2 段階認証プロセスを導入する

2 段階認証プロセスを設定するうえで、管理者とユーザーは重要な役割を果たします。 2 段階認証プロセス方式は、ユーザー自身が選択できるようにするか、組織内の特定のユーザーまたはグループに強制的に適用できます。たとえば、少人数の営業部チームに対して、セキュリティ キーを使用するよう要求できます。

重要: Google は管理者アカウントに 2 段階認証プロセスを適用しています。詳しくは、 管理者に対する 2 段階認証プロセスの適用について をご覧ください。

手順 1: 2 段階認証プロセスの導入についてユーザーに通知する

2 段階認証プロセスを導入する前に、次のような会社の計画をユーザーに伝えます。

  • 2 段階認証プロセスの概要と、会社が 2 段階認証プロセスを使用する理由。
  • 2 段階認証プロセスが任意か必須か。
  • 必須にする場合、いつまでにユーザーが 2 段階認証プロセスを有効にする必要があるか。
  • 必須またはおすすめの 2 段階認証プロセス方式

手順 2: ユーザーが 2 段階認証プロセスを有効にできるようにする

2016 年 12 月より前に作成されたユーザー アカウントは、デフォルトで 2 段階認証プロセスが有効になっています。

ユーザーが 2 段階認証プロセスを有効にして任意の認証方式を使用できるようにします。

動画を見る

ユーザーが 2 段階認証プロセスを有効にできるようにするには

始める前に: 必要に応じて、部門またはグループに設定を適用する方法をご確認ください。

この操作を実施するには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [認証] 次に [2 段階認証プロセス]にアクセスします。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. (省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。

    グループの設定は組織部門の設定をオーバーライドします。詳細

  3. [ユーザーが 2 段階認証プロセスを有効にできるようにする] チェックボックスをオンにします。
  4. [**適用**] 次に [**オフ**] を選択します。
  5. [保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。

    後で継承値を復元するには、[継承](グループの場合は [設定解除])をクリックします。

手順 3: 2 段階認証プロセスに登録するようユーザーに伝える

  1. 2 段階認証プロセスを有効にする の手順に沿って 2 段階認証プロセスに登録するようユーザーに伝えます。
  2. 2 段階認証プロセス方式への登録手順を伝えます。

手順 4: ユーザーの登録を確認する

レポートを使用して、ユーザーの 2 段階認証プロセスへの登録状況を確認します。ユーザーの登録状況、適用状況、セキュリティ キーの数を確認します。

動画を見る

2 段階認証プロセスの登録状況を追跡する

  1. Google 管理コンソールで、メニュー アイコン 次に [**レポート**] 次に [**ユーザー レポート**] 次に [**セキュリティ**] に移動します。

    アクセスするにはレポートの管理者権限が必要です。

  2. (省略可)新しい列を追加するには、設定アイコン 次に [**新しい列を追加**] をクリックします。表に追加する列を選択して [保存] をクリックします。

詳しくは、ユーザーのセキュリティ 設定を管理するをご覧ください。

  1. 管理コンソールのホームページから、[レポート] 次に [アプリレポート] 次に [アカウント] に移動します。

2 段階認証プロセスを使用していない組織部門とグループを特定します。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**] 次に [**セキュリティ センター**] 次に [**セキュリティの状況**] にアクセスします。

    セキュリティ センターの管理者権限に加え、ユーザー組織部門の読み取りアクセスが必要です。

  2. 2 段階認証プロセスの情報を確認するには、[セキュリティの状況] で [管理者の 2 段階認証プロセス] または [ユーザーの 2 段階認証プロセス] を選択します。

手順 5: 2 段階認証プロセスを適用する(省略可)

始める前に: ユーザーが 2 段階認証プロセスに登録済みであることを確認します。

重要: 2 段階認証プロセスが適用されている場合、2 段階認証プロセスの登録が完了していなくても、セキュリティ キーや電話番号などの 2 要素認証(2FA)情報がアカウントに追加されているユーザーは、この情報を使用してログインできます。2 段階認証プロセスが適用されている組織部門に属する未登録ユーザーのログインが表示される場合、これは 2 段階認証プロセスによるログインを示しています。

始める前に: 必要に応じて、部門またはグループに設定を適用する方法をご確認ください。

この操作を実施するには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [認証] 次に [2 段階認証プロセス]にアクセスします。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. (省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。

    グループの設定は組織部門の設定をオーバーライドします。詳細

  3. [ユーザーが 2 段階認証プロセスを有効にできるようにする] をクリックします。

  4. [適用] でオプションを選択します。

    • [**有効**] - 直ちに適用が開始されます。

    • [**指定した日付から適用を有効にする**] - 開始日を選択します。ユーザーがログインするときに、2 段階認証プロセスへの登録を求めるメッセージが表示されるようになります。また、ユーザーに 2 段階認証プロセスへの登録を促す Google からのメールが届く可能性があります。

      注: [指定した日付から有効にする] オプションを使用した場合、選択した日付から 24 ~ 48 時間以内に適用が開始されます。正確な適用開始時刻を指定する場合は、[有効] オプションを使用してください。

  5. (省略可)新しい従業員のアカウントへの強制適用が開始される前に登録猶予期間を設けるには、[新しいユーザーの登録期間] で期間を選択します(1 日~ 6 か月)。

    登録期間中は、ユーザーはパスワードを入力するだけでアカウントにログインできます。

  6. (省略可)信頼できるデバイスで 2 段階認証プロセスの確認が繰り返されないようにするには、 [頻度] で [ユーザーがデバイスを信頼できるようにする] チェックボックスをオンにします。

    新しいデバイスから初めてログインする際に、ユーザーはデバイスを信頼するチェックボックスをオンにできます。その後、ユーザーが Cookie を削除するか、デバイスを取り消すか、管理者がユーザーのログイン Cookie をリセットしない限り、そのデバイスで 2 段階認証プロセスを求められることはありません。

    ユーザーがデバイスを頻繁に切り替える場合を除き、信頼できるデバイスで 2 段階認証プロセスを回避することはおすすめしません。

  7. For [Methods] で、適用方法を選択します。

    • [制限なし] - ユーザーは任意の 2 段階認証プロセス方式を設定できます。

    • [**テキスト メッセージや音声通話で受け取った確認コード以外**] - ユーザーは 2 段階認証プロセスの確認コードの受け取りにスマートフォンを使用する方法以外であれば、任意の 2 段階認証プロセス方式を設定できます。

      重要: テキスト メッセージや通話で本人確認を行っているユーザーは、アカウントに ログインできなくなります。ユーザーがアカウントにログインできなくなることを回避するには、次を行います。

      • 適用前に、適用日以降はスマートフォンで 2 段階認証プロセスのコードを使用できなくなるため、別の 2 段階認証プロセス方式を使用するようユーザーに伝えます。
      • login_verification ログイン監査アクティビティ イベントを使用すると、テキスト メッセージまたは音声通話でコードを使用したユーザーを追跡できます。login_challenge_method パラメータの値が idv_preregistered_phone である場合、そのユーザーはテキスト メッセージまたは音声通話で受け取った確認コードを使用していることがわかります。

    • [**セキュリティ キーのみ**] - ユーザーは必ずセキュリティ キーを設定する必要があります。

      この適用方法を選択する前に、セキュリティ キーを設定済みのユーザーを探します(レポートデータは最大 48 時間前のものである可能性があります)。各ユーザーのリアルタイムの 2 段階認証プロセスのステータスを確認するには、ユーザーのセキュリティ 設定を管理するに移動します。

      重要: パスキーの追加により、[セキュリティ キーのみ] オプションで、セキュリティ キーとパスキーの両方が 2 段階認証プロセス方式でサポートされるようになりました。 パスキーとセキュリティ キーは、どちらも同じレベルのフィッシング対策を備えています。詳しくは、パスワードの代わりにパスキーでログインする をご覧ください。

  8. [セキュリティ キーのみ] を選択した場合は、[2 段階認証プロセスのポリシー の停止猶予期間] を設定します。

    この期間、ユーザーは管理者がそのユーザーに対して生成したバックアップ確認コードを使用してログインできます。これは、ユーザーがセキュリティ キーを紛失した場合に役立ちます。猶予期間を選択します。この猶予期間は、確認コードを生成した時点から開始されます。バックアップ コードについて詳しくは、ユーザーのバックアップ 確認コードを取得するをご覧ください。

    重要: 2 段階認証プロセスが [セキュリティ キーのみ] モードで適用されている場合、ユーザーは自分自身のバックアップ確認コードを生成できません。管理者がこれらのコードをユーザーに提供する必要があります。

  9. [**セキュリティ コード**] で、ユーザーにセキュリティ コードでのログインを許可するかどうかを選択します。

    • [**ユーザーがセキュリティ コードを生成できないようにする**] - ユーザーは セキュリティ コードを生成できません。
    • [**リモート アクセス以外で使用するセキュリティ コードの生成を許可する**] - ユーザーは g.co/scでセキュリティ コードを生成して、そのコードを同じ デバイスまたはローカル ネットワーク(NAT または LAN)で使用できます。

    • [**リモート アクセスで使用するセキュリティ コードの生成を許可する**] - ユーザーは g.co/sc でセキュリティ コードを生成し、そのコードを他のデバイスまたは ネットワークで使用できます(リモート サーバーや仮想マシンにアクセスするときなど)。

      セキュリティ コードは Google 認証システムなどのアプリで生成される 1 回限りのコードとは異なります。ユーザーがデバイスでセキュリティ キーをタップすると、セキュリティ コードが生成されます。セキュリティ コードの有効期間は、5 分間です。

  10. [保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。

    後で継承値を復元するには、[継承](グループの場合は [設定解除])をクリックします。

ユーザーが期日までに対応しなかった場合

2 段階認証プロセスが適用されていないグループにユーザーを追加することで、登録猶予期間を設けることができます。この回避策を使用するとユーザーはログインできますが、標準的な方法としてはおすすめしません。詳しくは、2 段階認証プロセスの適用を必須にした際にアカウントがロックアウトされるのを回避する をご確認ください。

組織のアプリレポートを表示する