ユーザの多要素認証設定を一時的に無効化する

多要素認証が出来なくなったユーザに対して、ログイン条件を一要素(パスワードでの認証のみ)に変更する場合の例を説明します。

【注意】

この設定を行なうと、該当ユーザのセキュリティ強度が低下します。該当ユーザに対して多要素認証の無効化を行ってよいかの判断がつかない場合、この操作は行わないでください。
また、多要素認証の無効化が不要になった時点で、出来る限り速やかにログイン条件を元に戻すことを推奨します。

ユーザが多要素認証の無効化を依頼すると、以下のメールが「システムからのメール送信先」に登録されているメールアドレス宛に送信されます。多要素認証の無効化リクエストのメールが届いた際は、IIJ IDコンソールへログインした後に以下の手順で操作してください。

※ 本メールはシステムから自動送信されています。

iij-taro@example.jp

IIJ IDサービスをご利用いただきありがとうございます。

以下のユーザから多要素認証の無効化を依頼されました。
無効化する場合は、IIJ IDコンソールのログインポリシー設定ページにアクセスして
ユーザのログインポリシーを変更してください。

--------------------------------
[ID]
iij-jiro@example.jp

[氏名]
IIJ次郎

[所属]
営業部

[通知先メールアドレス]
iij-jiro@example.jp

[ログインポリシーの設定ページ]
https://www.auth.iij.jp/console/#/security/login_policies
--------------------------------

多要素認証を無効化する方法についてはこちらをご覧ください。
https://manual.auth.iij.jp/faq/disable_mfa

また必要に応じて、ユーザに多要素認証を無効化したことをご連絡ください。

※ このメールは送信専用です。返信できませんのでご注意ください。
※ このメールに心当たりがない場合、お手数ですが本サービス運用担当管理者までお問い合わせください。

IIJ IDサービスでの操作方法については「IIJ IDサービス オンラインマニュアル[管理者用]」をご覧ください。
https://manual.iij.jp/iid/admin-help/

====================================
株式会社インターネットイニシアティブ
====================================


-------------------------------------------------------------------------
* This email is sent automatically from the system.

Dear iij-taro@example.jp,

Thank you for using the IIJ ID Service.

The user below has requested to disable multi-factor authentication.
To disable, access the Login Policy page on IIJ ID Console and change the user's login policy.

--------------------------------
[ID]
iij-jiro@example.jp

[Name]
IIJ次郎

[Department]
営業部

[Notification Email Address]
iij-jiro@example.jp

[Login Policy Settings Page]
https://www.auth.iij.jp/console/#/security/login_policies
--------------------------------

Check here for information on how to disable multi-factor authentication.
https://manual.auth.iij.jp/faq/disable_mfa (Written in Japanese)

Please inform him/her as needed that multi-factor authentication has been disabled.

* This is a send only email. Please note that you cannot reply to this email.
* We apologize for the inconvenience, but contact your Operations Managers for this service in the event that you do not recognize this email.

For how to operate the IIJ ID Service, please refer to "IIJ ID Service Online Manual [For administrator]".
https://manual.iij.jp/iid/admin-help/ (Written in Japanese)

==============================
Internet Initiative Japan Inc.
==============================

【注意】

  • 無効化はグループ単位で行われます。同一グループに所属するすべてのユーザが無効化されます。
  • 無効化を行う場合は、該当のユーザのみが所属するグループを作成し、ログインポリシーに割り当てることをお勧めします。
  • 無効化は自動で解除されません。ID管理者が手動で、該当ユーザを「多要素認証の無効化」対象から割り当てを解除してください。
  • デバイスを紛失した場合等、第三者に端末を不正利用される恐れがある場合には、無効化は行なわないことをお勧めします。
  • 多要素認証に登録しているデバイスなどの端末を紛失した場合、紛失した端末から第三者に不正にログインされる可能性があります。第三者にログインされる恐れがある場合には、ユーザアカウントの無効化を行ってください。ユーザアカウントの無効化について詳しくは「ユーザの無効化」をご覧ください。

【参考】

ユーザを多要素認証無効化に設定する
  1. ログインポリシーの割り当てはグループ単位となるため、多要素認証を無効化するためのグループを作成します(既にグループを作成済みの場合は本手順はスキップします)。
    この例では、グループ名を「多要素認証無効化グループ」とします。グループの作成については「グループの追加」をご覧ください。

  2. 「グループの管理」の「メンバー設定」をクリックし、多要素認証を無効化させるユーザを追加します(既に作成したグループにメンバー追加済みの場合は本手順はスキップします)。
    グループメンバーの追加については「グループメンバーの追加」をご覧ください。

  3. IIJ IDコンソール「システム」の「セキュリティの設定」をクリックする、もしくは多要素認証の無効化リクエストのメールに記載されている「ログインポリシーの設定ページ」のURLへアクセスしてください。 


  4. 「ログインポリシー」をクリックします。


  5. 「ログインポリシーを新規に作成する」をクリックします。

    ※「多要素認証の無効化(Disable Multi-factor)」がすでに存在する場合は、手順5~手順7はスキップします。

  6. 「割り当てるグループ」に該当のユーザが含まれるグループ名(例:多要素認証の無効化(Disable Multi-factor))を入力し、ログインポリシーの情報を入力します。



  7. 「登録する」をクリックします。

  8. 「多要素認証の無効化(Disable Multi-factor)」または、「パスワード認証のみ」に設定したポリシーの優先順位が「1」になるまで優先順位を上げてください。

    ログインポリシーの優先順位の変更については「ログインポリシーの変更」をご覧ください。

  9. 必要に応じて、ユーザへ多要素認証の無効化を行なった旨を連絡してください。

    【参考】

    ユーザのログイン条件を多要素認証に戻す場合は、グループメンバーから外してください。