このブログを検索

2019年4月8日

【Apps調査隊】2段階認証プロセスにおいて、 SMSまたは音声コードを無効にする設定について調査せよ。

Apps調査隊の蟹江です。

ドメイン内のG Suiteアカウントの2段階認証方法として、スマートフォンに通知されるSMSまたは音声コードをを無効にする管理者向けオプションを追加されました。

ユーザーが2要素認証にSMSと音声コードを使用するのを制限できます。

今回は、2段階認証プロセスにおいて、 SMSまたは音声コードを無効にする詳細な設定方法と注意点をご紹介致します。 はじめに、2段階認証プロセスには、
・テキスト(SMS)メッセージコード
・Google Authenticator app(Google認証システムアプリ)
・セキュリティキー
...などのハードウェアの2番目の要素 など、さまざまな形式があります。

また、2つ目の要素がアカウントのセキュリティを大幅に向上させる一方で、 最も強力なアカウント保護を望むユーザーのために、[セキュリティキー]を使用することを推奨されています。

SMSおよび音声コードに関連する潜在的な脆弱性に対する認識が高まっているため、 一部の管理者から、組織内でスマートフォンベースでの2段階認証プロセスを制御するようフィードバックがありました。

今回のリリースはまさにそれにあたるものです。
・管理者はSMSと音声確認コードを許可せずに多要素認証の使用を強制することができるポリシーを設定できます。
・この新しいポリシーにより、管理者は自分のドメインで使用されているセキュリティ方式をより細かく制御でき、ユーザーアカウントと関連データのセキュリティが強化できます。

 ーー目次ーー
-設定手順
-注意点
-まとめ
ーーーーーー

 設定手順


1)管理者は、基本設定の2段階認証をオンにします。
2)利用者は、各自で2段階認証をオンにし、2段階認証プロセスにて「音声またはテキストメッセージ」以外のプロセスを有効にします。
3)管理者は、詳細設定にて、
・実施日
・[テキストメッセージや音声通知で受け取った確認コード以外]を選択し、利用者の2段階認証プロセスを制限します。
4)3)を設定後の、利用者の端末上の挙動について


1)管理者は、基本設定の2段階認証をオンにします。
管理コンソール >セキュリティ >[ユーザーが2段階認証プロセスを有効にできるようにする]のチェックをオンにします >[保存]をクリックし、完了します。



2)利用者は、各自で2段階認証をオンにし、 2段階認証プロセスにて 「音声またはテキストメッセージ」以外のプロセスを 有効にします。

エンドユーザーは自身のアカウントにログインし、 セキュリティにアクセス、 2段階認証プロセスをクリックします。


手順に沿って2段階認証プロセスを設定します。



[有効]にするをクリックして完了します。

次に、認証アプリの設定を行います
1)アプリをダウンロード
2)QRをiPhone で読み込む
3)トークンを追加
4)認証コードを確認します
5)認証コードを、PC画面で入力し、登録します




利用者のパソコン上でのセキュリティ設定画面



3)管理者は詳細設定にて
・実施日 ・[テキストメッセージや音声通知で受け取った確認コード以外]を選択し、利用者の2段階認証プロセスを制限します。

管理コンソール > セキュリティ > 2 段階認証プロセスを適用するには、詳細設定にアクセスしてください ›› をクリックします。




実施日を設定します。
「指定した日付から適用を有効にする」もしくは「今すぐ適用を有効にする」を選択します。
 [テキストコードや音声通話で受け取った確認コード以外]を選択 > 保存をクリックし完了します。



4)3)を設定後の、利用者の端末上の挙動について 利用者がアカウントにログインしようとすると、

-*「Googleからのメッセージ」を有効にしている場合



-「Googleからのメッセージ」を無効にしている場合 認証アプリから認証コードを確認してログインします。


 *「Googleからのメッセージ」:「Google」アプリに表示されるメッセージで[はい]をクリックするだけでコードを入力しログインプロセスを簡略に行えます。

注意点

下図は2段階認証プロセスのポリシー違反の場合に表示されます。


※もし、違反のポップアップが表示されたら Google社にお問い合わせ頂くか、 一度、管理者に問合せて、2段階認証を解除する必要があります。

※利用者にて、2段階認証を設定が無効の場合、ポリシー違反で入れません。

※利用者は、事前に必ず2段階認証を有効に設定してください。

※2段階認証を有効にしていても、2段階認証プロセスが「音声またはテキストメッセージ」のみ の場合は、ポリシー違反でログインできません。「音声またはテキストメッセージ」以外のプロセスを設定してください。

まとめ

セキュリティ強化をする上で有効なアップデートですが、変更の際には利用者が設定を確実に行えるように、 管理者は、2段階認証を有効化する際に、変更までの猶予期間を設けることをお勧めします。(予定した日付で有効化できます。) 猶予期間中にエンドユーザーは、2段階認証を有効にし、認証アプリやセキュリティキーを有効にし利用できるように設定してください。 管理コンソール > セキュリティ > 2 段階認証プロセスを適用するには、詳細設定にアクセスしてください ›› をクリックし、「指定した日付から適用を有効にする」にて日時を指定できます。