ハードウェアトークンの紛失・故障、スマートフォンを忘れてしまったなどの理由でMFAの認証が行えない際の対応についてご紹介します。
それぞれのケースに合わせて対処方法を確認してください。
- 代替手段を登録している場合
- リカバリーキーを保管している場合
- その他の場合
代替手段を登録している場合
代替手段にて認証を行ってください。
リカバリーコードを保管している場合
※MFA登録前に管理者がリカバリーコードを有効化しており、登録時に発行されていることが前提です。
リカバリーコードを使用して認証をスキップできます。
その他の場合
■ユーザー向け手順
①MFA認証画面で「ヘルプ要求(Ask for help)」をクリックして、管理者にヘルプ要求を送信します。
※ヘルプ要求(Ask for help)のボタンはデフォルトでは表示されない設定になっています。
管理者が管理コンソールでこの機能を有効化している必要があります。
表示されていない場合は、管理者へ直接連絡してください。
②管理者のアクションが完了し再度ログインを試みると、一時無効化の場合はそのまま認証をスキップでき、
MFAキーリセットの場合はMFAの再登録ができるようになります。
■管理者向け手順
MFAを一時的に無効化する場合:
■UserLock13.0以降
①UserLockコンソールを開き、「アクティビティ」>「MFAヘルプ要求」を開きます。
②MFAヘルプ要求一覧で、ヘルプを要求しているユーザーに対し「MFAを一時的に無効化」をクリックします。
③いつまで無効にするか、期限を設定し「無効化」をクリックします。
※環境・アクティビティなどのユーザーのアクションボタンからも実行可能です。
■UserLock12.2以下
①UserLockコンソールを開き、「Multi-factor authentication」メニューを開きます。
②Dashboardタブを開き、Help requests一覧でヘルプを要求しているユーザーに対し「Temporary disable MFA」をクリックします。
※「Protected acconts」または「User sessions」のクイックアクセスパネルからも実施可能です。
③いつまで無効にするか、期限を設定し「Continue」をクリックします。
[補足]
MFAの一時無効化を行うと、「Protected accounts」に「アカウント名(temporary)」という表記でtemporary account(一時的なアカウント)が作成され、
既存の保護アカウントは一時的に無効状態になります。
期限を迎える前に無効化を解除する方法
■バージョン13.0以降の場合
「アクセスポリシー」一覧で該当のアクセスポリシーの時計マークの一時ポリシーを未設定に変更するか、
MFAのアクセスポリシー一覧から、時計マークの一時ポリシーを削除します。

また、期限を変更したい場合は、該当のアクセスポリシーを編集することで可能です。(ポリシーの編集>日付を変更)
■バージョン12.2以下の場合
「Protected accounts」一覧で該当のtemporary accountを削除してください。
また、期限を変更したい場合は、該当のtemporary accountを編集することで可能です。
※期限を迎えた後もAccount status「Expired(期限切れ)」として保護アカウントのデータは残ります。
必要に応じて削除を行ってください。
再度オフラインでMFAを適用する場合は、社内環境にてフルサイクルのログオン/ログオフを実行する必要があります。(2025/8/25 追記)
【重要】
MFAを一時無効化した場合、「MFA認証をしたことがない」と判定されてしまいます。
そのため、MFAの一時無効化中や無効化解除直後にPCを社外へ持ち出した場合、
ログイン時の挙動は以下のとおりとなります。
- 「MFAを強制(Force MFA)」の場合:ログオン拒否
- 「MFAを要求(Ask for MFA)」の場合:MFA認証なしでログオン可能
つきましては、MFA一時無効化を解除した後(または期限切れ後)には
必ず該当のマシンを社内環境に接続し、一度明示的にMFA認証を行ってからPCを社外に持ち出してください。
MFAキーをリセットする場合:
■UserLock13.0以降
①UserLockコンソールを開き、「アクティビティ」>「MFAヘルプ要求」を開きます。
②MFAヘルプ要求一覧で、ヘルプを要求しているユーザーに対し「MFA設定をリセット」をクリックします。
※環境・アクティビティなどのユーザーのアクションボタンからも実行可能です。
③「確認」をクリックします。
■UserLock12.2以下
①UserLockコンソールを開き、「Multi-factor authentication」メニューを開きます。
②Dashboardタブを開き、Help requests一覧でヘルプを要求しているユーザーに対し「Reset the MFA key」をクリックします。
※「Protected acconts」または「User sessions」のクイックアクセスパネルからも実施可能です。
③「Continue」をクリックします。
推奨事項
何かあった場合のバックアップとして、ユーザーに代替認証の設定を強制することをお勧めします。
■UserLock13.0以降の場合
⚙(サーバー設定)>MFA>MFA手段セクション>「代替MFA手段」を「強制」にすることで可能です。
■UserLock12.2以下の場合
Multi-factor authentication>「Setting」タブ>「MFA methods」セクションの「Alternative MFA method」を「Force(強制)」にすることで可能です。