーは、アカウント設定で再設定用の情報を更新できます。
再設定用の電話番号を入力しない場合、再設定用のメールアドレスの入力や従業員 ID の使用など、別の方法でログイン時の本人確認を行うことができます。
ログイン時の本人確認の無効化
ユーザーが本人であることを証明できない場合に、ログイン時の本人確認を無効にすることはできますか?はい。管理者は 10 分間、ログイン時の本人確認を無効にすることができます。
いいえ。組織全体でこの機能をオフにすることはできません。ユーザーごとに一時的に無効にすることはできます。
いいえ。ログイン時の本人確認を一時的に無効にできるのは管理者のみです。
管理者のログイン時の本人確認
本人確認できない管理者が、再びアカウントにアクセスできるようにするにはどうすればよいですか?管理者は、ログイン ページのメッセージに沿ってパスワードを再設定することで、アカウントに再びアクセスできるようになります。
特権管理者が本人確認を行えない場合、別の特権管理者がいれば、上記の手順に沿って問題となっている特権管理者のログイン時の本人確認を一時的にオフにできます。
または、特権管理者自身がパスワードを再設定して、ログイン時の本人確認が提示されないようにすることもできます。
注: 自動化されたパスワード再設定オプションは一部の特権管理者にはご利用いただけません。管理者アカウントの再設定について詳しくは、管理者アカウントへの再設定オプションの追加をご覧ください。