二段階認証

ユーザーのログオンセキュリティを強化するために、M365 Manager Plusはデフォルトのヘルプデスク技術者とAD認証ログインのヘルプデスク技術者に向けて、二段階認証をサポートしています。一旦有効にすると、M365 Manager Plusは、彼らがログインするたびに、以下の認証メカニズムのいずれかを使用して認証することを要求します。ヘルプデスク技術者、または、AD認証ログイン技術者のための以下の二段階認証方法のいずれかを選択することができます。一度有効にすると、技術者はログインプロセス中に選択したTFAを設定する必要があります。

• メール認証
• Microsoft Authenticator
• Google Authenticator
• RSA SecurID
• Duoセキュリティー
• RADIUS認証
• バックアップ認証コード
• カスタムTOTP認証システム
• 詳細設定

二段階認証の設定

1. M365 Manager Plusに管理者でログインします。
2. ［委任 → その他の設定 → ログオン設定］に移動します。
3. ［二段階認証］タブをクリックします。
4. 二段階認証スイッチを切り替えて、［有効］にします。
5. リストから利用したい認証方法を選択してください。

   注記:

   • 複数の認証オプションが有効になっている場合、ユーザーはログイン時にそのうちの1つを選択するよう求められます。
   • 選択した認証オプションを設定し、必要な情報がすべて入力されていることを確認してください。
6. ［保存］をクリックします。

認証方法

メール認証

このオプションが選択されると、M365 Manager Plusはユーザーのメールアドレスにメールで認証コードを送信します。ユーザーはログインするために認証コードを入力する必要があります。

設定方法:

1. メールサーバー設定を完了させます。
2. メールの［件名］を入力します。
3. ［メッセージを入力します。
4. ［感嘆符］アイコン をクリックして、要件に応じた優先順位を設定します。
5. 下部の［マクロ］をクリックして、メールメッセージにマクロを挿入します。
6. 情報入力を完了したら、［保存］をクリックします。

有効化が完了すると、ユーザーはログイン時にメールアドレスを入力して二段階認証に登録するよう求められます。

Microsoft Authenticator

Microsoft Authenticatorを使用して、アカウントに安全にサインインすることができます。有効にすると、本人確認のために Microsoft Authenticatorが生成するコードを入力する必要があります。

設定方法:

1. ［Microsoft Authenticatorを有効化］をクリックすると設定は完了です。

Google Authenticator

Google Authenticatorを使用してアカウントに安全にログインすることができます。有効にすると、本人確認のためにGoogle Authenticatorが生成する6桁のセキュリティコードの入力が求められます。

設定方法:

1. ［Google Authenticatorを有効化］をクリックすると設定は完了です。

注記:上記の2つのオプションのいずれかを有効にすると、技術者は、ログインプロセス中に、Microsoft AuthenticatorまたはGoogle Authenticatorのいずれかを使用して二段階認証に登録するよう求められます。

RSA SecurID

RSA SecurIDは、ユーザーの二段階認証を行うために開発されたメカニズムです。ユーザーは、RSA SecurIDモバイルアプリ、ハードウェアトークン、または電子メールやSMS経由で受信したトークンによって生成されたセキュリティコードを使用して、M365 Manager Plusにログインすることができます。

設定方法:

1. 以下の必要なJARファイルが/libフォルダーに存在することを確認してください。
   • authapi-8.6.jar
   • log4j-1.2.12rsa-1.jar
   • cryptojcommon-6.1.3.3.jar
   • jcmFIPS-6.1.3.3.jar
   • cryptojce-6.1.3.3.jar

   注記:これらのJARファイルは、Authentication Agent SDK for Java（バージョン8.6）の最新バージョンの関連ファイルです。

   ファイルが存在しない場合は、RSA SecurIDから最新のJARファイルを入手し、/libフォルダに追加します。

2. ［RSA管理コンソール］ (e.g., https://RSA machinename.domain DNS name/sc)にログインします。
3. ［アクセス］タブに移動します。認証エージェントを選択し、［新規追加］をクリックします。
4. M365 Manager Plusサーバーを認証エージェントとして追加し、［保存］をクリックします。
5. ［アクセス］タブに移動します。認証エージェントを選択し、［構成ファイルの生成］をクリックします。
6. ［AM_Config.zip］ (Authentication Manager configuration)ファイルをダウンロードします。
7. ZIPファイルから［sdconf.rec］を解凍します。
8. M365 Manager PlusのRSA SecurID設定下で、［参照］をクリックして、［sdconf.rec］ファイルを選択します。
9. 必須ファイルである［authapi.jar］ファイルと［Log4j.jar］ファイルが/libフォルダーに存在することを確認してください。ファイルが存在しない場合は、RSA SecurIDから最新の［authapi.jar］ファイルと［Log4j.jar］ファイルを入手し、/libフォルダに追加します。
10. ［保存］をクリックします。

Duoセキュリティ

あなたの組織が二段階認証のためにDuo Securityを使用している場合、ログインセキュリティー向上のためにM365 Manager Plusに連携することができます。ユーザーは、プッシュ通知またはDuo Securityアプリを使用して生成される6桁のセキュリティコードのような、Duo Securityによって提供される認証方法のいずれかを使用して、M365 Manager Plusのログイン要求を承認することができます。Duo Security経由の認証は、M365 Manager Plusで2つの方法で設定できます。: ［Web v2 SDK］と［Web v4 SDK］

Web v2 SDKは従来のDuoセキュリティのプロンプトを使用し、M365 Manager Plusのiframeに表示されます。一方、Web v4 SDKではDuoセキュリティのOIDCベースのユニバーサルプロンプトを使用し、認証のためにユーザーをDuo SecurityにリダイレクトするUIとして再設計されています。

注記:DuoセキュリティではWeb v2 SDKを段階的に廃止しており、新しいユニバーサルプロンプトを特徴とするWeb v4 SDKに切り替えることをお勧めします。

前提要件

• ユーザーが旧バージョンのIEを使用している場合、APIホスト名と管理コンソール（例：https://admin-325d33c0.duosecurity.com）を、ユーザーのマシンの信頼済みサイトまたはイントラネットサイトとして追加します。
• 従来のプロンプトを使用するWeb v2 SDKから、新しいユニバーサルプロンプトを使用するWeb v4 SDKに移行するには、Duo管理パネルで以下の手順に従ってください。

Web v4 SDK設定手順

注記:Web v4 SDKの認証を設定するには、安全な接続が必要です。HTTPS接続を有効にしてください。

1. ［Duoセキュリティアカウント］(e.g., <a href="https://admin-325d33c0.duosecurity.com" target="_blank" rel="nofollow" aria-label="https://admin-325d33c0.duosecurity.com">https://admin-325d33c0.duosecurity.com</a>) にログインするか、新しいアカウントにサインアップします。
2. ［アプリケーション］に移動して［アプリケーションの保護］をクリックします。
3. ［Web SDK］を検索して、［このアプリケーションを保護］をクリックします。
4. ［クライアントID、クライアントシークレット］および、［APIホスト名］の値をコピーします。
5. M365 Manager Plusを開き、［委任 > その他の設定 > ログイン設定 > 二段階認証 > Duoセキュリティ］に移動します。
6. ［有効 Duoセキュリティ］ のチェックボックスを有効化し、［統合の種類］で［Web v4 SDK］を選択します。
7. Duo管理パネルからコピーした［クライアントID］、［クライアントシークレット］と［APIホスト名］それぞれのフィールドを貼り付けます。
8. Duoセキュリティのユーザー名のパターンと同じものをユーザー名のパターンに貼り付けます。
9. ［保存］をクリックします。
10. DuoセキュリティのAuth APIの設定は、Duoセキュリティによる技術者登録を確認するために使用されます。Auth APIを設定するには、Duoセキュリティにログインして、［アプリケーション > アプリケーションの保護］に移動します。
11. ［Auth API］を検索します。
12. ［統合キー］と［秘密鍵］の値をコピーします。
13. M365 Manager Plusを開いて、［委任 > その他の設定 > ログイン設定 >二段階認証 > Duoセキュリティ］に移動します。
14. ［統合の種類］を選択して、Auth APIの設定を開くため［詳細設定］をクリックします
15. DuoセキュリティのAuth APIから取得してきた情報で［統合キー］と［秘密鍵］項目を埋めます。

Web v2 SDK設定手順

1. ［Duoセキュリティーアカウント］(e.g., https://admin-325d33c0.duosecurity.com )にログインするか、新しいアカウントに サインアップします。
2. ［アプリケーション］に移動して［アプリケーションの保護］をクリックします。
3. ［Web SDK］を検索して、［このアプリケーションを保護］をクリックします。
4. ［統合キー、秘密鍵］および［APIホスト名］ の値をコピーします。
5. M365 Manager Plusを開き、［委任 > その他の設定 > ログイン設定 > 二段階認証 > Duoセキュリティ］に移動します。
6. ［有効 Duoセキュリティ］ のチェックボックスを有効化し、［統合の種類］で ［Web v2 SDK］を選択します。
7. DuoセキュリティのAuthAPIページからコピーした［統合キー］、［秘密鍵］を貼り付けます。
8. Duoセキュリティのユーザー名のパターンと同じものをユーザー名のパターンに貼り付けます。
9. ［保存］をクリックします。
10. DuoセキュリティのAuth APIの設定は、Duoセキュリティによる技術者登録を確認するために使用されます。Auth APIを設定するには、Duoセキュリティにログインして、［アプリケーション > アプリケーションの保護］に移動します
11. ［Auth API］を検索します。
12. ［統合キー］と［秘密鍵］の値をコピーします。
13. M365 Manager Plusを開いて、［委任 > その他の設定 > ログイン設定 >二段階認証 > Duoセキュリティ］に移動します。
14. ［統合の種類］を選択して、Auth APIの設定を開くため［詳細設定］をクリックします
15. DuoセキュリティのAuthAPIページからコピーした［統合キー］、［秘密鍵］を貼り付けます。

新しいユニバーサルプロンプトへの移行手順

1. Duoの管理パネルで、M365 Manager Plus用に設定されていた［Web SDKアプリケーション］を選択し、［統合キーと秘密鍵、APIホスト名］の値をコピーします。
2. Universal Promptセクションにスクロールダウンして移動します。 App Update Readyメッセージが表示されると、プロンプトはM365 Manager Plusに対して有効化されたことを意味します。
3. M365 Manager Plusを開いて、［委任 > その他の設定 > ログイン設定 > 二段階認証 > Duoセキュリティ］に移動します。
4. ［Web v4 SDK］をクリックし、［統合キー、秘密鍵、APIホスト名］を貼り付け、クライアントID、クライアントシークレット、APIホストネームフィールドをそれぞれ貼り付けます。
5. M365 Manager PlusでWeb v4 SDKが設定され、フレームレスDuo v4 SDKでユーザーが認証されると、Duo Admin PanelのApp Update Readyメッセージが更新され、New Prompt Readyメッセージが表示されます。
6. ［Show new Universal Prompt］ をクリックしてM365 Manager Plusのユニバーサルプロンプトを有効にしてください。

RADIUS認証

RADIUS（Remote Authentication Dial-In User Service）は、業界標準のクライアント／サーバー認証プロトコルで、ネットワークを不正アクセスから保護し、セキュリティを強化するシステムです。

M365 Manager PlusのRADIUSベースの二段階認証は、わずか2つの簡単なステップで設定できます。

設定方法

手順1: RADIUSとM365 Manager Plusを連携する。

1. ［RADIUSサーバー］にログインします。
2. ［clients.conf］ファイルに移動します。(/etc/raddb/clients.conf)
3. clients.confファイル内に、以下のスニペットを追加します。
   client ProductServerName
   {
   ipaddr = xxx.xx.x.xxx
   secret = <secretCode>
   nastype = other
   }
4. ［RADIUSサーバー］を再起動します。

手順2: RADIUS用にM365 Manager Plusを設定する。

1. ［RADIUS認証］を選択します。
2. ［IPアドレスまたはRADIUSサーバー名］を入力します。
3. RADIUS認証のための［サーバーポート］番号を入力します。
4. ドロップダウンリストから、RADIUS認証に使用するプロトコルを選択します。
5. RADIOUSサーバー内のclients.confに記載されている［秘密鍵］の情報を入力します。
6. ［ユーザー名のパターン］を入力します。
7. ［要求のタイムアウト］に認証のための期間を設定します。
8. ［保存］をクリックします。

注記: ユーザー名のパターンは大文字と小文字を区別します。RADIUSサーバーで使用しているパターン（大文字または小文字）を正確に選択してください。

バックアップ確認コード

バックアップ認証コードは、ユーザーが携帯電話にアクセスできない場合や、二段階認証のいずれかの方法で問題が発生した場合でもログインできるようにするものです。有効にすると、合計5つのコードが生成されます。一度使用されたコードは無効になり、再度使用することはできません。その場合、ユーザーには新しいコードを生成するオプションも提供されます。

バックアップ検証コードオプションを有効にする

• バックアップ確認コードを有効にするには、［バックアップ確認コード］ボックスをチェックします。

バックアップ確認コードの登録

• コードを表示するには、実際に二段階認証を利用するユーザーの画面［バックアップ確認コードを管理する］リンクをクリックする必要があります。（人型アイコン ＞ 二段階認証）
• また、ユーザーはコードをテキストファイルとしてダウンロード、印刷、個人電子メールアドレスに配信、または、新しいコードを生成することもできます。
• コードを表示するには、［バックアップ確認コードを管理する］リンクをクリックする必要があります。

バックアップ確認コードを使用してログインする

• ログイン時にバックアップ認証コードを使用するには、二段階認証ページで［Don't have verification code?］ リンクをクリックします。
• バックアップ確認コードのページで、バックアップ確認コードのいずれかを入力し、［コードを確認］をクリックしてログインする必要があります。

二段階認証ユーザーの管理

管理者として、ユーザがどの認証方法を選択したかを確認し、ユーザ管理オプションを使用して二段階認証を無効化することができます。

設定方法

• 二段階認証タブ配下で、［登録ユーザー］をクリックします。
• ［登録ユーザー］ポップアップで、二段階認証を登録しているユーザーと、ユーザーが選択した二段階認証がどれかを確認することができます。
• 登録からユーザーを削除するには、［ユーザー］を選択して、アイコンをクリックします

二段階認証の方法をユーザーごとにパーソナライズする

二要素認証に登録されているユーザーは、以下の手順で、希望する認証方法を変更し、信頼できるブラウザを管理することができます：

• M365 Manager Plusのトップメニュー、右側にある［人型アイコン］ に移動します。
• ［二段階認証］オプションを選択します。
• 二段階認証のモードを修正するには、［認証モードを修正する］をクリックします。
• 信頼済みのブラウザーを編集するには、［信頼済みのブラウザーを管理］をクリックします。

カスタムTOTP認証

カスタムTOTP認証機能は、二段階認証(2FA)でアカウントを保護するのに役立ちます。2FAの有効化は、M365 Manager Plusで簡単に設定することができます。Google Authenticator、Microsoft Authenticator、その他のカスタム認証アプリを使用してM365 Manager Plusに安全にサインインできます。有効化されると、ユーザーは本人確認のために認証機能によって生成されたコードを入力する必要があります。

カスタムTOTP認証機能の設定方法

• ［カスタム認証システム］を選択します。
• ［有効 カスタムTOTP認証システム］のチェックボックスを有効化します。
• ［Authenticatorの名称、パスコードの長さ、パスコードの有効期限、パスコードハッシュアルゴリズム］を入力します。
• ［アカウント名の形式］を設定し、［Authenticatorのロゴ］をアップロードします。
• ［保存］をクリックします。

詳細設定

［詳細設定］ メニューで、M365 Manager Plusの2FA実装を微調整することができます。これにより、Microsoft 365認証でヘルプデスク技術者の2FAを有効にし、ブラウザの信頼を設定し、選択したヘルプデスク技術者リストの2FAを無効にすることができます。

詳細設定にアクセスするには・・・

1. M365 Manager Plusに二段階認証の設定を変更できる技術者アカウントでログインします。
2. ［委任 > その他の設定 > ログイン設定］に進みます。
3. ［二段階認証］タブをクリックします。
4. 二段階認証の［有効］ボタンを切り替えます。
5. ［詳細設定］をクリックします。

［詳細設定］では、 以下の設定が可能です。

• オプション：Microsoft 365認証を使用する技術担当者に2FAを有効にします。
• オプション技術担当者が2FAを使ってログインする場合、このブラウザオプションを表示信頼します。
• オプション：選択した技術担当者については2FAを除外します。

オプション：Microsoft 365認証を使用する技術担当者に2FAを有効にします。

デフォルトでSSOを許可するため、Microsoft 365 認証を使用する技術者には2FAが無効になります。このオプションを有効にすると、技術者はMicrosoft 365 MFAを使用してログインしていても、製品の2FAメソッドを経由する必要があります。

設定方法:

1. ［Microsoft 365認証を使用する技術担当者に2FAを有効にします。］を選択します。

オプション：技術担当者が2FAを使ってログインする場合、このブラウザオプションを表示信頼します。

この設定を行うことで、ヘルプデスク技術者が選択した日数、信頼できるブラウザから2FAをバイパスできるようになりました。

設定方法:

1. ［技術担当者が2FAを使ってログインする場合、このブラウザオプションを表示信頼します。］を選択します。
2. ブラウザを信頼する日数を入力します。このオプションはデフォルトで180日に設定されています。

オプション：選択した技術担当者については2FAを除外します。

2FAは安全な認証方法です。しかし、管理者が2FAをバイパスできるシナリオもご用意しています。例えば、より低いリスクプロファイルを持つ環境では、ヘルプデスク技術者は、製品にログインする方法についてより多くの柔軟性を与えられます。これは、技術者が頻繁に製品にログインするとき、2FAをバイパスすることができるため、タスクを実行するために便利です。

設定方法:

1. ［選択した技術担当者については2FAを除外します］を選択します。
2. アイコンをクリックして、2FAを除外すべき技術者を選択します。
3. 2FAを除外すべきヘルプデスク技術者を選択する。また、［フィルター条件］ドロップダウンを使用して、認証タイプで技術者のリストをフィルタリングすることもできます。
4. ［OK］ をクリックして、選択したヘルプデスク技術者の 2FA を除外します。