ADSelfService Plus ナレッジベース

本ナレッジでは、ビルド6300から追加されたオフラインMFA機能についてご紹介します。
本ページは、本社ページ（How to enable offline MFA in ADSelfService Plus）を参照しております。

＜目次＞
・オフラインMFAとは
・前提条件
・設定方法
・補足

オフラインMFAとは

ネットワーク接続がない、またはADSelfService Plusサーバーとの通信がない場合でも、
クライアントマシンにGINA/CP（Windowsログインエージェント）をインストールすることで、MFAを利用できる機能です。
対話型ログイン、RDP サーバー認証、およびUACプロンプトを保護できます。

オンラインMFAとは：
ADSelfService Plusサーバーとクライアントマシン間のネットワーク接続を使用して、
ADSelfService Plusサーバーに登録された認証データに基づいてユーザーの身元を確認します。

前提条件

• オフラインMFAは、Windowsマシンのみサポート対象です。
• GINA/CPのバージョンは6.3以降が対象です。既に6.3より前のバージョンをインストールしている場合、再インストールによりGINA/CPをバージョン6.3に更新する必要があります。
• SSLを有効化する必要があります。設定方法は、SSL通信の設定手順（対象バージョン6.2）をご参照ください。
• 「アクセスURL」をHTTPSに設定する必要があります。設定方法は、SSL通信の設定手順（対象バージョン6.2）をご参照ください。
• オフラインMFAで使用可能な認証は次のとおりです。
  ・Google Authenticator
  ・Microsoft Authenticator
  ・Zoho OneAuth TOTP
  ・カスタムTOTP認証システム
• MFAを有効化するマシンに、Windows、macOS、およびLinux用のADSelfService Plusクライアンソフトウェアログインエージェントをインストールしてください。
• エンドポイントMFAのご利用にはオプションライセンスが必要です。詳細はオプションライセンスの概要をご参照ください。
• オンラインの認証方法を有効化するには、エンドポイント多要素認証についての解説と設定手順をご参照ください。

設定方法

オフラインMFAを登録するには、下記3つの手順を実行する必要があります。
1. WindowsマシンオフラインMFAを有効化
2. エンドユーザーによる認証登録
3. クライアントマシンの登録

1. WindowsマシンオフラインMFAを有効化

1. [設定]タブ-->[セルフサービス]-->[マルチファクター認証]-->[エンドポイント用MFA]タブをクリック
2. [ポリシーの選択]にて、ドロップダウンから対象のポリシーを選択
3. [マシンログイン用のMFA]の[有効]にチェックを付け、[マシン ログイン MFAの認証アプリを選択してください]にてオンライン用の任意の認証を優先度が高い順(*1)に選択
   (*1:上から順にチェックが入った認証が参照されます。)
4. [オフラインMFAの認証アプリを選択してください]にチェックを付け、オフライン用の任意の認証を優先度が高い順に選択
   
5. [設定保存]をクリック

続いて、エンドユーザーの認証内容を登録する必要があります。エンドユーザー自身または管理者より登録できます。
次の手順をご参照ください。
・エンドユーザー自身による認証登録
・管理者よる認証登録

2. エンドユーザー自身による認証登録

下記2つのうち、いずれかの方法で登録できます。
・身元確認時の登録
・ユーザーポータルからの登録

身元確認時の登録

ユーザーがオンラインMFAを登録済み/未登録によって方法が異なります。

オンラインMFAを登録済みの場合

オフラインMFAに未登録の場合は、オンラインMFAの認証完了時にオフラインMFA用の認証登録を強制されます。

1. オンラインMFAの認証
   
2. オフラインMFA用の認証登録
   

オンラインMFAが未登録の場合

オンライン/オフラインの認証登録が未完了の場合、マシンで既に設定している認証で認証完了後にオフラインMFA用の認証登録を強制されます。

1. 既に設定している認証要素で認証
2. オフラインMFA用の認証登録

ユーザーポータルからの登録

必要に応じて、次の手順により任意の認証をオフラインMFA用に登録することも可能です。

1. ユーザーとしてADSelfService Plusにログイン
2. [登録]タブをクリック
3. オフラインMFAに使用する任意の認証を登録
   
4. [保存]をクリック

管理者による認証登録

CSVファイルまたは外部データベース（Oracle、Microsoft SQL Server、MySQL、PostgreSQ）からデータをインポートすることで
一括でユーザーの認証を登録できます。

3. クライアントマシンの登録

ユーザーがオフラインMFAに必要な認証を登録している場合、クライアントマシンをオフラインMFAに登録する必要があります。

MFAの認証完了後、次の画面が表示されます。

特定ユーザーのオフラインMFA用にクライアントマシンを登録した場合、
ユーザーの認証登録データはADSelfService Plusサーバーから安全に送信され、
オフラインMFA用の対象マシンに暗号化されたデータとして保存されます。
このプロセスは、認証データを最新の状態に保つため定期的に繰り返されます。
詳細は、ヘルプドキュメントのクイック登録をご参照ください。

各手順をご参照ください。

・クライアントマシンをオフラインMFAに自動登録
・登録をスキップ

クライアントマシンをオフラインMFAに自動登録

＜管理者側の設定＞

1. [設定]タブ-->[セルフサービス]-->[マルチファクター認証]-->[詳細設定]をクリック
2. [エンドポイントMFA]タブにある「オンライン認証が成功した後、オフライン MFA 用にユーザーのデバイスを自動的に登録します。」オプションにチェックを入れる
   
3. [保存]をクリック

＜Windowsログイン画面＞
次の画面にて、[登録と続行]をクリックします。

操作例

登録をスキップ

オフラインMFA用のマシンとして登録をしない場合は、[スキップ]をクリックします。

補足

次の点をご参照ください。
・オフラインMFAの登録解除方法
・詳細設定

オフラインMFAの登録解除

登録を解除するには、2つの方法があります。
・オフラインMFA登録レポートから解除
・エンドユーザー自身により解除

オフラインMFA登録レポートから解除

1. [レポート]タブ-->[登録レポート]-->[オフラインMFA登録済みマシンのレポート]をクリック
2. 対象ドメインを選択し[生成]をクリック
3. 出力されたレポートから登録解除するマシンにチェックを入れ[登録解除]をクリック
   

エンドユーザー自身により解除する

1. ユーザーとしてADSelfService Plusにログイン
2. [登録]タブ-->歯車アイコンの[管理]をクリック
3. [オフラインMFAデバイス]をクリック
4. [登録解除]をクリック
   

オフラインMFAが設定されていない/ユーザーのマシンが未登録の場合

次の場合を除き、ユーザーのマシンへオフラインアクセスは拒否されます。

• ADSelfService Plusサーバーが到達不能またはダウンしている場合にMFAをスキップする]オプションが有効な場合：
  本オプションが有効な場合、ADSelfService Plusサーバーが到達不能またはダウンしている場合にMFAをスキップすることができます。
  
• マシンベースのMFAを有効化している場合：
  マシンベースのMFAでは、デフォルトで対象マシンに対してMFAを強制しません。
  強制するには、対象マシンにチェックを入れ、[MFAの管理]-->[強制]を選択してください。
  

詳細設定

次の詳細設定は、オフラインMFAをより効果的にご利用いただけます。

• [オンライン認証が成功した後、オフラインMFA用にユーザーのデバイスを自動的に登録します。]オプションが有効な場合：
  本オプションでは、オンラインMFAの認証に成功時、ユーザーに通知することなく、オフラインMFAを行うマシンとしてに自動登録されます。
  
• [ユーザーによるオフラインMFAの実行を「n」-「試行以降制限します」]オプションが有効な場合：
  本オプションが有効な場合、オフラインMFAの試行を日数または試行回数で制限できます。制限を超えた場合、ユーザーはADSelfService Plusに再接続する必要があります。
  ・組織の要件に適した値を入力することを推奨しております。必要な値よりも低いしきい値を設定した場合、
  ユーザーがマシンにアクセスできなくなる可能性があります。
  ・セルフサービスポリシー、MFA設定、詳細設定、およびオフラインMFA登録に関する変更は、
  オンラインMFAを完了時のみに登録ユーザーのマシンに反映されます。
  ・設定した制限は、特定ユーザーが特定のマシンでオンラインMFAを実行時にリセットされます。