MFAの高度な設定
MFAでは、下記のような高度な設定を行うことができます。
リカバリーコードの設定(バージョン11以降)
「リカバリーコード」とは、MFAで認証コードを求められた際に、認証コードの代わりに入力してログオンできるようにするためのコードです。
スマホの認証アプリやトークン等が何等かの理由で使用できない場合などに、このリカバリーコードが役に立ちます。
UserLockコンソールの「Multi-factor authentication」の「Setting」タブより設定可能です。
設定項目:Enable Recovery Codes
設定値:(Enabled/Disabled:デフォルトはDisabled)
この設定をTrue(有効)にしてから、はじめてMFAを求められたアカウントにおいて、MFA構成時にMFAリカバリーコードが表示されます。
下記のように、ダイアログ上にリカバリーコードが表示されます。
このダイアログで「Save codes」ボタンを押すことで、該当OSアカウントの「デスクトップ」上にテキスト形式のファイルとして保存されます。
注意
・これらのコードは厳重に保管してください。
・リカバリーコードはMFAの初回構成時のみ表示されます。設定を有効化したときにすでにアカウントにMFAが構成されている場合、リカバリーコードを適用することはできません。
・各コードは1回のみ使用できます。2回使用しようとするとエラーになります。
Tips
リカバリーコードの個数は、「Recovery code count」という設定項目で変更できます。
(範囲:4~20個、デフォルト:10個)
MFAの代替手段設定(バージョン11以降)
MFAはトークンや認証アプリケーションなど複数の方法での認証コード生成をサポートしていますが、そのうちの1方法のみ構成するのではなく、複数の方法で構成することができます。
複数の方法でMFAを構成しておくと、仮に片方の認証方法が使えない場合でも、代替の認証方法でコードを生成してログオンすることができます。
UserLockコンソールの「Multi-factor authentication」の「Setting」タブより設定可能です。
設定項目:Register fallback method
設定値:(Disabled/Enabled/Force:デフォルトはEnabled)
アカウントではじめてMFA認証を求められた際、まずは「アプリケーション認証」「トークン認証」のどちらにするかを選択を求められます。
選択したほうの構成設定を終えると下記のダイアログが表示され、もう1つの方法での構成を促されます。
ここで「Add another method」ボタンを押下すると、もう一つの方法でMFAを構成することができます。
Tips
「EnableMfaFallback」の値を「Enabled(有効)」に設定している場合、上記画像のように「No, I don’t want to add another authentication method.(もう一つの認証方法は設定しません)」という設定スキップ用のリンクが表示されますが、「Force(強制)」に設定されている場合はこのリンクは表示されません。Forceの場合は2通りのMFA構成が必須となります。