MFAの高度な設定

MFAの高度な設定

MFAでは、下記のような高度な設定を行うことができます。

リカバリーコードの設定

「リカバリーコード」とは、MFAで認証コードを求められた際に、認証コードの代わりに入力してログオンできるようにするためのコードです。
スマホの認証アプリやトークン等が何等かの理由で使用できない場合などに、このリカバリーコードが役に立ちます。

【設定方法】
※バージョンによって設定方法が異なります。
■UserLock13.0以降
UserLockコンソールの⚙(サーバー設定)>MFA>リカバリーコードセクションより設定可能です。
設定項目:リカバリーコードを有効化
設定値:(有効/無効:デフォルトは無効)


■UserLock12.2以下
UserLockコンソールの「Multi-factor authentication」の「Setting」タブより設定可能です。
設定項目:Enable Recovery Codes
設定値:(Enabled/Disabled:デフォルトはDisabled)

この設定を有効(Enabled)にしてから、はじめてMFAを求められたアカウントにおいて、MFA構成時にMFAリカバリーコードが表示されます。
下記のように、ダイアログ上にリカバリーコードが表示されます。


このダイアログで「Save codes」ボタンを押すことで、該当OSアカウントの「デスクトップ」上にテキスト形式のファイルとして保存されます。
Warning
注意
・これらのコードは厳重に保管してください。
・リカバリーコードはMFAの初回構成時のみ表示されます。設定を有効化したときにすでにアカウントにMFAが構成されている場合、リカバリーコードを適用することはできません。
・各コードは1回のみ使用できます。2回使用しようとするとエラーになります。
・UserLock12.2以下ではコードは6桁です。

Info
Tips
リカバリーコードの個数は、「リカバリーコード数(Recovery code count)」という設定項目で変更できます。
(範囲:4~20個、デフォルト:10個)

MFAの代替手段設定(バージョン11以降)

MFAはトークンや認証アプリケーションなど複数の方法での認証コード生成をサポートしていますが、そのうちの1方法のみ構成するのではなく、複数の方法で構成することができます。
複数の方法でMFAを構成しておくと、仮に片方の認証方法が使えない場合でも、代替の認証方法でコードを生成してログオンすることができます。

【コンソール設定方法】
※バージョンによって設定方法が異なります。
■UserLock13.0以降
UserLockコンソールの⚙(サーバー設定)>「MFA」>MFA手段より設定可能です。



■UserLock12.2以下
UserLockコンソールの「Multi-factor authentication」の「Setting」タブより設定可能です。

設定項目:Register fallback method
設定値:(Disabled/Enabled/Force:デフォルトはEnabled)



【ユーザー設定方法】
アカウントではじめてMFA認証を求められた際、まずは「アプリケーション認証」「トークン認証」のどちらにするかを選択を求められます。

選択したほうの構成設定を終えると下記のダイアログが表示され、もう1つの方法での構成を促されます。

ここで「Add another method」ボタンを押下すると、もう一つの方法でMFAを構成することができます。
Info
Tips
「EnableMfaFallback」の値を「Enabled(有効)」に設定している場合、上記画像のように「No, I don’t want to add another authentication method.(もう一つの認証方法は設定しません)」という設定スキップ用のリンクが表示されますが、「Force(強制)」に設定されている場合はこのリンクは表示されません。Forceの場合は2通りのMFA構成が必須となります。