ADSelfService Plus ナレッジベース

ManageEngine > サポート > ADSelfService Plus ナレッジベース > 設定と操作 > FIDO2パスキーを使用したフィッシング耐性のある認証を有効にする方法
戻る

FIDO2パスキーを使用したフィッシング耐性のある認証を有効にする方法

  • 作成日:2025年10月2日 | 更新日:2025年10月15日

ADSelfService Plusでは、FIDO2パスキーを使用した高信頼性でフィッシングに強いID保護を提供し、フィッシング攻撃のリスクを排除するのに貢献します。
※本ページは、本社ページ(How to enable phishing-resistant authentication using FIDO2 passkeys in ADSelfService Plus)を参照しております。

FIDO2パスキーの種類

ADSelfService Plusは、現在、クラウドアプリケーションログイン用のエンドポイントMFAOWA用のエンドポイントMFA、ADSelfService Plusポータルからのパスワードリセットまたはアカウントロック解除、およびADSelfService Plusポータルへのログイン用にFIDO2パスキー認証を提供しています。
ADSelfService Plusでは、以下のタイプのFIDO2パスキーをサポートしています。

  • セキュリティキー
    セキュリティキーは、YubiKey、Google Titan Security KeyなどのようなポータブルなFIDO2準拠のキーです。これらの認証器は、USB、NFC、またはBluetooth経由でデバイスに接続し、安全な認証を行うことができます。
  • デバイスパスキー
    これらの認証機能はデバイスに組み込まれており、プラットフォーム(つまり OS)がユーザーの身元を確認するために使用します。たとえば、Windows Hello、Android Biometrics、Apple Touch ID/Face ID などがあります。

    デバイスパスキーの種類

    ・デバイス固定型パスキー: デバイスにのみ保存され、クラウドサービスには同期されないパスキー
    ・同期型パスキー: プラットフォームのクラウドアカウント(AppleデバイスのiCloudアカウントやAndroidデバイスのGoogleアカウントなど)、またはGoogleパスワードマネージャを介してデバイス間で同期されるパスキー。同期されたパスキーは、クラウドに同期されているすべてのデバイスで単一の登録を共有することが可能

FIDO2パスキーの設定

前提条件

  • この認証機能を使用するには、WebAuthnをサポートするデバイスが必要です。
  • ADSelfService PlusおよびFIDO2パスキーが認証されるサイトは、HTTPSが有効になっている必要があります。
  • アクセスURLは、IPアドレスではなく、有効なドメイン名で設定されている必要があります。

設定方法

  1. 管理者権限でDSelfService Plusにログインし、[設定]→[セルフサービス]→[多要素認証]→[FIDO パスキー]に移動します。
  2. [証明書利用者 ID]は、アクセスURLで使用されるドメイン名または実効ドメ イン名(すなわち、サーバー名またはサーバー名の親ドメイン)のいずれかでなければなりません。
  3. [ユーザー名パターン]は、ユーザーアカウントをADの明確な属性値と関連付けることによって、曖昧さが生じるのを防ぐのに役立ちます。 FIDO2パスキーで登録されるユーザーアカウントのために、該当パターンで作成された覚えやすい明確なユーザー名となります。
  4. [詳細設定]を開き、[許可されるパス キーのタイプ]ドロップダウンを使用して、ユーザーが登録できるFIDO2パスキーの種類を設定します。
    • [セキュリティキー]を選択すると、組織内のユーザーがYubiKeysやGoogle Titanキーなどのパスキーに登録することができます。
    • 指紋や顔認証のような生体認証など、マシンや電話に内蔵された認証方法を使用するデバイスベースのパスキーへの登録を組織内のユーザーに許可するには、[デバイスのパスキー]を選択します。
  5. [同期可能なパスキーを拒否]チェックボックスを有効にすると、パスキーが特定の組織のデバイスに関連付けられ、クラウドサービスを通じて複数のデバイス間で同期されないように設定できます。これは、デバイス固定型パスキーのみを許可するセキュリティ要件がある組織に最適です。
    6. [同期可能なパスキーを拒否]チェックボックスを有効にすると、iCloudアカウントを持つAppleデバイスなど、クラウド同期に依存するパスキーの登録を防ぐことができます。ドロップダウンから、ローミング認証に対して[ユーザー認証]を[必須]、[好ましい]、[非推奨]のいずれかを選択します。紛失したキーによる悪用を防止するため、ユーザー認証によりセキュリティキーが許可された個人によって所有されていることを二重に確認します。
  6. [パスキーの数(ユーザー一人に対して許容されるパスキー数)]フィールドで、各ユーザーが追加できるパスキーの最大数を指定します。ユーザーは最大5つのFIDO2パスキーを登録できます。
  7. [保存]をクリックします。
    • ADSelfService Plusを使用したFIDO2パスキーの設定の詳細、およびサポートされているデバイスとブラウザの全リストについては、こちらをクリックしてください。
    • FIDO2パスキーを使用したユーザー認証プロセスについては、こちらをご覧ください。

      • ※上記リンクの遷移先ページは、英語ドキュメントです。

このナレッジの総閲覧回数: 192

関連ナレッジ:

  1. Adobe Flash Playerサポート終了に伴うADSelfService Plusへの影響
  2. ADSelfService Plusの通知機能
  3. Spring Frameworkに関する脆弱性について(CVE-2022-22965)
  4. 機能:「パスワードリセット中は、アカウントロックを解除する」