2 要素認証(2FA または MFA)を設定する

2 要素認証(2FA または MFA とも呼ばれます)は、パスワードに加えて、一時的なアクセスコードの入力をユーザーに要求することで、Diligent One インスタンスにセキュリティレイヤーを追加するものです。万一 Diligent One パスワードが漏えいしても、攻撃者はその人の 2FA Authenticator アプリ(通常はスマートフォンを必要とする)にアクセスできなければログインはできません。

権限

システム管理者のみが、2FA の実施、アカウントのロック解除、2FA の無効化を行うことができます。

機能の仕組み

システム管理者は、Diligent One インスタンスで 2FA を実施できます。実施すると、インスタンスのすべてのユーザーは、次のすべてを実行するまで、Diligent One のどのインスタンスにもアクセスできなくなります。

  • タイムベースのワンタイムパスコード(TOTP)をサポートする認証アプリをダウンロードする
  • Diligent One アカウントを Authenticator アプリにリンクして 2FA を有効化する
  • Diligent One でコードを入力する

弊社がサポートする 2FA Authenticator

Diligent One の 2FA は、タイムベースのオンタイムパスコード(TOTP)を提供できる大半の Authenticator アプリをサポートしています。以下のアプリでテストしていますが、他のアプリも動作するはずです。

  • Google Authenticator
  • Microsoft Authenticator
  • Cisco Duo Mobile
  • Okta Verify
  • Auth0 Guardian
  • LastPass Authenticator

不正なログインを試みたときに起きる事柄

ブルートフォースアタックを防ぐために、2FA が有効化されているインスタンスのユーザーは、パスワードの失敗は 5 回まで、認証コードの失敗は 3 回までに制限されています。その制限を超えた時点で、Diligent One はアカウントをロックします。システム管理者がロックを解除する必要があります。

SSO と 2FA を併用する場合

SSO 認証を免除するユーザーを選択します。詳細については、「2 要素認証(2FA または MFA)を設定する」を参照してください。

あなたのユーザーが複数のインスタンスにアクセスする場合

Diligent One インスタンスで 2FA を有効にすると、そのインスタンスのすべてのユーザーは、他社に属するインスタンスを含め、Diligent One のどのインスタンスであってもアクセスするために 2FA を使用することが必要になります。

2FA の実施

以下の手順に従って、Diligent One インスタンスのすべてのユーザーに対して 2FA を有効にします。

2FA のためのユーザー側の準備

  • たいていのユーザーはすでに 2FA を利用したことがあると思われますが、皆が利用経験があると想定しないほうがよいでしょう。これは世界的な変化であるので、変化が訪れていることと予期すべきことをユーザーにアドバイスするのがよいでしょう。
  • 極端なケースでどうすべきかを考慮してください。たとえば、モバイルデバイスを利用していない人は、既存のマシン上で Authenticator アプリを使用して認証する必要がありますか?
  • 大規模な組織で働いているのであれば、Diligent One がアカウントをロックしなければならない場合にユーザーをサポートする、追加のオーバーヘッドに備えます。

2FA の有効化

  1. プラットフォーム ホームページ (www.diligentoneplatform.com) を開きます。

    メモ

    会社が Diligent One プラットフォームで複数の組織を使用している場合は、該当する組織がアクティブであることを確認します。

  2. 左側のナビゲーションで[プラットフォーム設定]を選択します。

  3. 組織の管理]で、[セキュリティー設定]を選択します。

  4. ログイン オプション]セクションで、[2 要素認証を有効化]チェックボックスを選択し、組織内のすべてのユーザーに多要素認証を強制します。

  5. 変更を保存]を選択します。

これで、Diligent One のこのインスタンスにアクセスできるすべてのユーザーに 2FA が適用されるようになりました。次回のログイン時には、他のユーザーと同様に自分のアカウントでも 2FA を設定する必要があります。次回のログイン時までは、ログインした状態を維持できます。

インスタンスでの 2FA の無効化

Diligent One のインスタンスで 2FA の実施をオフにできます。

メモ

この場合、ユーザーの 2FA が自動的にオフになることはありません。各人が 2FA の使用を継続するか、登録を解除するかを選択できます。

  1. プラットフォーム ホームページ (www.diligentoneplatform.com) を開きます。

    メモ

    会社が Diligent One プラットフォームで複数の組織を使用している場合は、該当する組織がアクティブであることを確認します。

  2. 左側のナビゲーションで[プラットフォーム設定]を選択します。

  3. 組織の管理]で、[セキュリティー設定]を選択します。

  4. ログイン オプション]セクションで、[2 要素認証を有効にする]チェックボックスをオフにします。

  5. 変更を保存]を選択します。

ロックされたアカウントのロック解除

ユーザーが何度もログインを試みて成功しなかった場合、Diligent One はそのユーザーのアカウントをロックします。アクセスを回復するには、システム管理者がロックを解除する必要があります。

  1. プラットフォーム ホームページ (www.diligentoneplatform.com) を開きます。

    メモ

    会社が Diligent One プラットフォームで複数の組織を使用している場合は、該当する組織がアクティブであることを確認します。

  2. [プラットフォームの設定]>[ユーザー]を選択します。[ユーザー]のオプションが表示されない場合は、お客様がサインインに使用したアカウントにはシステム管理者権限がありません。
  3. ロック解除が必要なユーザーを、次のようにして検索します。
    • 検索ボックスに名前または電子メール アドレスを入力します。
    • フィルターを使用してユーザーの一覧をサブセットに制限できます。
    • 名前、状態、前回サインイン日の列を選択すると、ユーザーを並べ替えることができます。
  4. そのユーザーの名前を選択します。[ユーザー詳細]パネルが開きます。
  5. アンロック]を選択します。

これでロックされたユーザーは、Diligent One に再度ログインできるようになります。

2FA からの他者の登録解除

誰かがモバイルデバイスを紛失または変更した場合、システム管理者はその人を 2FA から登録解除することができます。2FA が実施されている場合、そのユーザーが次回ログインしようとすると、Diligent One は新しいデバイスを 2FA に登録することを求めます。2FA 実施されていない場合、そのユーザーは 2FA を使用する必要はなくなります。

  1. プラットフォーム ホームページ (www.diligentoneplatform.com) を開きます。

    メモ

    会社が Diligent One プラットフォームで複数の組織を使用している場合は、該当する組織がアクティブであることを確認します。

  2. [プラットフォームの設定]>[ユーザー]を選択します。[ユーザー]のオプションが表示されない場合は、お客様がサインインに使用したアカウントにはシステム管理者権限がありません。
  3. ロック解除が必要なユーザーを、次のようにして検索します。
    • 検索ボックスに名前または電子メール アドレスを入力します。
    • フィルターを使用してユーザーの一覧をサブセットに制限できます。
    • 名前、状態、前回サインイン日の列を選択すると、ユーザーを並べ替えることができます。
  4. そのユーザーの名前を選択します。[ユーザー詳細]パネルが開きます。
  5. 2FA の登録解除]を選択します。

これでそのユーザーは 2FA の登録が解除されました。

メモ

Authenticator アプリは、2FA が有効であるか無効であるかは認識しません。Authenticator アプリに Diligent One を表示したくない場合は、各ユーザーが自分の Authenticator アプリから削除する必要があります。

2FA からの自分の登録解除

あなた自身がモバイルデバイスを紛失または変更した場合、2FA から自分のモバイルデバイスを登録解除することができます。2FA が実施されている場合、次回ログインしようとすると、Diligent One は新しいデバイスを 2FA に登録することを求めます。

  1. プラットフォーム ホームページ (www.diligentoneplatform.com) を開きます。

    メモ

    会社が Diligent One プラットフォームで複数の組織を使用している場合は、該当する組織がアクティブであることを確認します。

  2. グローバルナビゲーションバーから[ [プロファイル]メニュー アイコン > プロファイル]を選択します。
  3. [2要素認証]で[デバイスの登録解除]を選択します。
    登録を解除すると、自動的にログアウトすることを知らせるポップアップが表示されます。
  4. 登録解除とログ アウト]を選択すると、すぐにログ アウトします。
  5. アカウントにアクセスするには、再度 Diligent One にログインし、登録プロセスを繰り返します。