ユーザーがMFA認証を利用できない場合の対処法
ハードウェアトークンの紛失・故障、スマートフォンを忘れてしまったなどの理由でMFAの認証が行えない際の対応についてご紹介します。
それぞれのケースに合わせて対処方法を確認してください。
- 代替手段を登録している場合
- リカバリーキーを保管している場合
- その他の場合
代替手段を登録している場合
代替手段にて認証を行ってください。
リカバリーキーを保管している場合
※MFA登録前に管理者がリカバリーキーを有効化しており、登録時に発行されていることが前提です。
リカバリーコードを使用して認証をスキップできます。
その他の場合
■ユーザー向け手順
①MFA認証画面で「Ask for help」をクリックして、管理者にヘルプ要求を送信します。
※Ask for helpのボタンはデフォルトでは表示されない設定になっています。
管理者が管理コンソールでこの機能を有効化している必要があります。
表示されていない場合は、管理者へ直接連絡してください。
②管理者のアクションが完了し再度ログインを試みると、一時無効化の場合はそのまま認証をスキップでき、
MFAキーリセットの場合はMFAの再登録ができるようになります。
■管理者向け手順
MFAを一時的に無効化する場合:
①UserLockコンソールを開き、「Multi-factor authentication」メニューを開きます。
②Dashboardタブを開き、Help requests一覧でヘルプを要求しているユーザーに対し「Temporary disable MFA」をクリックします。
※「Protected acconts」または「User sessions」のクイックアクセスパネルからも実施可能です。
③いつまで無効にするか、期限を設定し「Continue」をクリックします。
[補足]
MFAの一時無効化を行うと、「Protected accounts」に「アカウント名(temporary)」という表記でtemporary account(一時的なアカウント)が作成され、
既存の保護アカウントは一時的に無効状態になります。
期限を迎える前に無効化を解除する方法
「Protected accounts」一覧で該当のtemporary accountを削除してください。
また、期限を変更したい場合は、該当のtemporary accountを編集することで可能です。
※期限を迎えた後もAccount status「Expired(期限切れ)」として保護アカウントのデータは残ります。
必要に応じて削除を行ってください。
再度オフラインでMFAを適用する場合は、社内環境にてフルサイクルのログオン/ログオフを実行する必要があります。(2025/8/25 追記)
【重要】
MFAを一時無効化した場合、「MFA認証をしたことがない」と判定されてしまいます。
そのため、MFAの一時無効化中や無効化解除直後にPCを社外へ持ち出した場合、
ログイン時の挙動は以下のとおりとなります。
- 「Force MFA」の場合:ログオン拒否
- 「Ask for MFA」の場合:MFA認証なしでログオン可能
つきましては、MFA一時無効化を解除した後(または期限切れ後)には
必ず該当のマシンを社内環境に接続し、一度明示的にMFA認証を行ってからPCを社外に持ち出してください。
MFAキーをリセットする場合:
①UserLockコンソールを開き、「Multi-factor authentication」メニューを開きます。
②Dashboardタブを開き、Help requests一覧でヘルプを要求しているユーザーに対し「Reset the MFA key」をクリックします。
※「Protected acconts」または「User sessions」のクイックアクセスパネルからも実施可能です。
③「Continue」をクリックします。
推奨事項
何かあった場合のバックアップとして、ユーザーに代替認証の設定を強制することをお勧めします。
Multi-factor authentication>「Setting」タブ>「MFA methods」セクションの「Alternative MFA method」を「Force(強制)」にすることで可能。