スマートフォンまたはUserlockサーバーで「時刻同期」の問題が発生している可能性が考えられます。
一部のユーザーにのみ問題が発生している場合:
スマートフォンの時刻がインターネットの時刻と同期しているかどうか確認してください。
また、ログイン中にマシンがオフラインになった場合は、インターネット時刻と同期されているか確認してください。
すべてのユーザーで問題が発生している場合:
UserLockサーバーの時刻同期に問題がある可能性が高いです。
UserLock Powershellで下記コマンドを実行し、時刻同期を確認してください:
w32tm /stripchart /computer:us.pool.ntp.org /dataonly /samples:5
UserLockサーバーは通常ドメインコントローラーとの時刻同期を行っています。
上記コマンドで時刻のズレを確認した際は、各ドメインコントローラーの時刻同期を確認してください。
ドメインコントローラーまたはNTPサーバー上で、PowerShellで下記のコマンドを入力します:
w32tm /stripchart /computer:us.pool.ntp.org /dataonly /samples:5
時刻同期の構成を確認する場合は下記のコマンドを入力します。
w32tm /query /configuration
Windows Serverの時刻同期を修正する場合は、下記コマンドをPoweshellで実行して外部のNTPサーバーと時刻同期を行ってください。
w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time
Yubikeyを使用してマシン上でログインした時、もしくはマシンがUserLockサーバーと接続されていない時に、
Yubikeyで使用されているキーとUserLockでコードの検証に使用されているキーが相違すると非同期化が開始されます。
キーの相違がMaxHotpCodeCountで設定した値(デフォルトでは6)より多く繰り返されると、Yubikeyは非同期化されます。
UserLockサーバーとの自動同期を継続するために、UserLockサーバーに接続できる状態で定期的にオンラインでログインする必要があります。
上記が難しい場合は、UserLock Anywhereをインストールして、マシンからUserLockサーバーへの接続を容易にする必要があります。
これにより、Yubikeyがオフラインで使用される回数を減らすことができます。
または、詳細設定(UserLockコンソールでF7キーを押下)の「MaxHotpCodeCount」の値を増やすことで回避できます:
「MaxHotpCodeCount」:許容可能な非同期のHOTPコードの最大数を定義します。
これは、マシンがオフラインの状態でMFAコードを取得するためにYubikeyボタンが押されるたびに発生することを意味します。
例えば、セッションのロック/アンロックで使用される場合やセッションのアクティビティに応じて使用される場合は、1日で一部のユーザーは6回をすぐに超えることになります。
注:「MaxHotpCodeCount」を超えた場合、MFAを再登録する必要があります。
「MaxHotpCodeCount」の値を20に設定してお試しください。
しかし、この値は、ユーザーが企業ネットワークの外で作業しているときの挙動を考慮して、正確に設定する必要があります。
また、UserLock Anywhereを導入することで、長期間のリモートワークユーザーのセッション中、企業ネットワークに定期的に再接続しなくても、
UserLockエージェントとUserLockサーバー間のインターネット接続による通信を維持できるようになります。