MFA(二要素認証)
MFAで保護できる接続種別を教えてください
UserLock MFAでは下記種類の接続を保護することができます。 ワークステーションおよびサーバーでのローカルおよびRDPセッション リモートデスクトップゲートウェイ RADIUSチャレンジまたはMicrosoft Routing and Remote Access Service(RRAS)で管理されるVPNセッション IISセッション SaaSセッション* UACセッション(ユーザーアカウント制御) ※要件はこちらのシステム要件および各種ガイドをご確認ください。 ...
MFAコードを入力しても無効と表示されます
認証アプリを利用しているか、ハードウェアトークンを利用しているかで確認・対応方法が異なります。 ■スマートフォンの認証アプリを利用している場合 スマートフォンまたはUserlockサーバーで「時刻同期」の問題が発生している可能性が考えられます。 一部のユーザーにのみ問題が発生している場合: スマートフォンの時刻がインターネットの時刻と同期しているかどうか確認してください。 また、ログイン中にマシンがオフラインになった場合は、インターネット時刻と同期されているか確認してください。 ...
MFAキーのリセット方法
UserLockコンソールでMFAキーをリセットするには、下記のいくつかの方法がございます。 また、バージョンによって操作方法が異なります UserLock13.0 1.UserLockコンソールで環境>ユーザー>すべてのユーザーを開きます。 2.対象のユーザーを選択し、アクションメニューから「MFA設定をリセット」を押しMFAのリセットを行います。 ※その他ユーザーに関するリストやユーザーの詳細ページ、ヘルプ要求リストからも当該アクションの実行が可能です。 UserLock12.2以下 ...
ユーザーがMFA認証を利用できない場合の対処法
ハードウェアトークンの紛失・故障、スマートフォンを忘れてしまったなどの理由でMFAの認証が行えない際の対応についてご紹介します。 それぞれのケースに合わせて対処方法を確認してください。 代替手段を登録している場合 リカバリーキーを保管している場合 その他の場合 代替手段を登録している場合 代替手段にて認証を行ってください。 リカバリーコードを保管している場合 ※MFA登録前に管理者がリカバリーコードを有効化しており、登録時に発行されていることが前提です。 ...
MFAに対応する認証アプリケーション一覧
MFAの初期登録時にユーザーが QR コードをスキャン (または手動で MFA キーを入力)して登録できる認証アプリケーションは、TOTP 認証に対応している必要があります。 また、セキュリティ強化のため、スマートフォンロック解除時でもロックがかかるアプリのご利用をおすすめします。(例:LastPass Authenticator、Microsoft Authenticator) 一般的に使用される認証アプリケーション一覧: Microsoft Authenticator LastPass ...
ローカルネットワーク外のユーザに対してMFAを適用できますか
可能です。マシンがローカルネットワークに接続されていない場合でも、ドメインマシンにログオンするユーザーに対してMFAを要求することができます。 ただし、ユーザーがすでに該当のマシンでのMFAの登録が済んでおり、一度でも認証されたことがあることが前提です。ローカルネットワークに接続されていない状態でMFAの登録を行うことはできませんのでご注意ください。 よくあるご質問の「保護対象のマシンがUserLock と通信できないときはどうなりますか」も合わせてご確認ください。
UserLockではどのようなMFAの認証方法をサポートしていますか
UserLockのMFA(二要素認証)では下記の認証方法をサポートしています。 プッシュ通知 UserLock Push TOTP認証(Time-Based One-Time Password) ■ご利用可能なアプリケーション UserLock Push Google Authenticator Microsoft Authenticator LastPass Authenticator 2FA Authenticator Duo Authy ■その他プログラム可能なトークン(例:Token2) ...
MFAの紐づけを複数のスマートフォン(認証アプリ)で行えるか
技術的には可能となります。 ユーザーがMFAに登録する際、UserLockによりQRコードと手動キーの両方が生成されますので、 QRコードの写真を撮るか手動キーを書き留めておき、複数のスマートフォンで登録を行ってください。 そうすると、同じアカウントが各端末のアプリケーションに追加され、同じコードが生成されるようになります。 ※TOTP方式にのみ有効な手段です。 ※プッシュ通知、HOTP方式ではご利用いただけません。 注意:侵害があった場合に備えて、ユーザーのログイン元や資格情報を特定できるよう ...
MFAの設定で「Workstation Connections」と「Server connections」どちらの設定をする必要がありますか(UserLock12.0以下)
UserLock12.0以下のMFAの設定では「Workstation connections」「Server connections」の設定に分かれています。 以下の表はMFAを有効化するにはどちらの設定が必要かをまとめたものとなります。 OS セッション名 「Workstation Connections」の設定が必要 「Server connections」の設定が必要 Windows 10などのワークステーションOS Workstation/Interactive 〇 Windows ...
SaaSセッション(SSO)のみMFAを無効化することはできますか
■UserLock12.2以降 可能です。「SaaS」セッションに対し、無効化してください。 ■UserLock12.1以下 MFA機能をSaaSセッション(SSO)に限定して無効化することはできません MFA機能は以下のオペレーティングシステムタイプ、接続タイプ別に設定することができます。 オペレーティングシステムタイプ: Workstation connectionsまたは Server connections (SaaSセッションは Server connectionsとして認識します) ...
MFA設定の「リモート(Remote)」と「外部から(From outside)」の意味
「リモート(Remote)」とは、ネットワークの内部または外部から発信される任意のリモートセッション(RDP、VPN、IIS、SaaS)を意味します。 「外部から(From outside)」とは、ネットワークの外部から発信される任意のリモートセッション(RDP、VPN、IIS、SaaS)を意味します。 デフォルトでは、「外部から(From outside)」は、ソースマシンが次のIP範囲に無い場合の接続です。 10.0.0.0 - 10.255.255.255 172.16.0.0 - ...
MFAの高度な設定
MFAでは、下記のような高度な設定を行うことができます。 リカバリーコードの設定 「リカバリーコード」とは、MFAで認証コードを求められた際に、認証コードの代わりに入力してログオンできるようにするためのコードです。 スマホの認証アプリやトークン等が何等かの理由で使用できない場合などに、このリカバリーコードが役に立ちます。 【設定方法】 ※バージョンによって設定方法が異なります。 ■UserLock13.0以降 ...