2 段階認証プロセスを導入する

2 段階認証プロセスを設定するうえで、管理者とユーザーは重要な役割を果たします。ユーザーは 2 段階認証プロセスの方式を選択できます。また、組織内の特定のユーザーまたはグループに対して、管理者が方式を適用することもできます。たとえば、少人数の営業部チームに対して、セキュリティ キーを使用するよう要求できます。

重要: Google は管理者アカウントに 2 段階認証プロセスを適用しています。詳しくは、管理者に対する 2 段階認証プロセスの適用についてをご覧ください。

手順 1: 2 段階認証プロセスの導入についてユーザーに通知する

2 段階認証プロセスを導入する前に、次のような会社の計画をユーザーに伝えます。

  • 2 段階認証プロセスとは何か、会社が 2 段階認証プロセスを使用する理由。
  • 2 段階認証プロセスが任意か必須か。
  • 必須の場合、ユーザーが 2 段階認証プロセスを有効にする必要がある期日。
  • 必須または推奨される 2 段階認証プロセスの方式。

手順 2: ユーザーが 2 段階認証プロセスを有効にできるようにする

2016 年 12 月より前に作成されたユーザー アカウントは、デフォルトで 2 段階認証プロセスが有効になっています。

ユーザーが 2 段階認証プロセスを有効にして、任意の確認方法を使用できるようにします。

動画を見る

ユーザーが 2 段階認証プロセスを有効にできるようにするには

開始する前に: 必要に応じて、部門またはグループに設定を適用する方法をご確認ください。

この操作を実施するには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**認証**]次に[**2 段階認証プロセス**] にアクセスします。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. (省略可)設定を一部のユーザーにのみ適用するには、左側で**組織部門** (主に部門に使用)または設定 [**グループ**](詳細)を選択します。

    グループの設定は組織部門の設定をオーバーライドします。詳細

  3. [ユーザーが 2 段階認証プロセスを有効にできるようにする] チェックボックスをオンにします。
  4. [**適用**]次に[**オフ**] を選択します。
  5. [保存] をクリックします。または、組織部門の [**オーバーライド**] をクリックします。

    後で継承した値を復元するには、[継承](グループの場合は [設定解除])をクリックします。

手順 3: 2 段階認証プロセスに登録するようユーザーに伝える

  1. 2 段階認証プロセスを有効にするの手順に沿って 2 段階認証プロセスに登録するようユーザーに伝えます。
  2. 2 段階認証プロセスに登録する方法について情報を共有します。

手順 4: ユーザーの登録を確認する

レポートを使用して、ユーザーの 2 段階認証プロセスへの登録状況を確認します。ユーザーの登録状況、適用状況、セキュリティ キーの数を確認します。

動画を見る

2 段階認証プロセスの登録状況を追跡する

  1. Google 管理コンソールで、メニュー アイコン 次に [**レポート**]次に[**ユーザー レポート**]次に[**セキュリティ**] にアクセスします。

    レポートの管理者権限が必要です。

  2. (省略可)新しい情報の列を追加するには、設定アイコン 次に[新しい列を追加] をクリックします。表に追加する列を選択して、[保存] をクリックします。

詳しくは、ユーザーのセキュリティ設定を管理するをご覧ください。

  1. 管理コンソールのホームページから、[レポート]次に[アプリレポート]次に[アカウント] に移動します。

2 段階認証プロセスを使用していない組織部門とグループを特定する

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**セキュリティ センター**]次に[**セキュリティの状況**] にアクセスします。

    セキュリティ センターの管理者権限に加え、ユーザー組織部門の読み取りアクセスが必要です。

  2. 2 段階認証プロセスの情報を確認するには、[セキュリティの状況] で [管理者の 2 段階認証プロセス] または [ユーザーの 2 段階認証プロセス] を選択します。

手順 5: 2 段階認証プロセスを適用する(省略可)

開始する前に: ユーザーが 2 段階認証プロセスに登録されていることを確認してください。

重要: 2 段階認証プロセスが適用されている場合、2 段階認証プロセスの登録が完了していなくても、セキュリティ キーや電話番号などの 2 要素認証(2FA)情報がアカウントに追加されているユーザーは、この情報を使用してログインできます。2 段階認証プロセスが適用されている組織部門に属する未登録ユーザーのログインが表示される場合、これは 2 段階認証プロセスによるログインを示しています。

開始する前に: 必要に応じて、部門またはグループに設定を適用する方法をご確認ください。

この操作を実施するには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**セキュリティ**]次に[**認証**]次に[**2 段階認証プロセス**] にアクセスします。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. (省略可)設定を一部のユーザーにのみ適用するには、左側で**組織部門** (主に部門に使用)または設定 [**グループ**](詳細)を選択します。

    グループの設定は組織部門の設定をオーバーライドします。詳細

  3. [**ユーザーが 2 段階認証プロセスを有効にできるようにする**] をクリックします。
  4. [**適用**] で、次のいずれかを選択します。
    • [**オン**] - すぐに開始されます。
    • [**指定した日付から適用を有効にする**] - 開始日を選択します。ユーザーがログインするときに、2 段階認証プロセスへの登録を求めるメッセージが表示されるようになります。また、ユーザーに 2 段階認証プロセスへの登録を促す Google からのメールが届く可能性があります。
      注: [**開始日**] オプションを使用している場合、選択した日付から 24 ~ 48 時間以内に適用が開始されます。      正確な適用開始時間を指定したい場合は、[オン] オプションを使用します。
  5. (省略可)新しい従業員のアカウントへの適用が開始される前に登録猶予期間を設けるには、[新しいユーザーの登録期間] で期間を選択します(1 日~ 6 か月)。
    この期間中、ユーザーはパスワードのみでログインできます。
  6. (省略可)信頼できるデバイスで 2 段階認証プロセスが繰り返し求められないようにするには、[頻度] で [信頼できるデバイスの登録を許可する] チェックボックスをオンにします。
    ユーザーが新しいデバイスから初めてログインしたときに、そのデバイスを信頼できるデバイスとして登録できます。その後、ユーザーが Cookie を削除するか、デバイスを取り消すか、管理者がユーザーのログイン Cookie をリセットするかしない限り、そのデバイスで再び 2 段階認証が求められることはありません。
    ユーザーが頻繁にデバイスを切り替える場合以外は、2 段階認証プロセスで信頼できるデバイスの登録を許可することはおすすめしません。
  7. [**方法**] で、次のように適用方法を選択します:
    • [すべて] - ユーザーは任意の 2 段階認証プロセス方式を設定できます。
    • [**テキスト メッセージや音声通話で受け取った確認コード以外**] - 2 段階認証プロセスの確認コードの受け取りにスマートフォンを使用する方法以外であれば、ユーザーは任意の 2 段階認証プロセス方式を設定できます。
      重要: テキスト メッセージや通話で本人確認を行っているユーザーは、アカウントにログインできなくなります。このようなケースを回避するには、次を行います。
      • 適用後は 2 段階認証プロセスのコードがスマートフォンで利用できないようになるため、適用前に別の 2 段階認証プロセス方式を使用するようユーザーに伝えます。
      • login_verification ログイン監査アクティビティ イベントを使用すると、テキスト メッセージまたは音声通話でコードを使用したユーザーを追跡できます。login_challenge_method パラメータの値が idv_preregistered_phone である場合、そのユーザーはテキスト メッセージまたは音声通話で受け取った確認コードを使用していることがわかります。
    • [**セキュリティ キーのみ**] - ユーザーはセキュリティ キーを設定する必要があります。
      この適用方法を選択する前に、セキュリティ キーを設定済みのユーザーを探します(レポートデータは最大 48 時間前のものである可能性があります)。各ユーザーの 2 段階認証プロセスのステータスをリアルタイムで確認するには、ユーザーのセキュリティ設定を管理するをご覧ください。
      重要: パスキーの追加により、[セキュリティ キーのみ] オプションで、セキュリティ キーとパスキーの両方が 2 段階認証プロセス方式でサポートされるようになりました。パスキーとセキュリティ キーは、どちらも同じレベルのフィッシング対策を備えています。詳しくは、パスワードの代わりにパスキーでログインするをご覧ください。
  8. If you select [Only security key], set the [2-Step Verification policy suspension grace period].
    この期間中、ユーザーは管理者が生成したバックアップ確認コードでログインできます。これは、ユーザーがセキュリティ キーを紛失した場合に便利です。確認コードを生成した時点から始まるこの猶予期間の長さを選択します。バックアップ コードについて詳しくは、ユーザーのバックアップ確認コードを取得するをご覧ください。
    重要: [セキュリティ キーのみ] モードで 2 段階認証プロセスが適用されている場合、ユーザーは独自のバックアップ確認コードを生成できません。管理者がこれらのコードをユーザーに提供する必要があります。
  9. [**セキュリティ コード**] で、ユーザーにセキュリティ コードでのログインを許可するかどうかを選択します。
    • [**ユーザーがセキュリティ コードを生成できないようにする**] - ユーザーはセキュリティ コードを生成できません。
    • [**リモート アクセス以外で使用するセキュリティ コードの生成を許可する**] - ユーザーは g.co/sc でセキュリティ コードを生成して、そのコードを同じデバイスまたはローカル ネットワーク(NAT または LAN)で使用できます。
    • [**リモート アクセスで使用するセキュリティ コードの生成を許可する**] - ユーザーは g.co/sc でセキュリティ コードを生成し、そのコードを他のデバイスまたはネットワークで使用できます(リモート サーバーや仮想マシンにアクセスするときなど)。
      セキュリティ コードは Google 認証システムなどのアプリで生成される 1 回限りのコードとは異なります。セキュリティ コードを生成するには、デバイスのセキュリティ キーをタップします。セキュリティ コードの有効期間は、5 分間です。
  10. [保存] をクリックします。または、組織部門の [**オーバーライド**] をクリックします。

    後で継承した値を復元するには、[継承](グループの場合は [設定解除])をクリックします。

ユーザーが期日までに対応しなかった場合

該当のユーザーを 2 段階認証プロセスが適用されないグループに追加することで、登録までの猶予時間を与えることができます。この回避策を使用するとユーザーはログインできますが、標準的な方法としてはおすすめしません。詳しくは、2 段階認証プロセスの適用を必須にした際にアカウントがロックアウトされるのを回避するをご確認ください。

組織のアプリレポートを表示する