2段階認証とは
「2段階認証」という言葉を聞いたことはありませんか?
通常、SNSや通販サイトなどで個人のアカウントページにログインする際、IDやパスワードを入力することでログインを行います。
2段階認証とは、このIDやパスワードのほかに、別の認証方法(指紋認証や顔認証、SMS認証※1 など)が加えられたログイン方式です。
2段階認証を設定した場合、ID+パスワード+2段階認証の全てをクリアしないとログインすることが出来ないため、たとえ悪意ある人間にIDやパスワードが流出してしまったとしても、2段階認証により不正なログインを防止する効果があるといえます。
今回のコラムでは、Google Workspace環境下での2段階認証の導入までのフローをご紹介していきます。
※1
SMS認証:携帯電話番号宛に送られてくる1回限りのパスワード(ワンタイムパスワード)を入力する方法
Google Workspace環境で2段階認証を導入するまで
Google Workspace環境下で2段階認証を導入するには、主に以下の流れで行います。
1) 管理者が2段階認証の利用を許可する
2) 2段階認証の設定をユーザーに案内する
3) 各ユーザーが2段階認証の登録をする
4) ユーザーの2段階認証の登録状況を確認する
5) 2段階認証の利用を強制する(省略可)
https://support.google.com/a/answer/9176657
それでは、各手順について、実際の画面を交えながら見ていきましょう。
1)管理者が2段階認証の利用を許可する
Google Workspace管理下のユーザーが、自身のGoogleアカウントに対して2段階認証を設定するには、まず管理者が2段階認証の利用を許可してあげなければなりません。
2段階認証の利用許可の設定は、Google管理コンソール上から行えます。
◆操作方法◆
1.管理者アカウントで管理コンソールにログインし
左側メニューから[セキュリティ]⇒[認証]⇒[2段階認証プロセス]を開きます。
2.2段階認証プロセスの設定画面が表示されます。
設定をする組織を左側から選択し、 [ユーザーが 2 段階認証プロセスを有効にできるようにする]を有効にします。
3.以上で2段階認証の利用を許可する設定は完了です。
ユーザーのGoogleアカウント(https://myaccount.google.com/)のページに、[2段階認証プロセス]が表示されるようになります。
2)2段階認証の設定をユーザーに案内する
Google管理コンソールで2段階認証の許可設定をした後は、ユーザーに2段階認証の登録をするようにメール等で案内を出しましょう。
参考)2 段階認証プロセスを有効にするhttps://support.google.com/accounts/answer/185839 参考)2段階認証の各認証方式について
・セキュリティ キー
https://support.google.com/accounts/answer/6103523
・Google からのメッセージ
https://support.google.com/accounts/answer/7026266
・Google 認証システムアプリ
https://support.google.com/accounts/answer/1066447
・バックアップ コード
https://support.google.com/accounts/answer/1187538
・テキスト メッセージまたは電話
https://support.google.com/accounts/answer/185839
3)各ユーザーが2段階認証の登録をする
Google管理コンソールで2段階認証の利用が許可されると、ユーザーは自分のアカウントに対して2段階認証の登録ができるようになります。
◆操作方法◆
※以下は、2段階認証にSMS認証を用いたログインを想定した手順になります。
1.Googleアカウント(https://myaccount.google.com/)のページにアクセスし、[セキュリティ] ⇒ [2段階認証プロセス]をクリックします。
2.[使ってみる]をクリックします。
3.現在ログインしているGoogleアカウントのパスワードを入力します。
4.[電話番号の設定]画面にて、確認コードを受信する携帯電話番号を入力し、コードの確認方法に[テキスト メッセージ]を選択します。
※[電話番号の設定]画面になっていない場合は、[他のオプションを表示]から[テキストメッセージまたは音声通話]に変更します。
5.手順4で入力した電話番号宛にSMSが送信されます。
SMSに記載の確認コードを入力し、次へ進めます。
6.[有効にする]をクリックします。
7.以上で2段階認証の登録は完了です。
ログイン時にIDやパスワードの他、確認コードの入力が必要になります。
※Chromebook環境では2段階認証が発生しないことがあります。詳細は本コラムのFAQ[質問1]を参照ください。
4)ユーザーの2段階認証の登録状況を確認する
管理者は、管理下のユーザーが2段階認証の登録をしているかどうかを、Google管理コンソールから確認することが可能です。
◆操作方法◆
1.管理者アカウントで管理コンソールにログインし
左側メニューから[セキュリティ]⇒[認証]⇒[2段階認証プロセス]を開きます。
2.2段階認証の利用強制設定をする組織を左側から選択し、
[ユーザーが 2 段階認証プロセスを有効にできるようにする]が有効なことを確認します。
3.[適用]を[今すぐ強制]か[指定日以降に強制]に設定します。
[指定日以降に強制]とした場合は、日付も指定します。
4.以上で設定は2段階認証の強制設定は完了です。
[指定日以降に強制]とした場合、2段階認証が未登録のユーザーでGoogleアカウントにログインすると、以下のような2段階認証の登録を促す画面が表示されます。
※現時点で、Chromebookでは以下のような登録を促す画面が表示されません。詳細は本コラムのFAQ[質問2]を参照ください。
ユーザーが2段階認証の登録しないうちに、2段階認証の利用が強制されると、以下のようにGoogleアカウントにログインができなくなります。
※Chromebook環境では2段階認証未登録でもログインが可能な場合があります。詳細は本コラムのFAQ[質問1]を参照ください。
※2段階認証未登録によりログインできないユーザーが発生した場合は、例外グループ機能を利用することにより対処可能です。詳細は本コラムのFAQ[質問3]を参照ください。
FAQ
[質問1]
Chromebookで2段階認証せずともログインできてしまいました。
[回答1]
Googleの2段階認証は、Googleアカウントでオンラインログインする際に行われます。
Chromebookの場合、端末への初回ログイン時はオンライン認証となりますが、2回目以降は端末にユーザープロファイルが存在していることから、オフライン認証でログインします。そのため、2段階認証無しでChromebookにログインできてしまうことがあります。
これはすなわち、ユーザーがChromebookに初回ログインした後に、Google管理コンソールで2段階認証の強制をしても、Chromebookからユーザープロファイルが削除されない限りは2段階認証未登録のままログインが出来てしまうということです。Chromebook環境で2段階認証を導入する際は、この点にご注意ください。
なお、設定により毎回オンライン認証にさせることも可能です。
※[デバイスの設定]⇒[ログイン画面]を「ユーザー名と写真を表示しない」に変更
https://support.google.com/chrome/a/answer/1375678
[質問2]
Google管理コンソールで2段階認証を[指定日以降に強制]に設定し、2段階認証未登録のユーザーでChromebookにログインしても、2段階認証の登録を促す画面が表示されません。
[回答2]
Chromebookの仕様になります。
Windows PCなどで2段階認証未登録のユーザーがGoogleアカウントにログインした場合、以下のような画面が表示されますが、Chromebookでは2段階認証の登録を促す画面は表示されません。
[質問3]
例として、以下の教員用組織に対して、2段階認証の利用を強制するようにGoogle管理コンソールで設定した場合、ユーザーBのみ2段階認証の利用を強制しないといった異なる設定を適用させることは出来ますか。
[回答3]
例外グループ機能を使用することで対応可能です。
1.Google Workspaceで2段階認証例外設定用のグループを作成します。
2.作成したグループに異なる設定を適用させたいユーザーを所属させます。
※グループの作成等については、下記のGoogleヘルプページを参照ください。
https://support.google.com/a/answer/9400082?hl=ja
3.Google管理コンソールで2段階認証の設定ページを開きます。
例外グループの設定をする組織部門を選択し、手順1で作成したグループを検索して指定します。
4.グループを指定したら、右側で例外グループの2段階認証の設定をしてください。
これにより、同一組織に所属しているユーザーに対し、異なる2段階認証設定を適用させることが可能となります。
[質問4]
2段階認証の利用を強制している組織に、新しいユーザーを作成したい場合どうすればよいですか。
[質問4]
Google管理コンソールの2段階認証の設定ページにて、「新しいユーザーの登録期間」を指定してください。
この設定をすることで、2段階認証を登録していない新規ユーザーでも、IDとパスワードのみでログインが行えます。
「新しいユーザーの登録期間」で指定した期間までに、2段階認証の登録をするようにしてください。
まとめ
万が一、ID・パスワードが流出した場合に備えて、事前に2段階認証を設定することはとても重要です。
この機会に、ご利用中のGoogle Workspaceで2段階認証の設定がどうなっているのかを確認してみてはいかがでしょうか。
その他、Google Workspaceの設定でお悩みの方は、お気軽に三谷商事までご相談ください。
お問い合わせはこちら
本コラムに関するお問い合わせはこちらからよろしくお願いいたします。
Chromebook導入のポイントが分かる資料がダウンロードできます。
資料の内容
〇Chromebookとは?
〇推奨アプリケーションのご紹介
Google Workstation for Education / CEU /
Classroom 等
〇三谷商事オリジナルサービスのご紹介
・導入&保守サービス
・CEUサポート
Google Workspaceサポート
・端末障害サポート 等
上記以外も有益な情報を公開しています。
