2 段階認証プロセスを設定するうえで、管理者とユーザーは重要な役割を果たします。2 段階認証プロセス方式は、ユーザー自身が選択できるようにするか、組織内の特定のユーザーまたはグループに強制的に適用できます。たとえば、少人数の営業部チームに対して、セキュリティ キーを使用するよう要求できます。
重要: Google は管理者アカウントに 2 段階認証プロセスを適用しています。詳しくは、管理者に対する 2 段階認証プロセスの適用についてをご覧ください。
手順 1: 2 段階認証プロセスの導入についてユーザーに通知する
2 段階認証プロセスを導入する前に、次のような会社の計画をユーザーに伝えます。
手順 2: ユーザーが 2 段階認証プロセスを有効にできるようにする
2016 年 12 月より前に作成されたユーザー アカウントは、デフォルトで 2 段階認証プロセスが有効になっています。
ユーザーが 2 段階認証プロセスを有効にして任意の認証方式を使用できるようにします。
動画を見る
ユーザーが 2 段階認証プロセスを有効にできるようにする
始める前に: 必要に応じて、部門またはグループに設定を適用する方法をご確認ください。
この操作を行うには、特権管理者としてログインする必要があります。-
Google 管理コンソールで、メニュー アイコン
[セキュリティ]
[認証]
[2 段階認証プロセス] に移動します。この操作を行うには、特権管理者としてログインする必要があります。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。
手順を見る
グループの設定は組織部門の設定をオーバーライドします。詳細
- [ユーザーが 2 段階認証プロセスを有効にできるようにする] チェックボックスをオンにします。
- [適用] [オフ] を選択します。
-
[保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。
後で継承値を復元するには、[継承](グループの場合は [設定解除])をクリックします。
手順 3: 2 段階認証プロセスに登録するようユーザーに伝える
- 2 段階認証プロセスを有効にするの手順に沿って 2 段階認証プロセスに登録するようユーザーに伝えます。
- 2 段階認証プロセスに登録する方法について情報を共有します。
手順 4: ユーザーの登録を確認する
レポートを使用して、ユーザーの 2 段階認証プロセスへの登録状況を確認します。ユーザーの登録状況、適用状況、セキュリティ キーの数を確認します。
動画を見る
2 段階認証プロセスの登録状況を追跡する
-
Google 管理コンソールで、メニュー アイコン
[レポート]
[ユーザー レポート]
[セキュリティ] に移動します。アクセスするにはレポートの管理者権限が必要です。
- (省略可)新しい情報の列を追加するには、設定アイコン
[新しい列を追加] をクリックします。テーブルに追加する列を選択し、[保存] をクリックします。
詳しくは、ユーザーのセキュリティ設定を管理するをご覧ください。
登録の傾向を確認する
- 管理コンソールのホームページから、[レポート]
[アプリレポート]
[アカウント] に移動します。
2 段階認証プロセスを使用していない組織部門とグループを特定する
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ]
[セキュリティ センター]
[セキュリティの状況] にアクセスします。セキュリティ センターの管理者権限に加え、ユーザーと組織部門の読み取りアクセスが必要です。
- 2 段階認証プロセスの情報を確認するには、[セキュリティの状況] で [管理者の 2 段階認証プロセス] または [ユーザーの 2 段階認証プロセス] を選択します。
手順 5: 2 段階認証プロセスを適用する(省略可)
開始する前に: ユーザーが 2 段階認証プロセスに登録されていることを確認してください。
重要: 2 段階認証プロセスが適用されている場合、2 段階認証プロセスの登録が完了していなくても、セキュリティ キーや電話番号などの 2 要素認証(2FA)情報がアカウントに追加されているユーザーは、この情報を使用してログインできます。2 段階認証プロセスが適用されている組織部門に属する未登録ユーザーのログインが表示される場合、これは 2 段階認証プロセスによるログインを示しています。
始める前に: 必要に応じて、部門またはグループに設定を適用する方法をご確認ください。
この操作を行うには、特権管理者としてログインする必要があります。-
Google 管理コンソールで、メニュー アイコン
[セキュリティ]
[認証]
[2 段階認証プロセス] に移動します。この操作を行うには、特権管理者としてログインする必要があります。
-
(省略可)設定を一部のユーザーにのみ適用するには、横にある [組織部門](主に部署に使用)または [グループ](高度な設定)を選択します。
手順を見る
グループの設定は組織部門の設定をオーバーライドします。詳細
- [ユーザーが 2 段階認証プロセスを有効にできるようにする] をクリックします。
- [適用] で、次のいずれかを選択します。
(省略可)新しい従業員のアカウントへの適用が開始される前に登録猶予期間を設けるには、[新しいユーザーの登録期間] で期間を選択します(1 日~ 6 か月)。
登録期間中は、ユーザーはパスワードを入力するだけでアカウントにログインできます。
(省略可)信頼できるデバイスで 2 段階認証プロセスが繰り返し求められないようにするには、[頻度] で [信頼できるデバイスの登録を許可する] チェックボックスをオンにします。
ユーザーが新しいデバイスから初めてログインしたときにチェックボックスをオンにすると、信頼できるデバイスとして登録されます。その後、ユーザーが Cookie を削除するか、デバイスを取り消すか、管理者がユーザーのログイン Cookie をリセットするかしない限り、そのデバイスで再び 2 段階認証が求められることはありません。
信頼できるデバイスでの 2 段階認証プロセスの免除は、ユーザーが複数のデバイスから頻繁にログインする場合のみ行うようにしてください。
[方法] で、次のように適用方法を選択します。
[セキュリティ キーのみ] - ユーザーは必ずセキュリティ キーを設定する必要があります。
この適用方法を選択する前に、セキュリティ キーを設定済みのユーザーを探します(レポートデータは最大 48 時間前のものである可能性があります)。各ユーザーの 2 段階認証プロセスのステータスをリアルタイムで確認するには、ユーザーのセキュリティ設定を管理するをご覧ください。
重要: パスキーの追加により、[セキュリティ キーのみ] オプションで、セキュリティ キーとパスキーの両方が 2 段階認証プロセス方式でサポートされるようになりました。パスキーとセキュリティ キーは、どちらも同じレベルのフィッシング対策を備えています。詳しくは、パスワードの代わりにパスキーでログインするをご覧ください。
[セキュリティ キーのみ] を選択した場合は、[2 段階認証プロセスのポリシーの停止猶予期間] を設定します。
この期間、ユーザーは管理者がそのユーザーに対して生成したバックアップの確認コードを使用してログインできます。これは、ユーザーがセキュリティ キーを紛失した場合に役立ちます。猶予期間を選択します。この猶予期間は、確認コードを生成した時点から開始されます。バックアップ コードについて詳しくは、ユーザーのバックアップ確認コードを取得するをご覧ください。
重要: 2 段階認証プロセスが [セキュリティ キーのみ] モードで適用されている場合、ユーザーは自分自身のバックアップ確認コードを生成できません。管理者がユーザーにコードを提供する必要があります。
[セキュリティ コード] で、ユーザーがセキュリティ コードでログインできるかどうかを選択します。
-
[保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。
後で継承値を復元するには、[継承](グループの場合は [設定解除])をクリックします。
ユーザーが期日までに対応しなかった場合
該当のユーザーを 2 段階認証プロセスが適用されないグループに追加することで、登録までの猶予時間を与えることができます。この回避策によりユーザーはログインできるようになりますが、標準的な対処方法としてはおすすめしません。詳しくは、2 段階認証プロセスの適用を必須にした際にアカウントがロックアウトされるのを回避するをご確認ください。