ユーザーのセキュリティ設定を管理する

1. [**パスワード**] [**パスワードを再設定**] をクリックします。
2. [パスワードを自動的に生成する] オプションをオンにするか、手動入力します。

   パスワードの最小文字数は、デフォルトでは 8 文字です。必要に応じて管理者が組織のパスワード要件を変更できます。

3. （省略可）パスワードを表示するには、プレビュー をクリックします。
4. （省略可）ユーザーにパスワードの変更を要求する場合は、[**次回ログイン時にパスワードの変更を要求する**] がオン になっていることを確認します。
5. [Reset] をクリックします。
6. （省略可）別の場所（ユーザーとの Google Chat の会話の画面など）にパスワードを貼り付けるには、[クリックしてパスワードをコピー] をクリックします。
7. ユーザーにパスワードをメールで送信するか、[完了] をクリックします。

[パスキーとセキュリティ キー] セクションには、ユーザーが登録したキーに関する次の情報が表示されます。

• キーの名前（デフォルトまたはユーザー指定）
• 鍵が作成されたプラットフォームまたはデバイス
• 登録方法（ユーザーによる登録、または自動登録）
• パスワードレスのサポート（パスキーを使用してパスワードによる本人確認をスキップできるかどうか）
• キーが追加された日時と場所、および最後に使用された日時と場所

ユーザーのセキュリティ キーの追加、削除、パスキーの削除を行うことができます。

パスキー

パスキーは、パスワードに代わる簡単かつ安全なログイン手段です。パスキーを使用すると、ユーザーはスマートフォン、セキュリティ キー、パソコンの画面ロックを使用して、管理対象の Google アカウントにログインできます。管理者がユーザーのアカウントでパスワードのスキップを有効にしている場合、ユーザーはパスワードによるログイン時の本人確認をスキップし、代わりに 1 つ目の手順と 2 つ目の手順による認証が組み込まれたパスキーを使用できます。詳しくは、パスワードの代わりにパスキーでログインするをご覧ください。

ユーザーが作成したパスキーを削除する

1. [**パスキーとセキュリティ キー**] 欄をクリックして鍵情報テーブルを表示します。
2. テーブルを右端までスクロールします。
3. 削除するキーの行にカーソルを合わせて、[削除] をクリックします。
4. [**削除**] をクリックして確定します。
5. [**完了**] をクリックします。
   管理ログイベントに、パスキーを取り消すたびにエントリが追加されます。

自動作成されたパスキーを削除する

パスキーは、ユーザーが Google アカウントにログインすると Android デバイスで自動的に生成されます。1 つ削除するには:

1. ユーザーの [セキュリティ] ページの [**接続済みのアプリ**] セクションに移動します。
2. [アプリケーション] 列で、削除する [Android デバイス] を見つけます。
3. その行にカーソルを合わせ、[削除] をクリックします。
4. [**削除**] をクリックします。
5. [**完了**] をクリックします。

ユーザーが別の自動パスキーを作成できないようにするには、ユーザー パスワードを再設定し、すべてのデバイスとブラウザで Google アカウント（Google Workspace アプリケーションを含む）からログアウトさせます。

1. ユーザー パスワードを再設定する手順に沿って操作します。
2. Google アカウントからユーザーをログアウトさせるには、ユーザーのログイン Cookie をリセットする手順に沿って操作します。

パスワードを再設定せずにユーザーの Cookie をリセットした場合、ユーザーは Android デバイスにログインでき、自動作成されたパスキーが再度追加されます。

自動作成されるパスキーの作成をより細かく制御するには、基本的なデバイス管理を使用して Android デバイスの使用を制限します。詳しくは、基本的なモバイル デバイス管理を設定するをご覧ください。

セキュリティ キー

セキュリティ キーは、2 段階認証プロセスを使って Google アカウントにログインする際に使用する小型デバイスです。パソコンの USB ポートに挿入するか、NFC または Bluetooth を利用してモバイル デバイスに接続します。詳しくは、2 段階認証プロセスにセキュリティ キーを使用するをご覧ください。

セキュリティ キーを 2 段階認証プロセス専用キーとして追加する

セキュリティ キーは、管理者がユーザーに代わって追加するか、ユーザーが自分で追加することができます。この方法でセキュリティ キーを追加した場合、そのキーは 2 段階認証プロセス専用です。このキーを使用する場合は、ユーザーがパスワードでログインする必要があります。

• ユーザーに代わってキーを追加するには:
  1. [**パスキーとセキュリティ キー**] 欄をクリックして、[**セキュリティ キーを追加**] ボタンを表示します。
  2. [セキュリティ キーを追加] をクリックします。
  3. 画面上の指示に沿って操作します。
     注: お使いのパソコンにセキュリティ キーが挿入されている場合は、キーを取り外してからユーザーの新しいキーを登録してください。
  4. [**完了**] をクリックします。
• ユーザーが 2 段階認証プロセスでのみ使用できる独自のセキュリティ キーを追加できるようにするには:
  1. ユーザーに対して「パスワードをスキップ」の設定がオフになっていることを確認します。オフになっていない場合、ユーザーはセキュリティ キーをパスキーとしてのみ追加できます。手順については、ユーザーに対してパスワードのスキップ機能を有効または無効にするをご覧ください。
  2. 2 段階認証プロセスにセキュリティ キーを使用するの手順に沿って対応するようユーザーに案内します。

セキュリティ キーを削除する

セキュリティ キーを削除するのは、キーを紛失した場合のみです。キーを一時的に利用できない場合は、その際の回避策としてバックアップ セキュリティ コードを生成できます。詳しくは、ユーザーのバックアップ確認コードを取得するをご覧ください。

1. [**パスキーとセキュリティ キー**] 欄をクリックして鍵情報テーブルを表示します。
2. テーブルを右端までスクロールします。
3. 削除するキーの行にカーソルを合わせて、[削除] をクリックします。
4. [**削除**] をクリックして確定します。
5. [**完了**] をクリックします。
   管理ログイベントに、セキュリティ キーを取り消すたびにエントリが追加されます。

管理者は、ユーザーの高度な保護機能の登録ステータスを確認し、必要に応じてユーザーごとに登録を解除できます。

• ステータスが [オン] の場合、現在ユーザーが高度な保護機能に登録されていることを意味します。
• ステータスが [**オフ**] の場合、ユーザーは高度な保護機能に登録されていません。

ここで高度な保護機能の登録を無効にした場合、再登録できるのは [セキュリティ][認証][高度な保護機能プログラム] で [ユーザー登録を有効にする] 設定が有効になっているユーザーのみになります。詳しくは、ユーザーが登録できるようにするをご覧ください。

2 段階認証プロセス（2SV）を有効にできるのは、ユーザーのみです。管理者が行えるのは、ユーザーの 2 段階認証プロセスの現在の設定の確認です。また、ユーザーがロックされた場合はバックアップ コードを取得できます。

[2 段階認証プロセス] 欄では、2 段階認証プロセスがユーザーに対して有効になっているかどうか、2 段階認証プロセスが組織全体に適用されているかどうかを確認できます。

• アカウントにアクセスできないユーザーに対し、2 段階認証プロセスをオフにすることもできますが、おすすめしません。代わりに、ユーザーがログインするためのバックアップ コードを取得します。

  注: ユーザーのアカウントが停止している場合、2 段階認証プロセスをオフにすることはできません。

• 2 段階認証プロセスが組織全体に適用されている場合、ユーザーの 2 段階認証プロセスを個別にオフにするオプションは無効になります。

2 つ目の認証方法に一時的にアクセスできないユーザーは、アカウントにログインできない可能性があります。たとえば、セキュリティ キーを自宅に置いてきた場合や、携帯電話でアクセスコードを受信できない場合などです。そうしたユーザーに対しては、バックアップ確認コードを生成してログインを可能にできます。

1. ユーザーのバックアップ確認コードを表示するには、[2 段階認証プロセス] [バックアップ確認コードを取得] をクリックします。
   注: 新しい確認コードを作成すると、既存のコードは無効になります。たとえば、管理コンソールを使用してユーザーの確認コードを作成し、その確認コードを使用して新しい確認コードを生成すると、以前のコードセットは無効になります。その逆も同様です。
2. 既存のバックアップ コードのいずれか 1 つをコピーするか、新しいコードを生成します。注: 既存のバックアップ コードが盗まれたと思われる場合や、既存のバックアップ コードをすべて使い切った場合は、[新しいコードを生成] を選択します。既存のバックアップ コードは自動的に無効になります。
3. バックアップ コードを使用してログインするの手順に沿ってログインするようユーザーに伝えます。

ユーザーがセキュリティ キーによる 2 段階認証プロセスを使用する必要がある場合:

• ユーザーが自分でバックアップ確認コードを生成することはできません。これらのコードは管理者が生成し、必要に応じてユーザーに提供する必要があります。
• ユーザーのコードを生成すると、そのコードをユーザーが使用できる猶予期間が始まり、ログインにセキュリティ キーが必要になるまでの猶予期間が通知されます。

ユーザーの 2 段階認証プロセスの要件を設定する方法について詳しくは、2 段階認証プロセスを導入するをご覧ください。

販売パートナー管理者

他の管理者用にバックアップ確認コードを生成できるのは、特権管理者のみです。つまり、販売パートナーの管理者を含め、管理者が表示したり作成したりできるバックアップ確認コードは、自分のユーザー用のもののみです。他の管理者や特権管理者のバックアップ確認コードを表示、作成することはできません。管理者がユーザー、管理者、特権管理者のバックアップ確認コードを生成および表示できるようにするには、その管理者に特権管理者の権限を付与する必要があります。

ユーザーのパスワードが盗まれた可能性がある場合は、次回のログイン時にパスワードを再設定するようユーザーに要求することができます。

1. [パスワードの変更の要求] をクリック オン にします。
2. [**完了**] をクリックします。

ユーザーがパスワードを再設定すると、この設定は自動的にオフ に設定されます。

注: 組織でサードパーティの IdP を介した SSO を使用している場合、ネットワーク マスクを使用して一部のユーザーが直接 Workspace にログインできるようにしない限り、パスワードの変更を要求する設定は使用できません。ネットワーク マスクが設定されているかどうかを確認するには、[セキュリティ][サードパーティの IdP による SSO][組織の SSO プロファイル] を選択してください。

承認されていないユーザーがアカウントにアクセスしようとしている疑いがある場合、アクセスが許可される前にログイン時の本人確認を求める画面が表示されます。ユーザーは次のいずれかを行う必要があります。

• 再設定用の電話番号または再設定用のメールアドレス（組織ドメイン以外のメールアドレス）に届いた確認コードを入力する
• アカウントのオーナーのみが正解できる本人確認用の質問に答える

ユーザーの再設定用の情報を追加、編集するには:

1. [**復元情報**] をクリックします。
2. 次の項目を追加または編集します。
   • メールアドレス（組織外のもの）
   • 再設定用の電話番号

     注: 再設定用の電話番号は、各ユーザーがそれぞれ別の番号を使うよう指定します。複数のユーザーが同じ再設定用の電話番号を使用すると、セキュリティ上の理由からその番号は自動的にブロックされます。

3. [**保存**] をクリックします。

承認されていないユーザーがアカウントにアクセスしようとしている疑いがある場合、アクセスが許可される前にログイン時の本人確認を求める画面が表示されます。ユーザーは、携帯電話に送信された確認コードを入力するか、アカウントのオーナーのみが正解できる別の確認用の質問に答える必要があります。

また、Google Workspace ユーザーが機密情報に関する操作を行うと、そのユーザーに確認用の本人確認メッセージが表示されることがあります。ユーザーがリクエストされた情報を入力できない場合、機密情報に関する操作は拒否されます。

正規のユーザーが本人であることを証明できない場合は、ログインまたは本人確認を 10 分間無効にすることで、ユーザーがログインできるようになります。

ユーザーがパソコンやモバイル デバイスを紛失した場合、管理者は、ログイン Cookie をリセットすることで、そのユーザーの Google アカウントに対する不正アクセスをブロックできます。これにより、すべてのデバイスとブラウザで、Google アカウント（Google Workspace アプリケーションを含む）からユーザーがログアウトされます。

注: ユーザーを停止した場合は、この操作は不要です。ユーザーを停止すると、ユーザーのログイン Cookie がリセットされます。

サードパーティの ID プロバイダ（IdP）を使用してシングル サインオン（SSO）を設定している場合、ユーザーの SSO セッションではログイン Cookie のリセット後でも Google アカウントにアクセスできることがあります。このような場合は、SSO セッションを終了してからGoogle ログイン Cookie をリセットします。SSO の管理に関してサポートが必要な場合は、IdP のサポートチームにお問い合わせください。

ユーザーの Cookie をリセットするには:

1. [Sign-in cookies][Reset] をクリックします。
2. [**完了**] をクリックします。

現在の Gmail セッションからユーザーがログアウトされるまでに、1 時間ほどかかる場合があります。時間はアプリケーションによって異なります。

ユーザーが 2 段階認証プロセスを使用していて、確認コードを受け付けないアプリまたはデバイスにログインする必要がある場合は、アプリケーション固有のパスワードが必要になります。詳しくは、アプリ パスワードによるログインについての説明をご覧ください。

ユーザーがアプリ パスワードを作成したアプリは、[アプリケーション固有のパスワード] 欄に表示されます。注: アプリパスワードを使用していない場合、この欄は操作できません。

アプリ名をクリックすると、そのアプリのパスワードの作成日と最終使用日を確認できます。

ユーザーがデバイスを紛失したり、そのパスワードで認証されるアプリの使用を停止したりした場合は、アプリ パスワードを取り消す必要があります。

1. [アプリケーション固有のパスワード] 欄をクリックして、アプリ パスワードを使用しているアプリを表示します。
2. アプリ名にカーソルを合わせ、右側の取り消しアイコン をクリックします。
3. [**取り消し**] をクリックします。
4. [**完了**] をクリックします。

ユーザーが自分のアプリ パスワードを取り消すこともできます。

[接続済みのアプリケーション] 欄には、ユーザーの Google アカウント データにアクセスできるすべてのサードパーティ製アプリケーション（Google Workspace Marketplace アプリなど）が一覧表示されます。承認されたアクセス権の仕組みをご確認ください。

注: サードパーティ製アプリケーションがインストールされていない場合、この欄は表示されていません。

詳しくは、アプリケーション名をクリックしてください。

• [**アクセスレベル**] 列には、アプリケーションがアクセスできるユーザーデータが表示されます。ユーザーは Google データへのフルアクセス権限、または部分的なアクセス権限を付与できます。
• [**承認日**] 列には、アプリケーションにデータアクセスが許可された日時が表示されます。

アプリのデータアクセス権限を一時的に削除するには:

1. アプリ名にカーソルを合わせ、右側の削除アイコン をクリックします。
2. [**削除**] をクリックします。
3. [**完了**] をクリックします。

注: アプリのデータアクセス権限を削除しても、ユーザーが将来そのアプリを使用できなくなることはありません（ユーザーに必要な権限がある場合）。ユーザーがアプリに再度ログインすると、データアクセス権限が復元されます。アプリケーションへのユーザーアクセスを完全に制限するには、該当するアプリケーション スコープへのアクセスをブロックし、組織で承認されているアプリの許可リストを設定します。