2 段階認証プロセス
2 段階認証プロセスを導入する
2 段階認証プロセスをセットアップするうえで、管理者とユーザーが重要な役割を果たします。
手順 1: 2 段階認証プロセスの導入についてユーザーに通知する(必須)
2 段階認証プロセスを導入する前に、次のことをユーザーに伝えてください。
- 2 段階認証プロセスとは何か、また導入する理由
- 導入する 2 段階認証プロセスを任意にするか必須にするか
- 必須にする場合、いつまでにユーザーが 2 段階認証プロセスを有効にする必要があるか
- 2 段階認証プロセスで必須の手順とおすすめの方式
手順 2: 基本の 2 段階認証プロセスをセットアップする(必須)
Google 管理コンソールで、ユーザーに 2 段階認証プロセスの有効化を許可する設定を選択します。この設定は最上位組織の全体(複数のドメインで構成されている場合も含む)に適用されます。
最上位組織の作成日が 2016 年 12 月以降の場合、2 段階認証プロセスの管理コンソール設定はデフォルトで有効になっています。それらの最上位組織で作成されたアカウントでは、2 段階認証プロセスの設定もデフォルトで有効になっています。2 段階認証プロセスが有効になっていると、ユーザーが 2 段階認証プロセスの方式を設定することができます。
最上位組織のユーザーが 2 段階認証プロセスを有効にできるようにする
-
-
管理コンソールのホームページから、[セキュリティ]
[基本設定] にアクセスします。
[セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。
- [2 段階認証プロセス] で、[ユーザーが 2 段階認証プロセスを有効にできるようにする] をオンにします。
これで、最上位組織のユーザー全員が、2 段階認証プロセスを有効にし、2 段階認証プロセス方式を設定できるようになります。 - 右下の [保存] をクリックします。
2 段階認証プロセスに登録するようユーザーに伝える
- 2 段階認証プロセスを有効にするの手順に沿って 2 段階認証プロセスに登録するようユーザーに伝えます。
- 2 段階認証プロセスに登録する方法について情報を共有します。
手順 3: 2 段階認証プロセスを適用する(省略可)
2 段階認証プロセスを適用すると、ユーザーに対して 2 段階認証プロセスが必須になり、2 段階認証プロセスに登録していないユーザーは自分のアカウントにログインできなくなります。
2 段階認証プロセスの詳細設定を選択する
-
-
管理コンソールのホームページから、[セキュリティ]
[基本設定] にアクセスします。
[セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。
- [2 段階認証プロセス] で、[ユーザーが 2 段階認証プロセスを有効にできるようにする] がオンになっていることを確認します。なっていない場合はオンにし、[保存] をクリックします。
- [2 段階認証プロセスを適用するには、詳細設定にアクセスしてください] をクリックします。
ユーザーが 2 段階認証プロセスに登録していることを確認する
- [高度なセキュリティ設定] ページの [適用] セクションで、右側の [登録レポート] をクリックします。
- レポートを見て、まだ登録していないユーザーを確認します。
このレポートに最新データが反映されるまでには最長で 48 時間かかる場合があります。各ユーザーの 2 段階認証プロセスのステータスをリアルタイムで確認する方法については、ユーザーのセキュリティ設定を管理するをご確認ください。 - 未登録のユーザーに、2 段階認証プロセスに登録しないとアカウントにログインできなくなることを通知します。
適用を有効にする
管理者と主なユーザーには 2 段階認証プロセスを適用するようにしてください。詳しくは、2 段階認証プロセスに関するおすすめの方法をご確認ください。
2 段階認証プロセスをユーザーが有効にすることを許可する設定は管理コンソールで行うことができ、最上位組織全体に適用されます。ただし、2 段階認証プロセスを最上位の組織のユーザー全員に対して適用するのか、特定の組織部門のユーザーに対してのみ適用するのかを選択することができます。
- [高度なセキュリティ設定] ページを開き、左側で、2 段階認証プロセスを適用する組織部門を選択します。
- 組織部門を選択しないと、2 段階認証プロセスの適用設定は最上位の組織全体に適用されます。
- 組織部門と親組織で同じ設定を使用するようにするには、右上の [設定を継承] をクリックします。
- 2 段階認証プロセスをいつから適用するか選択します。
- [指定した日付から適用を有効にする] - 指定した日付から適用が開始されます。
- [今すぐ適用を有効にする] - 直ちに適用が開始されます。
- 指定した日付から 2 段階認証プロセスを適用するように選択した場合は、カレンダー上で開始日をクリックします。ユーザーがログインするときに、2 段階認証プロセスへの登録を求めるメッセージが表示されるようになります。
- [保存] をクリックします。
新しいユーザーもアカウントにログインできるようにする
- [高度なセキュリティ設定] ページを開き、[新しいユーザーの登録期間] の横で期間(1 日〜6 か月間)を選択します。
新しいユーザーは、最初にログインしてからこの期間以内に、2 段階認証プロセスに登録する必要があります。 - [保存] をクリックします。
手順 4: 適用オプションを選択する(省略可)
2 段階認証プロセスの適用方式はデフォルトで [制限なし] になりますが、最も安全な 2 段階認証方式であるセキュリティ キーを使用することをおすすめします。詳しくは、2 段階認証プロセスに関するおすすめの方法をご確認ください。
- [高度なセキュリティ設定] ページを開き、[使用できる 2 段階認証プロセス方式] で方式を選択します。
- [制限なし] - ユーザーは任意の 2 段階認証プロセス方式を設定できます。
- [テキスト メッセージや音声通話で受け取った確認コード以外] - 2 段階認証プロセスの確認コードの受け取りにスマートフォンを使用する方法以外であれば、ユーザーは任意の 2 段階認証プロセス方式を設定できます。
- [セキュリティ キーのみ] - ユーザーは必ずセキュリティ キーを設定する必要があります。
- [保存] をクリックします。
2 段階認証プロセスを適用すると、対応した 2 段階認証プロセス方式を設定していない既存のユーザーは、アクティブなセッションの有効期限が切れると自分のアカウントにログインできなくなります。そうしたユーザーがログインできるように、管理者はアカウントの復元を支援する必要があります。シナリオの例を以下に示します。
- 2 段階認証プロセスの任意の適用ポリシーを必須に変更する。
- 2 段階認証プロセスを必須にしているが、ユーザーは任意の方式を選択できるようになっている。こうしたポリシーを変更し、スマートフォンを使用して 2 段階認証プロセスの確認コードをテキスト メッセージや音声通話で受け取る以外の、任意の方式を許可する。
- 2 段階認証プロセスの任意の適用、任意の方式の許可、テキスト メッセージや音声通話以外の任意の方式の許可といったポリシーを変更して、2 段階認証プロセスを必須とし、その唯一の方式としてセキュリティ キーを強制する。
2 段階認証プロセスの適用計画を伝える
適用ポリシーを設定する前に、適用計画と適用日をユーザーに通知して、2 段階認証プロセス方式を追加する時間の猶予をユーザーに与えます。新規従業員については、新規ユーザーの登録期間を設定します。詳しくは、「新しいユーザーもアカウントにログインできるようにする」をご覧ください。
ユーザーが適用日までに設定を完了しなかった場合
ポリシーの適用日までに適切な 2 段階認証プロセス方式の設定を終えていないユーザーが出てくる可能性もあります。登録の猶予時間を与えるため、そのようなユーザーは 2 段階認証プロセス方式を追加するまでプロセスが適用されない例外グループに入れておきます。詳しくは、2 段階認証プロセスの適用に伴うユーザーの移動をご覧ください。
この回避策によりユーザーはログインできるようになりますが、標準的な対処方法としてはおすすめしません。例外グループに入っている間はユーザー アカウントが 2 段階認証プロセスによって保護されないためです。
「テキスト メッセージや音声通話で受け取った確認コード以外」を適用する
現在、ユーザーが任意の 2 段階認証プロセス方式を使用できるようになっている場合は、テキスト メッセージと音声通話を唯一の 2 段階認証プロセス方式として使用しているユーザーがいると考えられます。このポリシーを適用した場合、ユーザーは過去に 2 段階認証プロセスの確認コードをテキスト メッセージまたは音声通話で受け取るために使用した電話番号でログインすることができなくなります。また、新しい電話番号を追加することも一切できなくなります。
ユーザーがアカウントにログインできなくなることを回避する方法:
- このポリシーを設定する前に、ユーザーに対して別の 2 段階認証プロセス方式を追加し、その使用を開始するよう指示します。また、指定したポリシー適用日を過ぎると、2 段階認証プロセスの確認コードをスマートフォンで受け取ることができなくなることも伝えます。
login_verification
ログイン監査アクティビティ イベントを使用して、テキスト メッセージまたは音声通話で受け取った 2 段階認証プロセスの確認コードでログインしているユーザーを把握します。login_challenge_method
パラメータの値がidv_preregistered_phone
である場合、そのユーザーはテキスト メッセージまたは音声通話で受け取った確認コードを使用していることがわかります。
「セキュリティ キーのみ」を適用する
このポリシーを適用する前に、ユーザーのセキュリティ設定を見直して、各ユーザーがセキュリティ キーを設定済みであることを確認します。
- [セキュリティ キーのみ] で、[ユーザーがセキュリティ キーを登録済みである] をクリックしてユーザーリストを生成します。
- リスト内のユーザーをクリックし、ユーザーごとに設定を確認します。
- [高度なセキュリティ設定] ページを開き、[2 段階認証プロセスのポリシーの停止猶予期間] の横で期間(1 日〜1 週間)を選択します。
猶予期間は管理者がバックアップ コードを生成した日から始まります。 - [保存] をクリックします。
- セキュリティ キーがサポートされていないブラウザでのみ動作する企業のウェブアプリ
財務部の佐藤さんは、Internet Explorer 8.0 でのみ動作する財務用のウェブアプリを使用しています。セキュリティ キーが適用されているため、Google アカウントを使用してウェブアプリにログインできません。 - iPhone の初期設定
営業部の田中さんは新しい iPhone を持っています。iPhone を設定するには iPhone で Google アカウントにログインする必要がありますが、Safari とモバイル iOS ではセキュリティ キーがサポートされていないためログインできず、iPhone を設定できません。
セキュリティ コードを有効にする
プラットフォームでセキュリティ キーがサポートされていない場合は、特別な 1 回限りのセキュリティ コードを使用したユーザーのログインと認証を許可できます。ユーザーは、セキュリティ キーがサポートされているデバイスでのみコードを生成できます。
- [高度なセキュリティ設定] ページの [使用できる 2 段階認証プロセス方式]、[セキュリティ キーのみ] の下で、[ユーザーは、2 段階認証プロセスでセキュリティ キーを使用する代わりに https://g.co/sc のセキュリティ コードを利用できます] を選択します。
- [保存] をクリックします。
セキュリティ コードの仕組み
セキュリティ コードは Google 認証システムなどのアプリで生成される 1 回限りのコードとは異なります。セキュリティ コードを生成するには、ユーザーの持つデバイスがセキュリティ キーを使用できるものである必要があります。ユーザーがセキュリティ キーをタップすると、セキュリティ コードが生成されます。
セキュリティ コードを許可する状況
セキュリティ キーの適用時にセキュリティ コードの使用を許可すると、ユーザーはセキュリティ キーがサポートされていない場合でも作業を完了できます。ただし、セキュリティ コードは 2 段階認証プロセスのセキュリティ キーほど強力ではないため、セキュリティ キーがサポートされていないプラットフォームやアプリで作業する必要があるユーザーにのみセキュリティ コードを許可してください。
ユーザーの使用事例
ここでは、財務部の佐藤さんが Internet Explorer 8.0 で動作する財務用アプリを使用する方法を紹介します。
- 佐藤さんは Google の認証情報を使ってノートパソコンにログインします。
- ID を認証するため、セキュリティ キーをノートパソコンの USB ポートに挿入するか、すでに挿入されているセキュリティ キーをクリックします。
- Internet Explorer 8.0 を起動して、財務用アプリへのログインを試行します。
- プロンプトに沿って、セキュリティ キーを使用できるデバイスで 1 回限りのセキュリティ コードを取得します。
- 佐藤さんはノートパソコンで Chrome を起動し、https://g.co/sc にアクセスします。
- セキュリティ キーをタップして、セキュリティ コードを生成します。
- 生成したセキュリティ コードをコピーして、Internet Explorer ウェブアプリのログインに使用します。
現在、セキュリティ キーは Chrome と Firefox でのみサポートされています。1 回限りのセキュリティ コードの有効期間は、5 分間です。
信頼できるデバイスでの 2 段階認証プロセスの免除は、使用するデバイスをユーザーが頻繁に替える場合のみ行うようにしてください。
- [高度なセキュリティ設定] ページを開き、[2 段階認証プロセスの実施頻度] でいずれかのオプションを選択します。
- [2 段階認証プロセスにおいて、信頼できるデバイスの登録を許可します] - ユーザーが新しいデバイスから初めてログインしたときに、そのデバイスを信頼できるデバイスとして登録して、それ以降そのデバイスでは 2 段階認証プロセスを省略するように設定できます。ユーザーが Cookie を削除するか、管理者がユーザーのログイン Cookie をリセットするか、ユーザーがアカウントでデバイスを取り消すかしない限り、そのデバイスで再びユーザーに 2 段階認証が求められることはありません。
- [2 段階認証プロセスにおいて、信頼できるデバイスの登録を許可しません] - ユーザーはログインのたびに 2 段階認証プロセスを行う必要があります。
- [保存] をクリックします。
手順 5: セキュリティ キーを管理する(省略可)
ユーザーのセキュリティ キーを追加する