Endpoint Central オンプレミス版 ナレッジベース

パスワードポリシー/二段階認証の設定方法


確認ビルド: Endpoint Central 11.2.2300.30
この記事では、製品ユーザーによる Endpoint Central(Desktop Central)コンソール画面へのログインにおけるパスワードポリシーの適用や二段階認証を設定する手順について説明しています。

パスワードポリシーの設定方法

ローカル認証の場合、以下の手順でパスワードポリシーを設定することができます。Endpoint Central(Desktop Central) にログインする製品ユーザーのパスワードに、簡単な文字列が設定されることを防止します。

※ 管理対象コンピューターに対してパスワードポリシーを一括設定する場合は、セキュリティポリシー(構成タブ > 構成 > Windows > セキュリティポリシー > ユーザー または コンピューター)または ユーザー管理(構成タブ > 校正 > Windows > ユーザー管理) をご覧ください。

  1. コンソール画面にAdministrator権限のあるユーザーとしてログインします。
  2. 管理タブ > グローバル設定 > ユーザー管理 > セキュア認証 > パスワードポリシー を開き、各項目について入力します。
    • 最小パスワード長: 許可するパスワードの最小文字数を指定します。デフォルトでは 8 文字となり、8 ~ 25 文字のパスワードを設定可能です。
    • 利用不可能なパスワード履歴数: 過去に使用したパスワードの再使用を禁止する範囲を指定します。
    • 不正なログイン試行によるユーザーアカウントのロック(有効/無効): 「有効」にすると、ログインを指定回数失敗したアカウントをロックアウトします。
    • 許容するログイン失敗の回数: 許容するログイン失敗の回数を指定します。
    • 自動ログオフ時間: 操作されない状態から自動的にログオフするまでの時間を指定します。
  3. [保存]をクリックします。
  4. 以上でパスワードポリシーが設定/変更されます。設定されたパスワードポリシーは、各ユーザーの次回パスワード変更時に適用されます。

    パスワードの複雑性
    複雑なパスワードを設定する必要があります。特殊文字( ! ~ @ # $ % ^ & + = _ * )および大文字、小文字をそれぞれ最低1文字ずつ含むパスワードである必要があります。
    なお、Desktop Central 10.1.2119.10 より前のビルドでは、パスワード複雑性を選択可能です。


    パスワードの変更
    製品ユーザーのパスワードリセット方法はこちらのナレッジを参照してください。

 

二段階認証の有効化/無効化

以下の手順を実行することで、製品ユーザーがDesktop Centralコンソール画面にログインする際に二段階認証を設定できます。
二段階認証として、 Google Authenticator による認証 または メールによるワンタイムパスワード認証 が選択できます。ワンタイムパスワードの保存期間を設定することで、同じブラウザーからログインする場合に指定日数の間ワンタイムパスワードの入力が不要になります。
Google Authenticator アプリのインストールについては、Google 認証システムのインストール(Google アカウントヘルプ)をご覧ください。

Desktop Central では、セキュリティ強化の一環として、一部のビルドにおいて二段階認証が強制化されます (評価版→製品版となってから10日以内、または評価版→無料版となってから10日以内)。
なお、いったん二段階認証を有効化すると原則として無効化することはできません。
Google Authenticatorによる認証の有効化
  1. Desktop Central がインストールされているコンピューターの時刻が正しいことを確認します(時刻が正確でない場合、Google Authenticator の認証に失敗します)。
  2. Desktop Central コンソール画面にログインする製品ユーザー全員に対し、Google Authenticator を各自のデバイスにインストールするよう依頼します。
  3. Desktop Central コンソール画面に Administrator 権限のあるユーザーとしてログインします。
  4. 管理タブ > グローバル設定 > ユーザー管理 > セキュア認証 > 二段階認証 を開きます(二段階認証 の項目が表示されない場合は、いったん パスワードポリシー > パスワード複雑性を「複雑」にします)。
  5. 認証: 有効化 を選択し、認証モード: Google Authenticator を選択します。
  6. ワンタイムパスワードの保存期間を指定します(選択式、0~180)。
    同じ Web ブラウザーからログインする場合やログイン時に「信頼されたブラウザー」を選択した場合、いったんワンタイムパスワードを入力してログインすると、指定日数の間ワンタイムパスワードの入力が不要になります。
    保存期間に 0日 を選択した場合、ログインごとにワンタイムパスワードが必要になります。
  7. [保存]をクリックします。

 


メールによるワンタイムパスワード認証の有効化
  1. Desktop Central コンソール画面にログインする製品ユーザー全員が、管理タブ > グローバル設定 > ユーザー管理 > ユーザー において有効なメールアドレスを登録していることを確認します。
  2. Desktop Central コンソール画面に Administrator 権限のあるユーザーとしてログインします。
  3. 管理タブ > サーバー設定 > メールサーバー設定 を開き、「テスト用メールアドレス」欄に自分のメールアドレスを入力して「テストメールの送信」をクリックし、テストメールが正常に送信されることを確認します。
  4. 管理タブ > グローバル設定 > ユーザー管理 > セキュア認証 > 二段階認証 を開きます(二段階認証 の項目が表示されない場合は、いったん パスワードポリシー > パスワード複雑性を「複雑」にします)。
  5. 認証: 有効化 を選択し、認証モード: E-mail を選択します。
  6. ワンタイムパスワードの保存期間を指定します(選択式、0~180)。
    同じ Web ブラウザーからログインする場合やログイン時に「信頼されたブラウザー」を選択した場合、いったんワンタイムパスワードを入力してログインすると、指定日数の間ワンタイムパスワードの入力が不要になります。
    保存期間に 0日 を選択した場合、ログインごとにワンタイムパスワードが必要になります。
  7. [保存]をクリックします。

メールによる二段階認証が設定されました。製品ユーザーは次回以降 Desktop Centralコンソールにログインする際にメールでワンタイムパスワードが送付されます。

ワンタイムパスワード(OTP)の送信先メールアドレス
ワンタイムパスワードを含むメールは、製品ユーザーの登録時に登録したメールアドレス(入力が必須の項目)に送信されます。デフォルトの管理者である admin ユーザーのみ後から入力する必要があります(セキュリティ強化のため、ユーザー名の変更をおすすめします。製品ユーザーが1名の場合、ユーザー名の変更が可能です。詳細はこちらをご覧ください。)
参考: ユーザーのメールアドレスについて
登録されたメールアドレスは 管理タブ > グローバル設定 > ユーザー管理 > ユーザー の「メール」カラムから確認できます。宛先を変更する場合は、アクション列の三点リーダーアイコン > 編集 から 変更します。

 


二段階認証の無効化

こちらのナレッジをご覧ください。

過去の一部のビルドにおいては、二段階認証をいったん有効化すると無効化できない場合があります。日本国内向けリリースの最新ビルドへのアップグレードを推奨いたします。

また、評価版から製品版または無料版に移行すると、移行から9日以内に二段階認証が強制化されます。二段階認証を有効化しない場合でも、日数経過後にログインすると二段階認証の設定画面以外にアクセスできなくなります。
いったん二段階認証を有効化し、必要に応じて無効化するようお願いいたします。

 

その他の認証

  • ADドメイン環境の場合、ドメインコントローラーと通信することでADドメイン認証を使用できます。製品ユーザーの登録時、各ユーザーごとに選択します。詳細はユーザー追加に関するナレッジをご覧ください。
  • SAML認証が利用可能です。詳細はこちらのナレッジをご覧ください。