二要素認証(TFA) - Microsoft Authenticatorのセットアップ

Microsoft Authenticatorは、Microsoftが開発したソフトウェアベースの認証トークンです。トークンは、ユーザーが第二の認証要素として入力が必要な6桁の数字を提供します。Microsoft Authenticatorアプリをお使いのスマートフォンまたはタブレットデバイスにインストールする必要があります。30秒ごとに変わる6桁の数字を生成します。このアプリを使うと、テキストメッセージを受け取るまで数秒を待つ必要がありません。

イベントの順序

  1. ユーザーは、PAM360 Webインターフェイスへのアクセスを試行します。
  2. PAM360は、Active DirectoryまたはLDAPあるいはローカルに(第一要素)ユーザーを認証します。
  3. PAM360は、Microsoft Authenticatorから、第二要素認証情報を要求します。
  4. ユーザーは、Microsoft AuthenticatorアプリのGUIに表示される6桁の数字を入力する必要があります。
  5. PAM360は、Webインターフェイスへのユーザーアクセスを許可します。

このドキュメントでは、次のトピックについて説明します:

  1. TFAのPAM360での構成
  2. 必要なユーザーに対する TFAの強制
  3. Microsoft AuthenticatorでTFA有効時のPAM360 Webインターフェイスへの接続
  4. トラブルシューティングのヒント

1.TFAのPAM360での構成

  1. [管理者] >> [認証] >> [TFA]の順に移動します。
  2. Microsoft Authenticatorオプションを選択し、[保存]をクリックします。
    mi-soft-auth
  3. [確認]をクリックして、Microsoft Authenticatorを認証の第二要素として実行します。
    TFA - Microsoft Authenticatorのセットアップ

2.必要なユーザーに対する TFAの強制

  1. Microsoft Authenticatorを前の手順で、認証の第二要素として確認したら、新しいウインドウが開き、TFAを実行するユーザーを選択するよう求められます。
    TFA - Microsoft Authenticatorのセットアップ
  2. ここから、単一ユーザーまたは複数のユーザーに対して TFA を一括で有効または無効にできます。単一ユーザーに対して TFA を有効にするには、それぞれのユーザー名の横にある [有効にする] ボタンをクリックします。複数ユーザーの場合は、必要なユーザー名を選択し、ユーザーリスト上部の[有効化]をクリックします。同様に、ここから TFA を[無効]にすることもできます。
  3. ウインドウを閉じます。
  4. [ユーザー] >> [その他のアクション] >> [二要素認証] に移動して、後でユーザーを選択することもできます。
    TFA - Microsoft Authenticatorのセットアップ
  5. 開いたウインドウで、Microsoft Authenticator TFAを実行するユーザーを選択します。

3.Microsoft AuthenticatorでTFA有効時のPAM360 Webインターフェイスへの接続

3.1 前提条件

Microsoft Authenticatorを認証の第二要素として使用するには、初めに、お使いのスマートフォンまたはタブレットにアプリをインストールする必要があります。

3.2 PAM360 Webインターフェイスへの接続

TFAを有効にするユーザーは、2回正常に認証される必要があります。認証の第一レベルは、通常の認証、すなわち、ユーザーはPAM360のローカル認証か、AD/LDAP認証のいずれか有効になっている方で認証する必要があります。

  1. PAM360 Webインターフェイスを起動し、ユーザー名パスワード(ローカル認証またはAD/LDAP)を入力し、[ログイン]をクリックします。
  2. Microsoft AuthenticatorとPAM360アカウントとの関連づけ
  3. TFAをMicrosoft Authenticatorで有効にした後でj初めてログインする場合、PAM360のアカウントと関連づけるように求められます。Microsoft Authenticatorアプリをお使いのモバイルデバイスまたはタブレットを起動した後、[アカウントを追加]または[+]ボタンをクリックします。PAM360はMicrosoft拡張機能ではないため、追加するアカウントの種類に[その他(Google、Facebook等)]を選択します。
  4. ここで、GUIに表示されるバーコードをスキャンしてPAM360 Webサイトに表示されるQRコードをスキャンするか、コードを手動で入力することができます。
  5. コードを手動でスキャンすることを選択した場合、GUIがアカウント名とセキュリティキーを入力する用にプロンプトで要求します。
  6. アカウント名をPAM360アカウントに、形式– PAM360:account nameで入力します(例.PAM360:john@abc.com)。
  7. 英数字文字列をシークレットキーに入力し、続いて[終了]をクリックします。
  8. これで、Microsoft Authenticatorは、コードの定期生成を開始します。コードは30秒ごとに変更されます。
  9. このコードを、認証の第二要素として、PAM360ログインページにあるテキストボックスに入力することができます。

4.トラブルシューティングのヒント

前述のとおり、Microsoft Authenticatorは、PAM360アカウントと関連づけられます。モバイルデバイスを失くしたか、またはデバイスのMicrosoft Authenticatorアプリを誤って削除した場合、トークンを取得して、PAM360にログインできます。そのような場合は、PAM360ログイン画面の[Microsoft Authenticatorで問題がありますか?]をクリックするだけです。また、PAM360ユーザー名とPAM360と関連づけられたメールアドレスの入力を求められます。完了すると、Microsoft Authenticatorを再取得する方法が届きます。

高可用性を構成した場合:

TFAを有効化する、またはTFAタイプ(PhoneFactor、RSA SecurID、ワンタイムパスワード、RADIUS、またはDuo)および高可用性を構成した場合、PAM360セカンダリサーバーを一度再起動する必要があります。