Endpoint Central オンプレミス版 ナレッジベース

ManageEngine > サポート > Endpoint Central オンプレミス版 ナレッジベース > インストール・セットアップ > パスワードポリシー/二段階認証の設定方法
戻る

パスワードポリシー/二段階認証の設定方法

  • 作成日:2019年12月24日 | 更新日:2024年11月20日

確認ビルド: Endpoint Central 11.2.2300.30、Endpoint Central 11.3.2400.33
この記事では、製品ユーザーが Endpoint Central (Desktop Central) コンソール画面へログインする際に使用するパスワードの要件を設定する方法(パスワードポリシーの適用)や、Endpoint Central コンソール画面へのログインに対して二段階認証を設定する手順について説明しています。

二段階認証の有効化/無効化

以下の手順を実行することで、製品ユーザーがコンソール画面にログインする際に二段階認証を有効化できます。
二段階認証として、Google Authenticatorアプリによる認証か、またはワンタイムパスワードのメール送付による認証が選択できます。また、ワンタイムパスワードの保存期間を設定することで、同じブラウザーからログインする場合に指定日数の間ワンタイムパスワードの入力が不要になります。
Google Authenticatorアプリのインストールについては、Google 認証システムのインストール(Google アカウントヘルプ)をご覧ください。

二段階認証の強制化について
Endpoint Central (Desktop Central)では、セキュリティ強化の一環として二段階認証が強制化されます。
評価期間中は有効化されませんが、評価期間が終了する(ライセンスを適用して製品版へ移行するか、無料版へ移行する)と、10日以内に二段階認証を強制化するメッセージがログイン時に毎回表示されるようになります。
コンソール画面のUI上から二段階認証を有効化すると、その後UI上から無効化することはできません。
Google Authenticatorによる認証の有効化
  1. Endpoint Centralがインストールされているコンピューターの時刻が正しいことを確認します(時刻が正確でない場合、Google Authenticator の認証に失敗します)。
  2. コンソール画面にログインする製品ユーザー全員に対し、次回ログインするまでに Google Authenticatorアプリ を各自のデバイスにインストールするよう依頼します。
  3. コンソール画面に Administrator 権限のあるユーザーとしてログインします。
  4. 「管理」タブ →「グローバル設定」→「ユーザー管理」→「セキュア認証」→「二段階認証」(または「2つのファクタ認証」) を開きます。
    なおEndpoint Central 11.2.2300.30以前のビルドにおいて二段階認証の有効化/無効化に関する項目が表示されない場合は、「管理」タブ →「グローバル設定」→「ユーザー管理」→「セキュア認証」→「パスワードポリシー」において、パスワード複雑性を「複雑」にします。
  5. 認証: 「有効化」を選択し、認証モード: 「Google Authenticator」を選択します。
  6. ワンタイムパスワードの保存期間を指定します(選択式、0~180)。
    信頼されたブラウザーからのアクセスに対して、ワンタイムパスワード入力を省略できます
    ログイン時に「信頼されたブラウザー」を選択した場合、一度ワンタイムパスワードを使用してログインすると、指定日数の間ワンタイムパスワードの入力が不要になります。
    保存期間に 0日 を選択した場合、毎回ログインするたびにワンタイムパスワードが必要になります。
  7. [保存]をクリックします。

以上で Google Authenticatorアプリを利用した二段階認証が設定されました。製品ユーザーは次回コンソールにログインする際、アプリのダウンロード、QRコードの読み込みによるアプリへのセットアップキー登録の手順が表示されます。次回以降ユーザー名とパスワードを入力してログインすると、ワンタイムパスワード入力画面が表示されます。アプリのワンタイムパスワード入力するとログインできます。
 

メールによるワンタイムパスワード認証の有効化
  1. Endpoint Centralのメールサーバー設定が完了していることを確認します。また、Endpoint Centralコンソール画面にログインする製品ユーザー全員が、「管理」タブ →「グローバル設定」→「ユーザー管理」→「ユーザー」に有効なメールアドレスを登録していることを確認します。
  2. コンソール画面に Administrator 権限のあるユーザーとしてログインします。
  3. 「管理」タブ →「サーバー設定」→「メールサーバー設定」を開き、「テスト用メールアドレス」欄に自分のメールアドレスを入力して「テストメールの送信」をクリックし、テストメールが正常に送信されることを確認します。
  4. 「管理」タブ →「グローバル設定」→「ユーザー管理」→「セキュア認証」→「二段階認証」(または「2つのファクタ認証」) を開きます。
    なおEndpoint Central 11.2.2300.30以前のビルドにおいて二段階認証の有効化/無効化に関する項目が表示されない場合は、「管理」タブ →「グローバル設定」→「ユーザー管理」→「セキュア認証」→「パスワードポリシー」において、パスワード複雑性を「複雑」にします。
  5. 認証: 「有効化」を選択し、認証モード: 「E-mail」を選択します。
  6. ワンタイムパスワードの保存期間を指定します(選択式、0~180)。
    信頼されたブラウザーからのアクセスに対して、ワンタイムパスワード入力を省略できます
    ログイン時に「信頼されたブラウザー」を選択した場合、一度ワンタイムパスワードを使用してログインすると、指定日数の間ワンタイムパスワードの入力が不要になります。
    保存期間に 0日 を選択した場合、毎回ログインするたびにワンタイムパスワードが必要になります。
  7. [保存]をクリックします。

以上でメールによる二段階認証が設定されました。製品ユーザーは次回コンソールにログインする際ユーザー名とパスワードを入力すると、メールでワンタイムパスワードが送付されます。

ワンタイムパスワード(OTP)の送信先メールアドレス
ワンタイムパスワードを含むメールは、製品ユーザーの登録時に登録したメールアドレスに送信されます(参考: ユーザーのメールアドレスについて)。
登録されたメールアドレスは「管理」タブ →「グローバル設定」→「ユーザー管理」→各ユーザーの「メール」列で確認できます。宛先を変更する場合は「アクション」列の三点リーダーアイコン >「編集」から変更します。

 

二段階認証の無効化

こちらのナレッジをご覧ください。

過去の一部のビルドにおいては、二段階認証をいったん有効化すると無効化できない場合があります。
アップグレードする場合、日本国内向けリリースの最新ビルドへのアップグレードを推奨いたします。
また、評価版から製品版または無料版に移行すると、移行から9日以内に二段階認証が強制化されます。二段階認証を有効化しない場合でも、日数経過後にログインすると二段階認証の設定画面以外にアクセスできなくなります。
いったん二段階認証を有効化し、必要に応じて無効化してください。

 

ユーザーアカウントポリシーの設定

Endpoint Central 11.3.2400.33以降のビルドにおいて、ユーザーアカウントポリシーの設定がパスワードポリシーの設定から分離されました。コンソール画面へのログイン失敗回数が一定基準を超えた場合の挙動や、非アクティブなアカウントを自動的に無効にする設定などを有効化できます。

  1. コンソール画面に Administrator 権限のあるユーザーとしてログインします。
  2. 「管理」タブ →「グローバル設定」→「ユーザー管理」→「セキュア認証」→「ユーザーアカウントポリシー」を開きます。
  3. コンソール画面へのログイン失敗回数が一定基準を超えた場合の挙動および基準回数を指定します。
    • 無効なログイン試行に対するアクション: ログイン失敗が連続した場合、アカウントをロックまたは無効化できます。
      アカウントを無効にする: アカウントは管理者が有効化するまでログインできません。
      アカウントのロック: アカウントは、ロックアウト期間が経過するまでログインできません。ロックアウト期間が過ぎるとログイン試行できるようになります。
    • 許可された無効なログイン試行回数: 許容するログイン失敗回数を指定します。指定した回数連続してログインに失敗すると、そのアカウントはロックまたは無効化されます。
    • ロックアウト期間: アカウントをロックする場合、ロックが解除されるまでの時間を指定します。1分~120分の範囲で指定できます。
  4. コンソールへのログインにAD認証を使用する場合、設定します。
    • Hide Domain List: AD認証を使用する場合、デフォルトのログイン画面ではドメインが選択式のため、ドメイン名が表示されてしまいます。セキュリティを強化する場合、この項目(Disable domain listing in login page)を有効化して、ログイン画面のドメインを選択式から入力式に変更します。
    • 認証用のデフォルトドメイン: 「Disable domain listing in login page」を無効化してドメインを選択式にする場合、デフォルトの状態で選択されているドメインを指定できます。これにより、ログイン画面において毎回ドメインを手動で選択する手間が省けます。
  5. アカウントの無効状態: アクティブではないアカウントについて、一定日数後に無効化することができます。
  6. セッション期限設定: コンソール画面へのログインについて、セッションの上限時間を指定します。

 

パスワードポリシーの設定方法

ローカル認証の場合、以下の手順でパスワードポリシーを設定することができます。Endpoint Central(Desktop Central) にログインする製品ユーザーのパスワードに、簡単な文字列が設定されることを防止します。

※ 管理対象に対してパスワードポリシーを一括設定する場合は、セキュリティポリシー(「構成」タブ→「構成」→「Windows」→「セキュリティポリシー」→「ユーザー」または「コンピューター」)または ユーザー管理(「構成」タブ→「構成」→「Windows」→「ユーザー管理」) をご覧ください。

  1. コンソール画面にAdministrator権限のあるユーザーとしてログインします。
  2. 管理タブ > グローバル設定 > ユーザー管理 > セキュア認証 > パスワードポリシー を開き、各項目について入力します。
    • 最小パスワード長: 許可するパスワードの最小文字数を指定します。デフォルトでは 8 文字となり、8 ~ 25 文字のパスワードを設定可能です。
    • 利用不可能なパスワード履歴数: 過去に使用したパスワードの再使用を禁止する範囲を指定します。
    • 不正なログイン試行によるユーザーアカウントのロック(有効/無効): 「有効」にすると、ログインを指定回数失敗したアカウントをロックアウトします。
    • 許容するログイン失敗の回数: 許容するログイン失敗の回数を指定します。
    • 自動ログオフ時間(ロックアウト期間の表記ゆれ):「許容するログイン失敗の回数」ログインに失敗した際に、指定した期間アカウントをログイン不可能にします。
  3. [保存]をクリックします。

    4. 以上でパスワードポリシーが設定/変更されます。設定されたパスワードポリシーは、各ユーザーの次回パスワード変更時に適用されます。

    パスワードの複雑性
    複雑なパスワードを設定する必要があります。特殊文字( ! ~ @ # $ % ^ & + = _ * )および大文字、小文字をそれぞれ最低1文字ずつ含むパスワードである必要があります。
    なお、Desktop Central 10.1.2119.10 より前のビルドでは、パスワード複雑性を選択可能です。

    パスワードの変更
    製品ユーザーのパスワードリセット方法はこちらのナレッジを参照してください。

 

その他の認証

  • ADドメイン環境の場合、ドメインコントローラーと通信することでADドメイン認証を使用できます。製品ユーザーの登録時、各ユーザーごとに選択します。詳細はユーザー追加に関するナレッジをご覧ください。
  • SAML認証が利用可能です。詳細はこちらのナレッジをご覧ください。

 

このナレッジの総閲覧回数: 1,891

関連ナレッジ:

  1. 二段階認証の無効化
  2. Endpoint Centralの製品ユーザー名を変更することはできますか。/ 製品ユーザー名を忘れた場合の対処方法
  3. 製品ユーザーの編集/追加/削除、管理範囲/権限の制限
  4. 【修正済】Desktop Centralユーザー名の変更ができない

タグ: