2 段階認証プロセスを設定するうえで、管理者とユーザーは重要な役割を果たします。 2 段階認証プロセス方式は、ユーザー自身が選択できるようにするか、組織内の特定のユーザーまたはグループに強制的に適用できます。たとえば、少人数の営業部チームに対して、セキュリティ キーを使用するよう要求できます。
手順 1: 2 段階認証プロセスの導入についてユーザーに通知する
2 段階認証プロセスを導入する前に、次のような会社の計画をユーザーに伝えます。
- 2 段階認証プロセスの概要と、会社が 2 段階認証プロセスを使用する理由。
- 2 段階認証プロセスが任意か必須か。
- 必須にする場合、いつまでにユーザーが 2 段階認証プロセスを有効にする必要があるか。
- 必須またはおすすめの 2 段階認証プロセス方式
手順 2: ユーザーが 2 段階認証プロセスを有効にできるようにする
2016 年 12 月より前に作成されたユーザー アカウントは、デフォルトで 2 段階認証プロセスが有効になっています。
ユーザーが 2 段階認証プロセスを有効にして任意の認証方式を使用できるようにします。
動画を見る
Allow users to turn on 2-Step Verification
ユーザーが 2 段階認証プロセスを有効にできるようにする
始める前に: 必要に応じて、部門やグループに設定を適用する方法をご確認ください。
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [認証] [2 段階認証プロセス] にアクセスします。
- [ユーザーが 2 段階認証プロセスを有効にできるようにする] チェックボックスをオンにします。
- [適用] [オフ] を選択します。
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承](グループの場合は [設定解除])をクリックします。
手順 3: 2 段階認証プロセスに登録するようユーザーに伝える
- 2 段階認証プロセスを有効にするの手順に沿って 2 段階認証プロセスに登録するようユーザーに伝えます。
- 2 段階認証プロセスに登録する方法について情報を共有します。
手順 4: ユーザーの登録を確認する
レポートを使用して、ユーザーの 2 段階認証プロセスへの登録状況を確認します。ユーザーの登録状況、適用状況、セキュリティ キーの数を確認します。
動画を見る
Track users' enrollment in 2-Step Verification
2 段階認証プロセスの登録状況を追跡する
-
-
管理コンソールで、メニュー アイコン [レポート] [ユーザー レポート] [セキュリティ] にアクセスします。
- (省略可)新しい情報の列を追加するには、設定アイコン [新しい列を追加] をクリックします。テーブルに追加する列を選択し、[保存] をクリックします。
詳しくは、ユーザーのセキュリティ設定を管理するをご覧ください。
登録の傾向を確認する
-
-
管理コンソールのホームページから、[レポート] [アプリレポート] [アカウント] に移動します。
2 段階認証プロセスを使用していない組織部門とグループを特定します。
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [セキュリティ センター] [セキュリティの状況] にアクセスします。
-
2 段階認証プロセスの情報を確認するには、[セキュリティの状況] で [管理者の 2 段階認証プロセス] または [ユーザーの 2 段階認証プロセス] を選択します。
手順 5: 2 段階認証プロセスを適用する(省略可)
開始する前に: ユーザーが 2 段階認証プロセスに登録されていることを確認してください。
重要: 2 段階認証プロセスが適用されている場合、2 段階認証プロセスの登録が完了していなくても、セキュリティ キーや電話番号などの 2 要素認証(2FA)情報がアカウントに追加されているユーザーは、この情報を使用してログインできます。2 段階認証プロセスが適用されている組織部門に属する未登録ユーザーのログインが表示される場合、これは 2 段階認証プロセスによるログインを示しています。 詳しくは、2 段階認証プロセスの登録未完了の状態をご覧ください。
始める前に: 必要に応じて、部門やグループに設定を適用する方法をご確認ください。
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [認証] [2 段階認証プロセス] にアクセスします。
- [ユーザーが 2 段階認証プロセスを有効にできるようにする] をクリックします。
- [適用] で、次のいずれかを選択します。
- [有効] - 直ちに適用が開始されます。
- [指定した日付から適用を有効にする] - 開始日を選択します。ユーザーがログインするときに、2 段階認証プロセスへの登録を求めるメッセージが表示されるようになります。
注: [開始日] オプションを使用している場合、選択した日付から 24~48 時間以内に適用が開始されます。正確な適用開始時間を指定したい場合は、[オン] オプションを使用します。
- (省略可)新しい従業員のアカウントへの適用が開始される前に登録猶予期間を設けるには、[新しいユーザーの登録期間] で期間を選択します(1 日~6 か月)。
この猶予期間中は、パスワードを入力するだけでアカウントにログインできます。 - (省略可)信頼できるデバイスで 2 段階認証プロセスが繰り返し求められないようにするには、[頻度] で [信頼できるデバイスの登録を許可する] チェックボックスをオンにします。
ユーザーが新しいデバイスから初めてログインしたときにチェックボックスをオンにすると、信頼できるデバイスとして登録されます。その後、ユーザーが Cookie を削除するか、デバイスを取り消すか、管理者がユーザーのログイン Cookie をリセットするかしない限り、そのデバイスで再び 2 段階認証が求められることはありません。
ユーザーが頻繁にデバイスを切り替える場合以外は、2 段階認証プロセスで信頼できるデバイスの登録を許可することはおすすめしません。 - [方法] で、次のように適用方法を選択します。
- [制限なし] - ユーザーは任意の 2 段階認証プロセス方式を設定できます。
- [テキスト メッセージや音声通話で受け取った確認コード以外] - 2 段階認証プロセスの確認コードの受け取りにスマートフォンを使用する方法以外であれば、ユーザーは任意の 2 段階認証プロセス方式を設定できます。
重要: テキスト メッセージや通話で本人確認を行っているユーザーは、アカウントにログインできなくなります。このようなケースを回避するには、次を行います。- 適用後は 2 段階認証プロセスのコードがスマートフォンで利用できないようになるため、適用前に別の 2 段階認証プロセス方式を使用するようユーザーに伝えます。
- login_verification ログイン監査アクティビティ イベントを使用すると、テキスト メッセージまたは音声通話でコードを使用したユーザーを追跡できます。login_challenge_method パラメータの値が idv_preregistered_phone である場合、そのユーザーはテキスト メッセージまたは音声通話で受け取った確認コードを使用していることがわかります。
- [セキュリティ キーのみ] - ユーザーは必ずセキュリティ キーを設定する必要があります。
この適用方法を選択する前に、セキュリティ キーを設定済みのユーザーを探します(レポートデータは最大 48 時間前のものである可能性があります)。各ユーザーの 2 段階認証プロセスのステータスをリアルタイムで確認するには、ユーザーのセキュリティ設定を管理するをご覧ください。
重要: パスキーの追加により、[セキュリティ キーのみ] オプションで、セキュリティ キーとパスキーの両方が 2 段階認証プロセス方式でサポートされるようになりました。パスキーとセキュリティ キーは、どちらも同じレベルのフィッシング対策を備えています。詳しくは、パスワードの代わりにパスキーでログインするをご覧ください。
- [セキュリティ キーのみ] を選択した場合は、[2 段階認証プロセスのポリシーの停止猶予期間] を設定します。
この期間、ユーザーは管理者がそのユーザーに対して生成したバックアップの確認コードを使用してログインできます。これは、ユーザーがセキュリティ キーを紛失した場合に役立ちます。猶予期間を選択します。この猶予期間は、確認コードを生成した時点から開始されます。 バックアップ コードについて詳しくは、ユーザーのバックアップ確認コードを取得するをご覧ください。
重要: 2 段階認証プロセスが [セキュリティ キーのみ] モードで適用されている場合、ユーザーは自分自身のバックアップ確認コードを生成できません。管理者がユーザーにコードを提供する必要があります。 - [セキュリティ コード] で、ユーザーにセキュリティ コードでのログインを許可するかどうかを選択します。
- [ユーザーがセキュリティ コードを生成できないようにする] - ユーザーはセキュリティ コードを生成できません。
- [リモート アクセス以外で使用するセキュリティ コードの生成を許可する] - ユーザーは g.co/sc でセキュリティ コードを生成して、そのコードを同じデバイスまたはローカル ネットワーク(NAT または LAN)で使用できます。
- [リモート アクセスで使用するセキュリティ コードの生成を許可する] - ユーザーは g.co/sc でセキュリティ コードを生成し、そのコードを他のデバイスまたはネットワークで使用できます(リモート サーバーや仮想マシンにアクセスするときなど)。
セキュリティ コードは Google 認証システムなどのアプリで生成される 1 回限りのコードとは異なります。ユーザーがデバイスでセキュリティ キーをタップすると、セキュリティ コードが生成されます。セキュリティ コードの有効期間は、5 分間です。
-
[保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承](グループの場合は [設定解除])をクリックします。
ユーザーが期日までに対応しなかった場合
該当のユーザーを 2 段階認証プロセスが適用されないグループに追加することで、登録までの猶予時間を与えることができます。この回避策によりユーザーはログインできるようになりますが、標準的な対処方法としてはおすすめしません。詳しくは、2 段階認証プロセスの適用を必須にした際にアカウントがロックアウトされるのを回避するをご確認ください。