ADSelfService Plusへの登録

ADSelfService Plusでは、ユーザー認証に登録情報が使用されます。
したがって、以下の場合には登録が必要です。

  • 管理者が多要素認証(MFA)を設定しているとしたとき、MFAを使用して、マシン、VPN、OWA、組織内利用アプリケーションへログインする場合
  • ADSelfService Plusを使用し、アカウントロック解除やパスワードリセット等のセルフサービスを実行する場合
  • オフラインMFAを使用し、ローカル/リモートでのWindowsログオンやUCAプロンプトの保護を実行する場合
メモ
管理者側で、エンドユーザーに登録を依頼するMFAを1つ以上設定します。エンドユーザー側は依頼されたMFAに応じ、必要な認証情報を登録します。

セキュリティ質問&回答を使用した登録

  1. ADSelfService Plusユーザーポータルで、 [登録]→[セキュリティ質問&回答] の順に進みます。
  2. 以下の3つのうち、いずれかの画面が開きます。
    • 必須のセキュリティ質問への回答画面 あらかじめ管理者が用意した質問に対する回答を登録します。
      • 必須の質問
    • カスタムセキュリティ質問への回答画面 ユーザー独自にセキュリティ質問を作成し、適切な回答を入力します。
      • カスタムセキュリティの質問です。
    • リストから質問を選択する画面 管理者が設定したセキュリティ質問の一覧が表示されます。認証時に使用したい質問を選択し、適切な回答を入力します。
      • カスタムセキュリティの質問
  3. [次へ]をクリックします。

メールアドレスを使用した登録

メールアドレスを使用し認証コードを取得します。

  1. ADSelfService Plusのユーザーポータルで、[登録]タブ→[メール検証]の順に移動します。
  2. メールアドレスを入力します。
  3. メール宛に送信された認証コードを入力します。
  4. [コードを検証]をクリックします。
    5. メールアドレスを使用した登録

携帯電話番号を使用した登録

携帯電話番号を使用し認証コードを取得します。

  1. ADSelfService Plusのユーザーポータルで、[登録]タブ →[SMS検証]の順に進みます。
  2. 携帯電話番号を入力します。
  3. デバイス宛に送信された認証コードを入力します。
  4. [次へ]をクリックします。
    5. 携帯電話番号を使用した登録

Google Authenticatorを使用した登録

登録の前に

Google PlayストアまたはApple App StoreからモバイルデバイスにGoogle Authenticatorアプリをダウンロードします。

登録手順
  1. ADSelfService Plusのユーザーポータルで、[登録]タブ →[Google Authenticator] の順に進みます。QRコードが表示されます。
  2. モバイルデバイスのGoogle Authenticatorアプリに移動します。[QRコードをスキャン]を選択し、表示されたQRコードをスキャンします。
    • QRコードをスキャンできなかった場合、[QRコードが読み取れませんか?]リンクをクリックします。
    • キーが表示されます。
    • Google Authenticatorアプリに移動します。[セットアップキーを入力]を選択します。ADSelfService Plusに表示されたキーをアプリに入力します。
  3. アプリでワンタイムパスコードが生成されます。ワンタイムパスコードを入力します。
  4. [コードを検証]をクリックします。
    5. Google認証システムを使用した登録

Azure AD MFAを使用した登録

Azure AD MFAを利用する場合、ユーザー自身で登録する必要はありません。管理者が設定した認証方法に基づき、すでに登録されています。登録されていない場合は、管理者にお問い合わせください。

Duo Securityを使用した登録

  1. ADSelfService Plusユーザーポータルで、[登録]タブ→ [Duo Security] の順に移動します。
  2. 製品画面上に記載の手順に従います。
  3. [次へ]をクリックします。
    4. メールアドレスを使用した登録

RSA SecurIDを使用した登録

RSA認証を使用する場合、ユーザー自身で登録する必要はありません。アカウントにマッピングされているRSAハードウェアトークンについては、管理者にお問い合わせください。

RADIUS認証を使用した登録

RADIUS認証を使用する場合、ユーザー自身で登録する必要はありません。アカウントにマッピングされているRADIUSパスワードについては、管理者にお問い合わせください。

SAML認証を使用した登録

SAML認証を使用する場合、ユーザー自身で登録する必要はありません。アカウントにマッピングされているIDプロバイダーの認証情報については、管理者にお問い合わせください。

ADセキュリティ質問を使用した登録

ADのセキュリティ質問を使用した認証を利用する場合、ユーザー自身で登録する必要はありません。表示されたADセキュリティ質問の回答が分からない場合は、管理者にお問い合わせください。

プッシュ通知認証を使用した登録

  1. ADSelfService Plusにログインし、[登録]→[プッシュ通知認証]の順にクリックします。
  2. 製品画面上に記載の手順に従います。
プッシュアラート認証を使用した登録

指紋認証を使用した登録

  1. ADSelfService Plusにログインし、 [登録]→[指紋認証]の順にクリックします。
  2. 製品画面上に記載の手順に従います。
指紋オーセンティケータを使用した登録

QRコード認証を使用した登録

  1. ADSelfService Plusにログインし、[登録]→[QRコード認証] の順にクリックします。
  2. 製品画面上に記載の手順に従います。
QRコードオーセンティケータを使用した登録

TOTP認証を使用した登録

  1. ADSelfService Plusにログインし、[登録]→[TOTP認証] の順にクリックします。
  2. 製品画面上に記載の手順に従います。
QRコードオーセンティケータを使用した登録

Microsoft Authenticatorを使用した登録

登録の前に

Google PlayストアまたはApple App StoreからモバイルデバイスにMicrosoft Authenticatorアプリをダウンロードします。

登録手順

  1. ADSelfService Plusポータルにログインします。
  2. [登録] → [Microsoft Authenticator]の順に移動します。QRコードが表示されます。
  3. Microsoft Authenticatorアプリに移動し、[QRコードをスキャン]を選択します。
  4. QRコードをスキャンします。ワンタイムパスコードがアプリで生成されます。
  5. ユーザーポータルに切り替えて、ワンタイムパスコードを入力します。
  6. [コードを検証]をクリックします。

QRコードがスキャンできない場合

カメラがQRコードを読み取れない場合、Microsoft Authenticatorアプリに手動で情報を追加できます。

  1. モバイルデバイスのMicrosoft Authenticatorアプリを開きます。
  2. [アカウントを追加]→[その他 (Google、Facebookなど)]→[またはコードを手動で入力]の順にクリックしてください。アカウント名(ADSSP等、あなたのアカウントを識別するもの)とユーザーポータルに表示された秘密鍵を入力してください。ワンタイムパスコードが生成されます。
  3. ユーザーポータルに切り替えて、ワンタイムパスコードを入力します。
  4. [コードを検証]をクリックします。

Zoho OneAuth TOTP認証を使用した登録

登録の前に

Zoho OneAuthをモバイルデバイスにインストールします。Google Play ストアまたはApple App Storeからダウンロードできます。

登録手順

  1. ADSelfService Plusのユーザーポータルで、[登録]→ [Zoho OneAuth TOTP]の順に進みます。QRコードが表示されます。
  2. モバイルデバイスでZoho OneAuthアプリを開きます。[認証サービス]に移動します。
  3. [+]をクリックして、[QRコードをスキャン]を選択します。
  4. ADSelfSerrvice Plusユーザーポータルに表示されたQRコードをスキャンします。
    • QRコード読み取りに失敗した場合、[QRコードが読み取れませんか?]リンクをクリックします。秘密鍵が表示されます。
    • Zoho OneAuthアプリ(モバイルデバイス)に移動します。[シークレットを手動で入力]を選択し、アプリに秘密鍵を入力します。
  5. ワンタイムパスコードがアプリで生成されます。ADSelfService Plusユーザーポータルでそのコードを入力します。
  6. [コードを検証]をクリックします。
QRコードオーセンティケータを使用した登録

バックアップ認証コード

バックアップ認証コードは、本人認証のために生成し使用する12文字のコードです。バックアップコードは5つでセットになっています。これらのコードは、登録したMFAを認証に使用できない、またはMFAデバイスにアクセスできない場合に使用できます。各コードは、マシン、VPN、およびADSelfService Plusログイン時、またはセルフサービスアクション実行に、1度のみ、本人認証として使用できます。

バックアップコードの生成

MFAバックアップコードセクションには、以下の場所からアクセスできます。

  • [登録]タブ
    ADSelfService Plusユーザーポータルで、[登録]に移動します。初めてバックアップコードを生成する場合、「MFA回復」フィールドで、[1回限りのバックアップ検証コードを生成する]を選択します。バックアップコードを以前生成したことがある場合は、編集アイコンを選択します。
    • QRコードオーセンティケータを使用した登録
  • プロファイルアイコン
    ADSelfService Plusユーザーポータルで登録タブが利用できない場合は、プロファイルアイコンをクリックし、表示されるプロファイルメニューから[MFA回復]を選択します。
    • QRコードオーセンティケータを使用した登録
  1. 「生成されたバックアップ検証コード」画面が表れ、5つのMFAバックアップ認証コードが表示されます。新しいコード群が必要な場合は、[新しいコードを生成する]をクリックします。新しい認証コードを生成時、以前表示されたすべてのコードは無効になります。
  2. 下記いずれかを実施します。
    • テキストとして保存 コードをテキストファイルとしてダウンロードします。
    • メールを送信 バックアップコードを特定のメールアドレスに送信します。
    • 印刷 コードのハードコピーを印刷します。
  3. [閉じる]をクリックします。
    4. QRコードオーセンティケータを使用した登録

オフラインMFA

ADSelfService Plusサーバーが利用できないときでも、オフラインMFAによってユーザーの認証とマシンへの安全なアクセスが保証されます。ADSelfService PlusはリモートまたはローカルでのWindowsログオン、および、ユーザーアカウント制御で、オフラインMFAをサポートしています。
オフラインMFAは以下の認証を利用します。

  • Google Authenticator
  • Microsoft Authenticator
  • カスタムTOTP認証
  • Zoho OneAuth TOTP

オフラインMFAに特定のマシンを登録する方法

ADSelfService Plusサーバーへの接続中にMFAを完了した場合、管理者の設定によっては、オフラインMFA認証への登録を促されます。自動的にオフラインMFA用のマシンが登録されることもあれば、オフラインMFAで利用するマシンの登録を促されることもあります。[登録して続ける]をクリックしオフラインMFAにマシンを登録後、登録したマシンへアクセスしてください。すると、オフラインMFAにマシンが登録されています。
次回以降、ADSelfService Plusサーバーにアクセスできない場合、オフラインMFAを使用して身元確認し、マシンを使い続けることができます。

オフラインMFAから登録解除する方法

特定のマシンのオフラインMFA登録を解除したい場合、以下に示す方法で、登録情報を削除できます。

  1. ADSelfService Plusユーザーポータルにログインします。
  2. [登録]タブへ移動します。[管理]をクリックします。
  3. [オフラインMFA-登録マシンを管理]をクリックします。
  4. オフラインMFA登録から削除したいマシンを選び、登録解除します。
  5. オフラインMFAから選択したマシンの登録が解除されています。登録解除したいすべてのマシンについてステップ4を繰り返してください。
メモ
登録情報は、オンライン認証時、当該マシンがADSelfService Plus サーバーに再接続された後、削除されます。