マルチファクター認証(MFA)

ADSelfService PlusのMFAは、バイオメトリクスやOTPなどの追加の認証レイヤーを使用して、従来のユーザー名およびパスワードに基づく認証を強化し、ユーザーの身元を確認します。MFAは、アクセスのリクエストに対して高レベルの ID保証を提供します。

ADSelfService Plusでは、以下の場合にMFAを有効化することができます。

  • セルフサービスのパスワード リセット/アカウントのロック解除
  • マシン (Windows、macOS、Linux)、VPN、OWA などのエンドポイントログイン
  • ADSelfService Plusへのログイン
  • クラウドアプリケーションへのシングルサインオン(Single sign-on)

MFAを有効する方法

  • まず、使用する認証を設定する必要があります。
  • 次に、[リセット/ロック解除の MFA]または[エンドポイント用MFA]タブに移動し、必要なイベントのMFAを有効にします。

サポートされている各認証方法とおよび各設定方法については、認証方法ページをご参照ください。

条件付きアクセスと組み合わせることで、エンドポイント用MFAをリスクの高いユーザーに対してのみ有効化することができるため、ユーザーエクスペリエンスに影響を与えることなくセキュリティを確保できます。条件付きアクセスについては、こちらをご参照ください。

条件付きアクセスは、Windows、macOS、およびLinux のログオン時にMFAに対してのみ有効にすることができます。VPNログイン用のMFAに対しては有効になりません。

特定のユーザーに必要な認証を有効にする方法

  1. [設定]タブ > [セルフサービス] > [ポリシー設定]にて任意のポリシーにある編集アイコンをクリックします。ポリシーを新規作成するにはポリシーの追加をクリックします。

    2. Available-Policies
  2. [OU/グループを選択]をクリックし、多要素認証を有効にする特定のユーザーを選択し[OK]をクリックします。
    3. ヒント親OUのみを選択するには、[下位のOUを継承しない] にチェックを入れます。

    Select-OU-GROUP
  3. 選択したユーザーに対して有効にするパスワードセルフサービス機能(パスワードのリセット、アカウントロックの解除、セルフアップデート、パスワード変更)を選択し、[保存]をクリックします。

    4. Save-Policies
  4. [設定]タブ > [セルフサービス] > [マルチファクター認証] > [オーセンティケーターのセットアップ]タブページにある[ポリシーの選択]のドロップダウンから任意のポリシーを選択します。
  5. 使用したい認証を設定します。

    6. Authenticator-Setup
  6. [保存]をクリックします。
    7. ヒント:ポリシーのセットごとに異なる認証方法を構成することを選択できます。たとえば、ポリシー1がYubiKeyを強制する場合、ポリシー2はワンタイムパスコードを強制できます。

ユーザーに特定の認証方法への登録を強制する方法

ユーザーは、有効な認証方法に従って、身元を証明できるように必要な情報を提供して自分自身を登録する必要があります。たとえば、指紋認証を有効にしている場合、ユーザーは ADSelfService Plusモバイル アプリを使用して指紋をスキャンする必要があります。その後で初めて、パスワードのリセットまたはエンドポイントのログイン時にその方法を使用できるようになります。

ユーザーに特定の認証方法への登録を強制するには

  1. [設定]タブ > [セルフサービス] > [マルチファクター認証] > [MFA登録]タブをクリックします。
  2. [エンドユーザーポータルにログインした際にユーザーの登録を強制します。]にチェックを入れます。これにより、ユーザーは登録情報を入力する前にセルフサービスポータルの他の機能にアクセスできなくなります。
  3. [登録時にこれらのオーセンティケータを強制]にチェックを入れ、必須の認証を選択します。

    4. MFA/TFA SETTINGS
  4. 登録済みユーザーのエンドユーザーポータルで[登録]タブを非表示にすることもできます。
  5. [設定保存]をクリックします。

さまざまなMFAタイプでサポートされている認証と関数は何ですか?

下記の表は、サポートされている認証、認証プロセスの機能およびセキュリティを向上させるために使用できる設定とオプションを含む、各MFA タイプに関する詳細情報を記載しています。

MFAの種類 サポートされている認証 パスワードレスのログイン バックアップリカバリーコード CAPTCHA
セルフサービス用のMFA スマートカード認証以外のADSelfService Plus でサポートされているすべての認証 使用不可 対応 対応
Windows、macOS、Linuxのログイン用MFA スマートカード認証以外のADSelfService Plus でサポートされているすべての認証 使用不可 対応 対応
OWAおよびExchange管理センターのMFA スマートカード認証以外のADSelfService Plus でサポートされているすべての認証 使用不可 対応 対応
RADIUSベースのVPN、RDPおよび他のエンドポイントMFA
  1. 一方向の認証
    • プッシュ通知
    • 指紋認証/顔認証
  2. チャレンジベースの認証
    • ADSelfService Plusのワンタイムパスワード(TOTP)認証
    • Google Authenticator
    • Microsoft Authenticator
    • Yubico OTP (ハードウェアキー)
    • Zoho OneAuth TOTP
    • カスタムTOTP Authenticator
 使用不可 対応*
(バックアップコードは、チャレンジベースの認証にのみ使用できます)		 使用不可
クラウドアプリケーション用のMFA ADSelfService Plusがサポートしているすべての認証 対応 対応 対応
ADSelfService PlusへのログインMFA ADSelfService Plusがサポートしているすべての認証 対応 対応 対応
MFAの種類 認証時間の設定 ブラウザまたはマシンで一定期間MFAをスキップする設定 未登録ユーザーのユーザーログイン・セルフサービスを制限する設定
セルフサービス用のMFA 設定可能 設定不可 ユーザーが登録解除されている場合、セルフサービス へのアクセスを拒否します。部分的に登録されたユーザーは、登録されていない認証に強制的に登録し、セルフサービスを続行することができます。
Windows、macOS、Linuxログイン用のMFA 設定可能 設定不可 未登録ユーザーのマシンログインを拒否/許可する、またはログイン試行中に登録を強制します。
OWAおよびExchange管理センターへのログイン用MFA 設定可能 設定不可 デフォルトでは、登録されていないユーザーのOWA およびExchangeログインへのアクセスは拒否されます。
RADIUSベースのVPN、RDP、その他のエンドポイントMFA 設定可能*
(ユーザーが指定時間内に認証を完了するための、セッションの時間制限が設定されています。)		 設定不可 未登録ユーザーのログインを拒否または許可します。
クラウドアプリケーション用のMFA 設定可能 設定可能 未登録ユーザーのクラウドアプリケーションログインを拒否または許可します。
ADSelfService Plusログイン用のMFA 設定可能 設定可能 未登録ユーザーのADSelfService Plusログインを拒否または許可します。

ADSelfService Plusモバイル アプリとモバイル ブラウザーポータルでサポートされている認証は何ですか?

この表では、ADSelfService Plus モバイル アプリとモバイルブラウザーポータルでMFA がサポートされている認証の詳細情報、および2つのコンソールで認証登録するための規定を示しています。

認証 モバイルブラウザポータル モバイルアプリ
ユーザーによるモバイルブラウザーポータルで認証登録する設定 ADSelfService Plusログイン用のMFAで認証をサポートする設定 セルフサービス用のMFAの認証を設定する ユーザーがモバイル アプリの認証に登録する設定 セルフサービス用のMFAで認証を設定する
セキュリティ質問と回答 設定可能 設定可能 設定可能 設定可能 設定可能
Email Verification 設定可能 設定可能 設定可能 設定可能 設定可能
SMS Verification 設定可能 設定可能 設定可能 設定可能 設定可能
Google Authenticator 設定可能 設定可能 設定可能 設定可能 設定可能
Microsoft Authenticator 設定可能 設定可能 設定可能 設定可能 設定可能
Duo Security 設定可能 設定可能 設定可能 設定可能 設定可能
Radius認証 設定不可* 設定可能 設定可能 設定不可* 設定可能
プッシュ通知 設定不可+ 設定不可+ 設定不可+ 設定可能 設定可能
QRコード認証 設定不可+ 設定不可+ 設定不可+ 設定可能 N/A
指紋認証/顔認証 設定不可+ 設定不可+ 設定不可+ 設定可能 設定可能
TOTP Authentication (ADSelfService Plusのモバイルアプリ) 設定不可+ 設定不可+ 設定不可+ 設定可能 N/A
ADセキュリティ質問 設定不可* 設定可能 設定可能 設定不可* 設定可能
Zoho OneAuth TOTP 設定不可 設定可能 設定可能 設定不可 設定不可
カスタムTOTP authenticator 設定可能 設定可能 設定可能 設定不可 設定不可
Smart Card Authentication 設定不可* 設定不可 設定不可 設定不可* 設定不可
SAML Authentication 設定不可* 設定可能 設定可能 設定不可* 設定可能
YubiKey Authenticator 設定可能 設定可能 設定可能 設定可能 設定可能
Azure AD MFA 設定不可* 設定可能 設定可能 設定不可* 設定可能
RSA SecurID 設定不可* 設定可能 設定可能 設定不可* 設定可能

* - これらの方法は初回ログイン時に自動的に登録されるため、ユーザーが登録する必要はありません。
+ - これらの認証はモバイル アプリにネイティブであり、モバイルブラウザーポータルでは使用できません。