2 段階認証プロセスを設定するうえで、管理者とユーザーは重要な役割を果たします。
手順 1: 2 段階認証プロセスの導入についてユーザーに通知する(必須)
2 段階認証プロセスを導入する前に、次のことをユーザーに伝えてください。
- 2 段階認証プロセスの概要と導入理由
- 導入する 2 段階認証プロセスを任意にするか必須にするか
- (必要に応じて)ユーザーが 2 段階認証プロセスを有効にする期限
- 2 段階認証プロセスで必要になる操作とおすすめの方法
詳しくは、2 段階認証プロセスに関するおすすめの方法をご確認ください。
手順 2: 基本の 2 段階認証プロセスを設定する(必須)
次に、ユーザーが 2 段階認証プロセスを有効にできるようにします。デフォルトでは、ユーザーは 2 段階認証プロセスを有効にして任意の 認証方式を使用できます(2016 年 12 月より前に作成された G Suite アカウントをご利用の場合、2 段階認証プロセスはデフォルトで無効になっています)。
2 段階認証プロセスの設定を適用する
組織部門と例外グループ(組織部門内のユーザー グループ)に対する 2 段階認証プロセスの設定をカスタマイズできます。たとえば、営業部門の少人数のチームに対してセキュリティ キーを必須にすることができます。
例外グループの仕組み
- 組織部門ごとに 1 グループの例外グループを割り当てることができます。
- 例外グループのユーザーは組織部門に属している必要があります。
- 2 段階認証プロセスの設定は例外グループのユーザーに適用されます(グループ アドレスやネストされたグループには適用されません)。
- 管理コンソール、Groups API、または Directory Sync(Google グループではなく)で、グループを作成します。
簡単に見分けられるよう、例外グループの名前に組織部門の名前を含めることもできます(例: exgrp_[OU 名])。
ユーザーが 2 段階認証プロセスを有効にできるようにする
-
-
管理コンソールのホームページから、[セキュリティ]
[2 段階認証プロセス] に移動します。
- 左側で組織部門または例外グループを選択します。
- ユーザーが 2 段階認証プロセスを有効にして任意の認証方式を使用できるようにしますが、ここではまだ 2 段階認証プロセスを必須にはしません。
- [ユーザーが 2 段階認証プロセスを有効にできるようにする] チェックボックスをオンにします。
- [適用] > [無効] を選択します。
- [保存] をクリックします。
- 2 段階認証プロセスを有効にする手順に沿って 2 段階認証プロセスに登録するようユーザーに伝えます。
- 2 段階認証プロセスに登録する方法について情報を共有します。
レポートを使用して、ユーザーの 2 段階認証プロセスへの登録状況を確認します。
手順 3: 2 段階認証プロセスを適用する(省略可)
管理者がユーザーに 2 段階認証プロセスを適用する手順は、必須ではありません。
2 段階認証プロセスの適用を実施する場合は、事前にユーザーが 2 段階認証プロセスに登録済みかどうかを確認してください。登録していないユーザーは、自分のアカウントにログインできなくなります。
適用ポリシーへの移行を円滑にする2 段階認証プロセスを適用すると、これに応じた設定をしていないユーザーは、アクティブなセッションの有効期限が切れると自分のアカウントにログインできなくなります。たとえば、すべての 2 段階認証プロセスを許可する設定からセキュリティ キーを必須とする設定に切り替えた場合、管理者はユーザーがログインできるようアカウントの復元によりサポートする必要があります。
2 段階認証プロセスの適用計画を伝える
適用ポリシーを設定する前に、適用計画と適用日をユーザーに通知して、2 段階認証プロセスに登録する時間の猶予をユーザーに与えます。新規従業員については、新しいユーザーの登録期間を設定します。
ユーザーが期日までに対応しなかった場合
適用日までに必要な 2 段階認証プロセスの登録を完了しないユーザーが出てくる可能性もあります。
登録の猶予時間を与えるため、このようなユーザーは 2 段階認証プロセスが適用されない例外グループに追加できます。この回避策によりユーザーはログインできるようになりますが、標準的な対処方法としてはおすすめしません。詳しくは、2 段階認証プロセスの適用を必須にした際にアカウントがロックアウトされるのを回避するをご確認ください。
2 段階認証プロセスを適用する方法はデフォルトで [すべて] になりますが、最も安全な方法であるセキュリティ キーの適用をおすすめします。詳しくは、2 段階認証プロセスに関するおすすめの方法をご確認ください。
適用する方法
- [すべて] - ユーザーは任意の 2 段階認証プロセス方式を設定できます。
- [テキスト メッセージまたは音声通話で受け取った確認コード以外] - ユーザーは、スマートフォンで確認コードを受け取る方式以外の、任意の 2 段階認証プロセスを設定できます。
- [セキュリティ キーのみ] - ユーザーは必ずセキュリティ キーを設定する必要があります。
以下の方法を適用する際には、次を考慮してください。
テキスト メッセージまたは音声通話で受け取った確認コード以外
現在、任意の 2 段階認証プロセスの方法を許可している場合は、テキスト メッセージと音声通話のみで認証しているユーザーがいると考えられます。ユーザーがアカウントにログインできなくなることを回避するには、次を行います。
- 適用が有効になる前に、別の 2 段階認証プロセス方式を使用するようユーザーに案内します。また、適用日を過ぎると、2 段階認証プロセスの確認コードをスマートフォンで受け取ることができなくなることも伝えます。
login_verificationログイン監査アクティビティ イベントを使用して、テキスト メッセージまたは音声通話で受け取った 2 段階認証プロセスの確認コードでログインしているユーザーを把握します。login_challenge_methodパラメータの値がidv_preregistered_phoneである場合、そのユーザーはテキスト メッセージまたは音声通話で受け取った確認コードを使用していることがわかります。
セキュリティ キーのみ
セキュリティ キーを適用する前に、アカウント レポートでセキュリティ キーを設定済みのユーザーを確認します(レポートにデータが反映されるまでには最長で 48 時間ほどかかる場合があります)。各ユーザーの 2 段階認証プロセスのステータスをリアルタイムで確認する方法については、ユーザーのセキュリティ設定を管理するをご確認ください。
セキュリティ キーに対応していない環境でもユーザーが作業できるように、セキュリティ コードの利用を許可することもできます。セキュリティ コードは 2 段階認証プロセスのセキュリティ キーほど強力ではないため、セキュリティ キーがサポートされていないブラウザ、デバイス、アプリを使用する必要があるユーザーのみにセキュリティ コードを制限してください。
セキュリティ コードは Google 認証システムなどのアプリで生成される 1 回限りのコードとは異なります。セキュリティ コードを生成するために、ユーザーはセキュリティ キーを使用できるデバイスを利用します。ユーザーがセキュリティ キーをタップすると、セキュリティ コードが生成されます。セキュリティ コードの有効期間は、5 分間です。
たとえば、佐藤さんはセキュリティ キーがサポートされていない古いブラウザでのみ動作する財務用アプリを使用しているとします。
- 古いブラウザを開いて、財務用アプリへのログインを試行します。
- プロンプトに沿って、セキュリティ キーを使用できるデバイスで 1 回限りのセキュリティ コードを取得します。
- ノートパソコンで Chrome を開き、自分の Google アカウントにログインします。このブラウザで Google アカウントにログインしたことがない場合は、セキュリティ キーの入力を求められることがあります。
- https://g.co/sc にアクセスします。
- ノートパソコンでセキュリティ キーをタップして、セキュリティ コードを生成します。生成したセキュリティ コードをコピーして、ブラウザアプリのログインに使用します。
ユーザーのセキュリティ キーの追加: ユーザーが自身で 2 段階認証プロセスに登録していなくても、管理者がそのユーザーのセキュリティ キーを登録すれば、そのユーザーが自動的に 2 段階認証プロセスに登録されます詳しくは、ユーザーのセキュリティ設定を管理するをご覧ください。
適用する方法と設定を選択します。
-
-
管理コンソールのホームページから、[セキュリティ]
- 左側で組織部門または例外グループを選択します。
- [ユーザーが 2 段階認証プロセスを有効にできるようにする] をクリックします。
- [適用] の下で、2 段階認証プロセスをいつから適用するか選択します。
- [有効] - 直ちに適用が開始されます。
- [指定した日付から適用を有効にする] - 開始日を選択します。ユーザーがログインするときに、2 段階認証プロセスへの登録を求めるメッセージが表示されるようになります。
- [新しいユーザーの登録期間] を設定します。
登録期間を設定することで、アカウントに 2 段階認証プロセスが適用される前に新しい従業員が登録を行うための期間を設けることができます。登録期間中は、ユーザーはパスワードを入力するだけでアカウントにログインできます。
期間(1 日〜6 か月間)を選択します。新しいユーザーは、最初のログイン後ここで指定された期間内に 2 段階認証プロセスに登録する必要があります。 - [頻度] の設定で、[信頼できるデバイスの登録を許可する] をクリックします(省略可)。
信頼できるデバイスでユーザーが 2 回目以降の 2 段階認証プロセスを省略できるようにします。ユーザーが新しいデバイスから初めてログインしたときにチェックボックスをオンにすると、信頼できるデバイスとして登録されます。その後、ユーザーが Cookie を削除するか、デバイスを取り消すか、管理者がユーザーのログイン Cookie をリセットするかしない限り、そのデバイスで再び 2 段階認証が求められることはありません。
信頼できるデバイスでの 2 段階認証プロセスの免除は、ユーザーが複数のデバイスから頻繁にログインする場合のみ行うようにしてください。信頼できるデバイスを許可しない場合、ユーザーはログインのたびに 2 段階認証プロセスを行う必要があります。
セキュリティ キーのオプション
ユーザーがセキュリティ キーにアクセスできない場合や、セキュリティ キーがサポートされていないアプリにログインする必要がある場合に備えて、バックアップの認証方法を追加します。
- [2 段階認証プロセスのポリシーの停止猶予期間] を設定します。
生成したバックアップ確認コードでユーザーがログインできるようにします(ユーザーがセキュリティ キーを紛失した場合に役立ちます)。猶予期間を選択します。この猶予期間は、確認コードを生成した時点から開始されます。詳細
- [セキュリティ コード] で、ユーザーがセキュリティ コードでログインできるかどうかを選択します。
- [ユーザーがセキュリティ コードを生成できないようにする] - ユーザーはセキュリティ コードを生成できません。2019 年 11 月 20 日より前に G Suite の申し込みを行った場合は、これがデフォルトです。
- [リモート アクセス以外で使用するセキュリティ コードの生成を許可する] - ユーザーはセキュリティ コードを生成して、同じデバイスまたはローカル ネットワーク(NAT か LAN)で使用することができます。2019 年 11 月 20 日以降に G Suite の申し込みを行った場合は、これがデフォルトです。
- [リモート アクセスで使用するセキュリティ コードの生成を許可する] - ユーザーはセキュリティ コードを生成して、他のデバイスまたはネットワーク(リモート サーバーや仮想マシンにアクセスするときなど)で使用することができます。
