管理者は、ユーザーの管理対象 Google アカウントを保護し、組織のコンプライアンス上のニーズを満たすために、パスワード要件を適用できます。また、パスワードの安全度をモニタリングすることで、安全でないパスワードを使用しているユーザーがいないかを確認することもできます。
ユーザー アカウントを安全に保つ
- 安全なパスワードを要求する - 脆弱なパスワードを使用しているユーザーに、パスワードの変更を強制することができます。パスワードに必要な文字数を指定することもできます。
- 過去に使用されたパスワードを再利用させない
- 安全なパスワードの重要性を説明する - ユーザーが安全なパスワードを作成できるように、パスワード作成のヒントに目を通してもらってください。
始める前に
- Google は、ハッシュ方式を使用して設定されたパスワード セット(例: 一括ユーザー アップロード ツール、Directory API、または Password Sync や Google Cloud Directory Sync などの同期ツールを使用して生成されたパスワード)にはパスワードの安全度と長さの要件を適用できません。詳しくは、Google Workspace Admin SDK または Password Sync についてをご覧ください。
- パスワードの安全度と長さの要件は、手動で再設定したユーザー パスワードには適用されません。手動でパスワードを再設定する場合は、そのユーザーに対して必ず [ユーザーのログイン時にパスワードを変更してもらう] チェックボックスをオンにします。
- パスワード ポリシーを設定しても、SAML を使用してサードパーティの ID プロバイダ(IdP)で認証されたユーザーには適用されません。
安全なパスワードを必須要件にした場合、Google はパスワードの安全度を評価するアルゴリズムを使用して、そのパスワードが以下の条件を満たしていることを確認します。
- ランダム性のレベル(パスワード エントロピー)が高い。この条件を満たすには、種類の異なる文字(大文字、小文字、数字、特殊文字など)で構成される長い文字列を使用します。
注: 安全なパスワードは、特定の種類の文字が特定の文字数で構成されている必要はありません。
- よく使われる脆弱なパスワードでない(「123456」や「password123」など)。
- 推測するのが容易でない(パスワードがユーザー名と同じであるといったような、単純な語句やパターンでない)。
- 既知の不正使用されたパスワードでない(過去に侵害を受けたアカウントのデータベースに記録されていない)。
パスワードの有効期限はデフォルトで無効になっています。パスワードの定期変更によるセキュリティ上の効果は薄いという調査結果があるためです。コンプライアンス上の理由で必要な場合は、ユーザーのパスワードの有効期限を設定できます(設定から 90 日後、180 日後など)。
パスワードの有効期限は、ブラウザベースのアプリケーションのログインに対してのみ適用されます。スマートフォンのみを使用しているユーザーや、OAuth 認証アプリを使用してログインしているユーザーには適用されません。
パスワード アラート
パスワードの有効期限を設定した場合、有効期限の 30 日前に、Gmail やカレンダーなどの Google サービスで(メール通知ではなく)ポップアップ アラートが表示されます。ユーザーは、ここでパスワードを変更することも、アラートを閉じることもできます。パスワードを変更しない場合、アカウントへの次回ログイン時にも同じアラートが表示されます。このアラートを 3 回閉じると、それ以降アラートは表示されなくなります。ただし、パスワードの有効期限が切れた後は、次回ログイン時にパスワードを変更する必要があります。
パスワードの変更が必要なタイミング
パスワードの有効期限ポリシーを初めて設定するときは、パスワードをすぐに変更するよう求められるユーザーもいれば、すぐには変更する必要のないユーザーもいます。以下に例を示します。
- 90 日の有効期限ポリシーを設定したとします。ユーザーが最後にパスワードを変更したのが 100 日前であった場合、そのユーザーのパスワードはポリシーの設定後すぐに失効します。ユーザーは次回ログインしようとすると、パスワードを変更するよう求められます。
- 90 日の有効期限ポリシーを設定したとします。ユーザーが最後にパスワードを変更したのが 30 日前であった場合、そのユーザーのパスワードはまだ失効しません。ユーザーは 60 日後にログインしようとすると、パスワードを変更するよう求められます。
パスワードの要件を設定する
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
[認証]
- 左側で、パスワード ポリシーを設定する組織部門を選択します。
全ユーザーを対象とする場合は、最上位の組織部門を選択します。それ以外の場合は、別の組織を選択してその組織のユーザーに設定を適用します。初期設定では、組織の設定は親組織から継承されます。
- [安全度] で、[安全なパスワードを適用する] チェックボックスをオンにします。
詳しくは、安全なパスワードに関する記事をご覧ください。
-
[長さ] で、ユーザーのパスワードに設定する最小文字数と最大文字数を入力します。文字数は 8~100 文字の間で指定できます。
- (省略可)ユーザーに強制的にパスワードを変更させる場合は、[次回ログイン時にパスワード ポリシーを適用する] チェックボックスをオンにします。
このチェックボックスをオンにしない場合、使用しているパスワードが脆弱であっても、現在のパスワードを使い続ける間は組織の Google サービスにアクセスできます。
- (省略可)ユーザーが過去に使用したパスワードを再利用できるようにするには、[パスワードの再利用を許可] チェックボックスをオンにします。
再利用できないパスワードとして Google が確認するパスワードの履歴を指定することはできません。
- [有効期限] で、パスワードが期限切れになるまでの期間を選択します。
注: ユーザー アカウントに代理人が設定されている場合、アカウントのパスワードが期限切れになっても、代理人は引き続きこのアカウントにアクセスできます。継続してアクセスできないようにするには、アカウントのパスワードをリセットするか、代理人を削除します。
- [オーバーライド] をクリックすると、親組織の設定が変更された場合でも、設定がそのまま維持されます。
- 組織部門のステータスがすでに [上書きされました] になっている場合は、次のいずれかを選択します。
- 継承 - 親と同じ設定に戻します。
- 保存 - 親の設定が変更された場合でも、新しい設定を保存します。
- 安全なパスワードを作成するためのヒントをユーザーに提供します。
ユーザーのパスワードの安全度をモニタリングする
-
-
管理コンソールで、メニュー アイコン
[レポート]
- (省略可)パスワードの安全度の情報をグラフで確認するには、[レポート]