ユーザの多要素認証設定を一時的に無効化する
多要素認証が出来なくなったユーザに対して、ログイン条件を一要素(パスワードでの認証のみ)に変更する場合の例を説明します。
【注意】
この設定を行なうと、該当ユーザのセキュリティ強度が低下します。該当ユーザに対して多要素認証の無効化を行ってよいかの判断がつかない場合、この操作は行わないでください。
また、多要素認証の無効化が不要になった時点で、出来る限り速やかにログイン条件を元に戻すことを推奨します。
ユーザが多要素認証の無効化を依頼すると、「システムからのメール送信先」に登録されているメールアドレス宛にメールが送信されます。送信されるメールの内容は、「ユーザが多要素認証の無効化をリクエストしました」をご覧ください。多要素認証の無効化リクエストのメールが届いた際は、IIJ IDコンソールへログインした後に以下の手順で操作してください。
【注意】
- 無効化はグループ単位で行われます。同一グループに所属するすべてのユーザが無効化されます。
- 無効化を行う場合は、該当のユーザのみが所属するグループを作成し、ログインポリシーに割り当てることをお勧めします。
- 無効化は自動で解除されません。ID管理者が手動で、該当ユーザを「多要素認証の無効化」対象から割り当てを解除してください。
- デバイスを紛失した場合等、第三者に端末を不正利用される恐れがある場合には、無効化は行なわないことをお勧めします。
- 多要素認証に登録しているデバイスなどの端末を紛失した場合、紛失した端末から第三者に不正にログインされる可能性があります。第三者にログインされる恐れがある場合には、ユーザアカウントの無効化を行ってください。ユーザアカウントの無効化について詳しくは「ユーザの無効化」をご覧ください。
【参考】
- システムから送信されるメールの内容はカスタマイズできます。詳しくは「メールのカスタマイズ」をご覧ください。
- システムから送信されるメールの送信先はカスタマイズできます。詳しくは「IIJ IDシステムからのメール送信先の変更」をご覧ください。
- ユーザが多要素認証無効化を依頼する方法について、詳しくは「IIJ IDサービス オンラインマニュアル[利用者用]」の「多要素認証の無効化を管理者に依頼する」をご覧ください。
ユーザを多要素認証無効化に設定する
- ログインポリシーの割り当てはグループ単位となるため、多要素認証を無効化するためのグループを作成します(既にグループを作成済みの場合は本手順はスキップします)。
この例では、グループ名を「多要素認証無効化グループ」とします。グループの作成については「グループの追加」をご覧ください。 - 「グループの管理」の「メンバー設定」をクリックし、多要素認証を無効化させるユーザを追加します(既に作成したグループにメンバー追加済みの場合は本手順はスキップします)。
グループメンバーの追加については「グループメンバーの追加」をご覧ください。 - IIJ IDコンソール「システム」の「セキュリティの設定」をクリックする、もしくは多要素認証の無効化リクエストのメールに記載されている「ログインポリシーの設定ページ」のURLへアクセスしてください。
- 「ログインポリシー」をクリックします。
「ログインポリシーを新規に作成する」をクリックします。
※「多要素認証の無効化(Disable Multi-factor)」がすでに存在する場合は、手順5~手順7はスキップします。
「割り当てるグループ」に該当のユーザが含まれるグループ名(例:多要素認証の無効化(Disable Multi-factor))を入力し、ログインポリシーの情報を入力します。
「登録する」をクリックします。
「多要素認証の無効化(Disable Multi-factor)」または、「パスワード認証のみ」に設定したポリシーの優先順位が「1」になるまで優先順位を上げてください。
ログインポリシーの優先順位の変更については「ログインポリシーの変更」をご覧ください。
必要に応じて、ユーザへ多要素認証の無効化を行なった旨を連絡してください。
【参考】
ユーザのログイン条件を多要素認証に戻す場合は、グループメンバーから外してください。