承認されていない人物がユーザー アカウントにアクセスしようとしている疑いがある場合、その人物に対して追加のセキュリティ保護用の質問や本人確認が提示されます。たとえば、実際のユーザーのスマートフォンに確認コードが届きます。質問に答えることができない場合や指定された操作を行えない場合、そのユーザーはアカウントにはアクセスできません。
本人確認方法の種類
Google では、複数のセキュリティ要素に基づいて、ユーザーに対してどの本人確認を提示するのが適切かを判断します。
- [はい] をタップし、スマートフォンで番号をタップするよう求める画面が表示されます。
- ユーザーの再設定用デバイスに、テキスト メッセージや通話で、確認コードとアカウントにアクセスする手順の説明が届きます。
組織で Google モバイル管理を使用している場合、管理対象のモバイル デバイス(企業アカウントにアクセスするために通常使用するデバイス)でユーザーに本人確認を行ってもらうことができます。Google モバイル管理について詳しくは、組織のモバイル デバイスの管理をご覧ください。
本人確認を使用する前に
再設定用の電話番号や再設定用のメール アカウントを使って Google がユーザーの正当性を確認するには、事前にそれらの情報をユーザーから提供してもらう必要があります。ユーザーがログインすると、再設定用の電話番号または再設定用のメール アカウントの入力を求めるメッセージが表示されます。このメッセージは、ユーザーが情報を入力するまで定期的に表示されます。ログイン時の本人確認に従業員 ID を使用する場合は、従業員 ID とユーザー アカウントが紐付けられている必要があります。詳しくは、「ログイン時の本人確認」方法として従業員 ID を追加するをご覧ください。
SSO による本人確認を有効にする
SAML 経由でのシングル サインオン(SSO)によるユーザー認証には、サードパーティの ID プロバイダ(IdP)が広く利用されています。ユーザーはサードパーティの IdP で認証され、追加のリスクベースの本人確認は提示されません。Google の 2 段階認証プロセス(2SV)の設定は、すべて無視されます。これがデフォルトの動作です。
管理者は追加のリスクベース認証の本人確認と 2 段階認証プロセス(設定されている場合)を許可するポリシーを設定できます。ユーザーのログインに際し、Google が IdP から有効な SAML アサーション(ユーザーに関する認証情報)を受け取ると、Google からユーザーに追加の本人確認を提示できます。
- セキュリティ キーを使用して Google がホストする機密性の高いリソースへのアクセスを最大限安全に保護したいが、現在の IdP ではセキュリティ キーがサポートされていない。
- ユーザーが Google リソースにアクセスする場合が多いため、サードパーティの ID プロバイダの使用にかかる費用を軽減したい。
- Google による認証(ID プロバイダとしての Google)は必要ないが、Google のリスクベースの本人確認を利用したい。
- 2 段階認証プロセスの適用など、既存の 2 段階認証プロセス ポリシーがある場合は、これらのポリシーがすぐに適用されます。
- 新しいポリシーの適用対象となるユーザーと 2 段階認証プロセスに登録済みのユーザーには、ログイン時に 2 段階認証プロセスの本人確認が提示されます。
- Google のログインリスク分析に基づき、ログイン時にリスクベースの本人確認がユーザーに提示されることがあります。
-
-
管理コンソールのホームページから、[セキュリティ]
[ログイン時の本人確認] にアクセスします。
- 左側で、ポリシーを設定する組織部門を選択します。
全ユーザーを対象とする場合は、最上位の組織部門を選択します。初期設定では、組織部門の設定は親組織から継承されます。 - [SSO 後の本人確認] をクリックします。
- [SSO を使用したログインでも、追加の本人確認(可能な場合)および 2 段階認証(設定されている場合)を求める] を選択します。
ポリシーの変更を示すエントリが管理コンソールの監査ログに作成されます。新しいポリシーでは、リスクベース認証の本人確認と 2 段階認証プロセス(設定されている場合)が提示されます。デフォルトでは、追加の本人確認は適用されません。 - 右下の [保存] をクリックします。
よくある質問
追加の質問と本人確認 | 電話による確認 | 本人確認の無効化 | 管理者
追加の質問と本人確認
質問や本人確認は、どのような場合にユーザーに提示されますか?ログイン時の本人確認が求められるのは、不審なログイン(過去のパターンとは違う状況でログインが試みられた場合など)が検出された場合です。
重要: Google では、複数のセキュリティ要素やユーザビリティ要素に基づいて、ユーザーに対してどの本人確認を提示するのが適切かを判断します。従業員 ID によるログイン時の本人確認を有効にしている場合でも、ユーザーによってはこれが提示されないことがあります。
はい、可能です。詳しくは、再設定用の電話番号またはメールアドレスを設定するをご覧ください。
2 段階認証プロセスはログイン時の本人確認の一種であるため、有効にすると、ログイン時の本人確認を別途求められなくなります。同じ理由で、管理レポートにはそれぞれの 2 段階認証プロセスがログイン時の本人確認として提示されます。
デフォルトでは、シングル サインオン(SSO)を有効にしている組織では本人確認が有効になっていません。管理者は、管理コンソールの [SSO 後の検証] 設定を使用し、リスクベース認証の本人確認と 2 段階認証プロセス(設定されている場合)を許可するポリシーを設定できます。
はい。すべてのエディションの G Suite で、追加のセキュリティ保護用の質問と本人確認をご利用いただけます。
Google のリスク分析システムによって、ユーザーの通常の行動パターンから逸脱したログインだとみなされた場合は、不審なログインだと判断しますたとえば、通常とは異なる場所からのログインや、不正行為に使われる方法でのログインです。
電話による確認
組織のユーザーが会社の電話を持っていない場合、別の方法でアカウントの確認を行えますか?はい、別の確認方法もあります。ユーザーのアカウントに登録されている情報に応じて、従業員 ID や再設定用のメールアドレスの入力など、別の本人確認方法がユーザーに提示されます。ユーザーの手元にスマートフォンがない場合は、バックアップ コードを使用してログインすることができます。詳しくは、バックアップ コードを使用してログインするをご覧ください。
ユーザーは、アカウント設定で再設定用の情報を更新できます。
再設定用の電話番号を入力しない場合、再設定用のメールアドレスの入力や従業員 ID の使用など、別の方法で本人確認を行うことができます。
本人確認の無効化
ユーザーが本人であることを証明できない場合に、ログイン時の本人確認を無効にすることはできますか?承認されているユーザーであっても、本人確認ができない場合があります。たとえば、携帯電話に電波が届かなくて確認コードを受信できない場合や、従業員 ID を覚えていなかったり、見つけられなかったりする場合などです。
このような場合には管理者が一時的にログイン時の本人確認をオフにしてログインできるようにすることができます。
-
-
管理コンソールのホームページから、[ユーザー] にアクセスします。
- 対象のユーザー アカウントの行をクリックして、ユーザー情報ページを表示します。
- [セキュリティ] をクリックします。
- [ログイン時の本人確認] をクリックします。
- [10 分間無効化] をクリックします。
この変更がユーザー アカウントに反映されるまで数分かかることがあります。変更が反映されると、ログイン時の本人確認が 10 分間無効になり、ユーザーはその間にログインできます。
ヒント: ユーザーによる本人確認ができず、セッションがロックされていた場合、ユーザーのパスワードを変更してセッションへのアクセスを許可することもできます。
いいえ。組織全体でこの機能をオフにすることはできません。ユーザーごとに一時的に無効にすることはできます。
いいえ。ログイン時の本人確認を一時的に無効にできるのは管理者のみです。
管理者の本人確認
本人確認できない管理者が、再びアカウントにアクセスできるようにするにはどうすればよいですか?管理者は、パスワードを再設定することで本人確認を行わずに再びアカウントにアクセスできるようになります。[ログイン時の本人確認] 画面の下にある [代わりにこちらをクリックしてパスワードを再設定] をクリックします。
特権管理者が本人確認を行えない場合、別の特権管理者がいれば、上記の手順に沿って問題となっている特権管理者のログイン時の本人確認を一時的にオフにできます。
または、パスワードを再設定して、特権管理者にログイン時の本人確認が提示されないようにすることもできます。[ログイン時の本人確認] 画面の下にある [代わりにこちらをクリックしてパスワードを再設定] をクリックします。
注: 自動化されたパスワード再設定オプションは一部の特権管理者にはご利用いただけません。管理者アカウントの再設定について詳しくは、管理者アカウントへの再設定オプションの追加をご覧ください。
