未設定(Not configured)と無効(Disabled)の違い
アカウント保護時の設定値の選択肢には「未設定(Not configured)」「有効(Enabled)」「無効(Disabled)」の3種類がある場合が多いです。
このうち「有効(Enabled)」は設定を有効化するものですが、「未設定(Not configured)」と「無効(Disabled)」の指定には何か違いがあるのかという質問が度々発生します。
この2つには明確に差異があります。
「未設定(Not configured)」は、その項目の制限自体をかけていない状態を示します。
「無効(Disabled)」は、その項目に制限をかけているが、OFFである状態を示します。
この設定差異が影響するケースを下記の例で示します:
準備
個人ユーザー:「John」
グループ:「Tech-team」(メンバーにJohnを含む)
のアクセスポリシー(Protected account)を用意
個人ユーザー:「John」
グループ:「Tech-team」(メンバーにJohnを含む)
のアクセスポリシー(Protected account)を用意
パターン①
「John」のMFA設定を「未設定(Not configured)」
「Tech-team」のMFA設定を「有効(Enabled)」
に設定し、クライアントマシンにJohnでログオン
→MFAが発動する。[解説]
この場合、個人アカウントにはMFAは設定されておらず、グループアカウントのMFAのみが設定されているとみなされるため、MFAの設定に競合はないと判断されている。→結果、グループアカウントのMFA設定である「有効(Enabled)」が適用される。パターン②「John」のMFA設定を「未設定(Not configured)」
「Tech-team」のMFA設定を「有効(Enabled)」に設定し、クライアントマシンにJohnでログオン→MFAは発動しない。
[解説]
この場合、個人アカウントとグループアカウントのMFAの設定は競合しているとみなされる。
個人アカウントの方がグループアカウントより優先度が高いため、個人アカウントのMFA設定である「無効(Disabled)」が優先される。
競合した保護項目同士の優先順位については、こちらの記事をご覧ください。
Related Articles
アクセスポリシー(旧:保護アカウント)に設定した制限やルールが競合した場合の優先順位
UserLockの制限やルールは、Active Directoryの「ユーザー」「グループ」「Organizational Unit」のアカウント単位で設定します。 たとえば、Aliceというユーザーがいて、Aliceが「Dev1」「Team1」という2つのグループに所属していたとします。 ここで、下記のようなことが起こった場合のことを考えていきます。 ...UserLockのEOSL(サポート期間)について
UserLockは、現在リリースされている最新バージョン(*)の1つ前のメジャーバージョンまでがサポート対象となります。 メジャーバージョンとマイナーバージョン UserLockのバージョン表記は、下記のようにピリオドで4つに区切られた数字で構成されます。 例)13.0.0.129 上記の場合、13.0の部分がメジャーバージョン、0.129の部分がマイナーバージョンを示しています。 たとえば、リリースされているバージョンが、古いものから ...ユーザーがMFA認証を利用できない場合の対処法
ハードウェアトークンの紛失・故障、スマートフォンを忘れてしまったなどの理由でMFAの認証が行えない際の対応についてご紹介します。 それぞれのケースに合わせて対処方法を確認してください。 代替手段を登録している場合 リカバリーキーを保管している場合 その他の場合 代替手段を登録している場合 代替手段にて認証を行ってください。 リカバリーコードを保管している場合 ※MFA登録前に管理者がリカバリーコードを有効化しており、登録時に発行されていることが前提です。 ...MFAの高度な設定
MFAでは、下記のような高度な設定を行うことができます。 リカバリーコードの設定 「リカバリーコード」とは、MFAで認証コードを求められた際に、認証コードの代わりに入力してログオンできるようにするためのコードです。 スマホの認証アプリやトークン等が何等かの理由で使用できない場合などに、このリカバリーコードが役に立ちます。 【設定方法】 ※バージョンによって設定方法が異なります。 ■UserLock13.0以降 ...