MFA登録ユーザーレポート

ADSelfService Plusで多要素認証(MFA)に登録すると、ユーザーは自身のアカウントやエンドポイント(Windows、macOS、Linuxマシン、RDP、VPNなど)へのセキュアなログインや、SSOを使用したカスタムエンタープライズアプリケーションへのサインイン、セルフサービスでのパスワードリセットやアカウントロック解除が可能となります。管理者は、組織全体の登録状況を改善するために適切な対策を講じる必要があります。そのため、MFAに登録されているユーザーの一覧を保持し、ユーザーがどの認証システムに登録しているかを把握することが重要です。

MFA登録ユーザーレポートには、ユーザー名、登録時間、登録された認証方法、IPアドレス、エンドポイントのタイプ、登録を試みたユーザー(ユーザーまたは管理者)など、すべての登録操作の詳細が表示されます。

このレポートから、ユーザーのMFA登録の解除や、ユーザーアカウントのバックアップコードの生成を行うことも可能です。

登録レポート

MFA登録ユーザーレポートの作成手順は以下の通りです。

  1. 管理者またはオペレーター権限でADSelfService Plus管理ポータルにログインし、[レポート]→[MFAレポート]→[MFA登録ユーザーレポート]に移動します。
  2. [ドメインの選択]から対象のドメインを選択します。
  3. 必要に応じて、[OUの選択]から対象のOUを選択します。
  4. [登録ステータス]のドロップダウンから、登録済みもしくは一部登録済みを選択し、ユーザーをフィルタリングします。登録ステータスは、以下の条件の達成状況に基づいて判断されます。以下の条件がすべて満たされている場合、ユーザーは登録済みとみなされ、満たされていない場合は、一部登録済みとみなされます。
    • 条件1:すべての必須の認証システムに登録済みである。
    • 条件2:管理者が設定した数の認証システムに登録済みである。
    • 条件3:セキュリティ質問&回答が認証システムとして設定されている場合、すべての必須の質問と、必要とされている数の質問を登録している。
  5. [登録の種類]のドロップダウンから、MFAの方法を選択して結果を絞り込むことができます。
  6. [作成]をクリックします。
  • 属性の追加、削除:属性を追加、削除するには、レポートの右端にある属性の追加/削除]オプションをクリックします。表示される[テーブルに表示する属性の選択]のポップアップ画面で、[利用可能な属性]から表示する属性を選択し、右矢印(>>)をクリックして[選択した属性]に移動させます。属性を削除するには、[選択した属性]で不要なフィールドを選択し、左矢印(<<)をクリックして[利用可能な属性]に移動させます。
    • 登録レポート
  • 属性の並び変え:[選択した属性]から値を選択し、[上へ]および[下へ]ボタンを押下することで、属性の位置を変更することもできます。

属性のヘッダーをクリックすることで、レポートのエントリを昇順または降順に並べ替えることができます。

  • 表示された属性内の特定のデータを検索するには、検索アイコン[検索アイコン]をクリックします。
  • SAMアカウント名携帯電話などの属性を使用して、特定のユーザーを検索できます。
  • 検索は、「~を含む」という条件を使用して実行されます。例えば、ユーザー名属性でjackという単語を検索すると、jackという配列を含むすべてのユーザー名が検索結果として表示されます。
  • [スケジュールレポート]オプションを使用すると、指定した間隔でレポートが生成されるようにスケジュール設定し、管理者や特定のメールアドレスに自動的にレポートをメールで送信できます。スケジュールレポートの設定方法については、こちらをご参照ください。
  • 画面右上にある[エクスポート] オプションを使用すると、レポートをCSV、PDF、XLS、XLSX、HTMLCSVDE形式でエクスポートできます。
  • 画面右上にある[詳細] オプションには、[印刷表示]、[メールを送る]、および[エクスポート設定]オプションが表示されます。
    • [印刷表示]オプションは、レポートのプレビューおよび印刷に使用できます。
    • [メール送信]オプションは、希望のメールアドレスにレポートを送信するのに使用できます。
    • [エクスポート設定]を使用して、レポートのタイトルや各ページに表示するヘッダーのロゴなどをカスタマイズすることもできます。

ユーザーの登録解除は、ADSelfService Plusから登録情報の一部または全てを削除することを意味します。

ユーザーは、登録解除された認証システムを介して認証を行うことができなくなります。完全に登録が解除された場合、MFAおよびセルフサービスアクションを実行するには、少なくとも管理者が設定した最低数の認証方法に再登録する必要があります。

MFA登録ユーザーレポートからは、以下の2つの方法でユーザーを登録解除できます。

  1. 手動での登録解除
  2. CSVでの一括登録解除
登録レポート
  • 手動:ユーザーの左側の属性のチェックボックスにチェックを入れて登録を解除するユーザーを選択し、検索ボタンの横にある [登録解除]をクリックします。開いたポップアップ画面で、ユーザーを登録解除する認証システムを選択し、[OK]をクリックします。すべての認証システムからユーザーを登録解除するには、[すべてのAuthenticator]をクリックします。
    • バックアップコードの生成
  • CSV:レポートヘッダー右側のナビゲーションボタンの近くにある[一括で登録解除]をクリックします。開いたポップアップ画面で、登録を解除するユーザーのSAMアカウント名、携帯番号、メールID、セカンダリメールID、またはセカンダリモバイルを含むCSVファイルをアップロードします。CSVファイルをアップロード後、ユーザー登録を解除する認証システムを選択し、[OK]をクリックします。すべての認証システムからユーザーを登録解除するには、[すべてのAuthenticator]を選択します。
    • バックアップコードの生成

登録されている認証システムからユーザーを登録解除する際に、[選択したユーザーのライセンスを解放してください。]オプションを使用できます。このオプションを選択すると、選択したユーザーがすべての登録済み認証システムから削除され、ADSelfService Plusライセンスが解放されます。その結果、該当のユーザーはライセンスが付与されていない状態となり、管理者や技術担当者である場合、その権限も失うことになります。

以降、ADSelfService Plusのライセンスが再度割り当てられる場合、以前の権限は自動的に復元されないため、手動で再割り当てする必要があります。

ナビゲーションボタンの右端にある属性の追加/削除[属性の追加/削除]アイコンをクリックし、属性を追加、削除してレポートをカスタマイズすることができます。

MFA登録ユーザーレポート[authenticatorを表示]をクリックすると、ユーザーが登録した認証システムの一覧が表示されます。

バックアップコードの生成
バックアップコードの生成

管理者は、ユーザーのMFAデバイスに到達できない場合、登録ユーザー用のバックアップコードを生成できます。ユーザーは、各バックアップコードを一度のみ使用できます。特定の登録ユーザー用にバックアップコードを生成する手順は以下の通りです。

  • MFA登録ユーザーレポートMFAバックアップコード属性に移動します。[今すぐ生成]をクリックします。
    • バックアップコードの生成
  • 表示される[MFAバックアップコードを生成]画面に、以下の情報が表示されます。
    • SAMアカウント名:ユーザーのsAMAccountNameの値
    • ドメイン名:ユーザーが属するドメイン
    • 生成時間:バックアップコードが生成された日時
  • 表には、新しく生成された、一度のみ使用可能なバックアップコードが表示されます。
  • [期限切れ(分)]フィールドで、コードの有効期限が切れる分数を指定します。
  • バックアップコードの横にある アイコンバックアップ アイコンをクリックしてバックアップコードをコピーします。MFAなしで認証できるように、コードをユーザーに送信または通知する必要があります。
  • [閉じる]をクリックします。
バックアップコードの生成
注記:複数のオペレーターが同じユーザーに対してバックアップコードを生成した場合、最後に生成されたコードが有効になります。また、そのコードは一度のみ使用可能です。ユーザーがバックアップコードを自身で生成していた場合、そのバックアップコードも使用できます。