ユーザーがMFA認証を利用できない場合の対処法

ユーザーがMFA認証を利用できない場合の対処法


ハードウェアトークンの紛失・故障、スマートフォンを忘れてしまったなどの理由でMFAの認証が行えない際の対応についてご紹介します。

それぞれのケースに合わせて対処方法を確認してください。
  1. 代替手段を登録している場合
  2. リカバリーキーを保管している場合
  3. その他の場合

代替手段を登録している場合

代替手段にて認証を行ってください。

リカバリーコードを保管している場合

※MFA登録前に管理者がリカバリーコードを有効化しており、登録時に発行されていることが前提です。
リカバリーコードを使用して認証をスキップできます。

その他の場合

■ユーザー向け手順

①MFA認証画面で「ヘルプ要求(Ask for help)」をクリックして、管理者にヘルプ要求を送信します。
 
 ※ヘルプ要求(Ask for help)のボタンはデフォルトでは表示されない設定になっています。
  管理者が管理コンソールでこの機能を有効化している必要があります。
  表示されていない場合は、管理者へ直接連絡してください。

 ②管理者のアクションが完了し再度ログインを試みると、一時無効化の場合はそのまま認証をスキップでき、
  MFAキーリセットの場合はMFAの再登録ができるようになります。


■管理者向け手順

MFAを一時的に無効化する場合:
■UserLock13.0以降
①UserLockコンソールを開き、「アクティビティ」>「MFAヘルプ要求」を開きます。
②MFAヘルプ要求一覧で、ヘルプを要求しているユーザーに対し「MFAを一時的に無効化」をクリックします。

③いつまで無効にするか、期限を設定し「無効化」をクリックします。
※環境・アクティビティなどのユーザーのアクションボタンからも実行可能です。

■UserLock12.2以下
①UserLockコンソールを開き、「Multi-factor authentication」メニューを開きます。
②Dashboardタブを開き、Help requests一覧でヘルプを要求しているユーザーに対し「Temporary disable MFA」をクリックします。

※「Protected acconts」または「User sessions」のクイックアクセスパネルからも実施可能です。

③いつまで無効にするか、期限を設定し「Continue」をクリックします。

[補足]
MFAの一時無効化を行うと、「Protected accounts」に「アカウント名(temporary)」という表記でtemporary account(一時的なアカウント)が作成され、
既存の保護アカウントは一時的に無効状態になります。

Notes
期限を迎える前に無効化を解除する方法
■バージョン13.0以降の場合
「アクセスポリシー」一覧で該当のアクセスポリシーの時計マークの一時ポリシーを未設定に変更するか、
MFAのアクセスポリシー一覧から、時計マークの一時ポリシーを削除します。

また、期限を変更したい場合は、該当のアクセスポリシーを編集することで可能です。(ポリシーの編集>日付を変更)

■バージョン12.2以下の場合
「Protected accounts」一覧で該当のtemporary accountを削除してください。
また、期限を変更したい場合は、該当のtemporary accountを編集することで可能です。
※期限を迎えた後もAccount status「Expired(期限切れ)」として保護アカウントのデータは残ります。
 必要に応じて削除を行ってください。

Warning
再度オフラインでMFAを適用する場合は、社内環境にてフルサイクルのログオン/ログオフを実行する必要があります。(2025/8/25 追記)
【重要】
MFAを一時無効化した場合、「MFA認証をしたことがない」と判定されてしまいます。
そのため、MFAの一時無効化中や無効化解除直後にPCを社外へ持ち出した場合、
ログイン時の挙動は以下のとおりとなります。
  1.  「MFAを強制(Force MFA)」の場合:ログオン拒否
  2.  「MFAを要求(Ask for MFA)」の場合:MFA認証なしでログオン可能
つきましては、MFA一時無効化を解除した後(または期限切れ後)には
必ず該当のマシンを社内環境に接続し、一度明示的にMFA認証を行ってからPCを社外に持ち出してください。


MFAキーをリセットする場合:
■UserLock13.0以降
①UserLockコンソールを開き、「アクティビティ」>「MFAヘルプ要求」を開きます。
②MFAヘルプ要求一覧で、ヘルプを要求しているユーザーに対し「MFA設定をリセット」をクリックします。
※環境・アクティビティなどのユーザーのアクションボタンからも実行可能です。
③「確認」をクリックします。

■UserLock12.2以下
①UserLockコンソールを開き、「Multi-factor authentication」メニューを開きます。
②Dashboardタブを開き、Help requests一覧でヘルプを要求しているユーザーに対し「Reset the MFA key」をクリックします。

※「Protected acconts」または「User sessions」のクイックアクセスパネルからも実施可能です。

③「Continue」をクリックします。



Idea
推奨事項
何かあった場合のバックアップとして、ユーザーに代替認証の設定を強制することをお勧めします。
■UserLock13.0以降の場合
⚙(サーバー設定)>MFA>MFA手段セクション>「代替MFA手段」を「強制」にすることで可能です。
■UserLock12.2以下の場合
Multi-factor authentication>「Setting」タブ>「MFA methods」セクションの「Alternative MFA method」を「Force(強制)」にすることで可能です。