二段階認証の無効化
作成日:2022年5月10日 | 更新日:2024年6月26日
確認ビルド: Endpoint Central 11.2.2300.30, Endpoint Central 10.1.2220.20, Endpoint Central 10.1.2220.18, Desktop Central 10.1.2138.19
この記事では、Endpoint Central において有効化した二段階認証を無効化する手順について説明しています。
※ 複数台のEndpoint Centralサーバーを設置している環境では、それぞれのEndpoint Centralサーバーに対して操作を実行する必要があります。無効化キーは手順を実施したEndpoint Centralサーバー専用のため、他のEndpoint Centralサーバーに使用することはできません。
二段階認証の無効化
Desktop Central 10.1.2138.7 以降のビルド および Endpoint Central のビルド
(日本国内向けリリースビルド: Desktop Central 10.1.2138.16, 10.1.2138.19, Endpoint Central 10.1.2220.18, 10.1.2220.20 など)
コンソール画面上から Endpoint Central の二段階認証を無効化することはできませんが、以下の手順を実行することで 二段階認証を無効化できます。
Google Authenticatorによる認証を無効化する場合
製品ユーザー/Administrator権限を持つ製品ユーザーが Google Authenticator にアクセスできない場合、Administrator権限をもつ他のユーザーに連絡して、以下の手順を実行するよう依頼します。
Administrator権限をもつユーザーがログインできない場合は、以下のメールによるワンタイムパスワード認証を無効化する場合を実行します。
- Endpoint Central コンソール画面に Administrator権限をもつユーザーとしてログインします。
- 管理タブ > グローバル設定 > ユーザー管理 > ユーザー > (当該ユーザーの) アクション列の三点リーダーアイコン > QRコードの再送 を選択します。
- QRコードが登録されたメールアドレスに送信されます。
メールによるワンタイムパスワード認証を無効化する場合
- A. 一時的にワンタイムパスワードを無効化する
以下の手順を実行することで、ワンタイムパスワードを2日間無効化することが可能です。
(Endpoint Central 11.1.2236.1 より前のビルドでは7日間無効化することが可能です)- Endpoint Central がインストールされているコンピューターにアクセスします。
- スタート > Services.msc を起動し、Serverサービスを停止します。
- Desktop Central各ビルドの場合名は「ManageEngine Desktop Central Server」です。
- Endpoint Central各ビルドの場合、サービス名は「ManageEngine UEMS - Server」です。
- コマンドプロンプトを管理者として起動してcdコマンドを実行し、<Endpoint Central サーバーフォルダー>\bin フォルダーに移動します。
cd <Endpoint Centralサーバーフォルダー>\bin
(例) cd "C:\Program Files\ManageEngine\DesktopCentral_Server\bin" - 次のコマンドを実行し、二段階認証を無効化します。
disableTFA.bat TempDisable
- 「Administrator Username : 」と表示されたら、Endpoint Central において Administrator権限のあるユーザー名を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち以下のように「TFA temporarily disabled successfully.」と表示されたことを確認します。
TFA temporarily disabled successfully.
127.0.0.1:8020 - 接続を受け付けています
127.0.0.1:8020 - 応答がありません※ 一部のビルドにおいては「TFA temporarily disabled successfully.」が表示された後に何も表示されず、バッチが終了しないことが確認されています。その場合、「TFA temporarily disabled successfully.」を確認後 Ctrl + C 等でバッチを終了します。
※ なお、誤ったユーザー名/パスワード/ドメイン名(ADドメインの場合)を入力した場合、以下のように表示されます。Invalid Username or Password or DomainStopping DB Connection. Please wait...
DB Connection stopped...
この場合、ユーザー名/パスワード/ドメイン名(ADドメインの場合)を確認し、手順4から再度やり直します。
- スタート > Services.msc を起動し、Endpoint Centralサーバーサービスを開始します。
- 開始完了まで数分程度待ち、Webブラウザーから Desktop Central ログイン画面にアクセスし、ログインを試行します。
- 二段階認証が無効化されます(ログイン後、二段階認証が無効化されており、2日以内に有効化するよう以下のようなメッセージが表示されます)。
- B. 恒久的にワンタイムパスワードを無効化する
ワンタイムパスワードを無効化すると、悪意ある第三者からの侵害を受けた場合の影響が深刻化するおそれがあります。特段の事情がない限り、ワンタイムパスワードを有効化することを推奨します。
- 上記の A. 一時的にワンタイムパスワードを無効化する の手順を実行し、一時的にワンタイムパスワードを無効化します。
- 二段階認証を無効化した状態で、 管理タブ > ユーザー管理 > セキュア認証 ページを開きます。
- アラート表示の右端にある「Contact Support to override 2FA」をクリックします。
※ オフライン環境の場合はこれより先の手順を実行できません。代わりにCの手順を実行します。
- 各項目を入力し、[Send to support]をクリックします(連絡先情報などがZohoグローバル本社のサポートチームに送信され、送信後にメールが届きます。Zoho の個人情報保護方針・プライバシーポリシーはこちらをご確認ください)
- 名前: ご担当者名をアルファベットで入力します。
- メールアドレス: 自動的に入力されます。
- CISO Email ID:自社の情報セキュリティ責任者 (CISO: Chief Information Security Officer) のメールアドレスを入力します。
- Contact Number:必要に応じて自社の電話番号を入力します (日本国内の場合、81から始まる番号を入力します) 。
- Reason for not enabling 2FA: 以下から選択します。
- My server is not exposed to internet (LAN Connection): サーバーが外部に公開されていないため
- I have enabled SAML authentication: SAML認証を利用しているため
- I need more time to implement 2FA: 二段階認証の導入に時間がかかるため
- 2FA is not supported in my organization: 二段階認証が導入できないため
- その他:コメントを入力します。
- しばらく待つと、上記フォームに入力されていたメールアドレスおよびCISOメールアドレスに対し、確認を求めるメールがグローバル本社の担当者から送信されます。
Greetings!
We acknowledge your request to disable the Two-Factor Authentication (2FA) enforcement.
In light of the increasing sophistication of security incidents around the globe, we are cautious about securing customer's data in their environment. About 81% of breaches leverage stolen/weak passwords. Irrespective of the size, all businesses are equally prone to security breaches. Relying on passwords as the only way of authentication no longer offers enough safety against today's range of threats.
Since Endpoint Central is largely involved in managing the endpoints of your network, we are required to look at the bigger picture and make decisions for the greater good. As a better-safe-than-sorry measure, we have enforced 2FA to provide an additional layer of security to validate the user's authenticity. 2FA is a proven way of boosting security since cybercriminals are deprived of access, as they will need more than just your credentials. The uncomfortable truth is, security incidents happen when we least expect them.
We hope you let us provide you with a safe operating environment. If you'd still like to disable this security control, please reply to this email and our support team will share with you the steps to disable 2FA.
Regards.,
Team Endpoint Cetnral - 以下のような内容のメッセージを返信します(以下の例文をコピーし、ペーストします)。
Dear Endpoint Central Team,
I understand the risk of disabling 2FA, but we still want to disable the two factor authentication for our requirements.
Could you kindly send the disabling key?
Thanks, - 手順を案内するメールがグローバル本社の担当者から送信されます。
- メールを受信したら、Desktop Central がインストールされているコンピューターにアクセスします。
- スタート > Services.msc を起動し、「ManageEngine Desktop Central Server」を停止します。
- コマンドプロンプトを管理者として起動してcdコマンドを実行し、 DesktopCentral_Server\bin フォルダに移動します。
cd <Desktop Central インストールフォルダ>\bin
(例) cd "C:\Program Files\ManageEngine\DesktopCentral_Server\bin" - 次のコマンドを実行し、二段階認証を無効化します。
disableTFA.bat
- 「Enter the 2FA disable key : 」と表示されたら、受信したメールに記載されている Disabling Key を入力しエンターキーを押します。
- 「Administrator Username : 」と表示されたら、Desktop Central において Administrator権限のあるユーザー名を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち以下のように「TFA permanently disabled successfully.」と表示されたことを確認します。
TFA permanently disabled successfully.
127.0.0.1:8020 - 接続を受け付けています
127.0.0.1:8020 - 応答がありません※ 一部のビルドにおいては「TFA temporarily disabled successfully.」が表示された後に何も表示されず、バッチが終了しないことが確認されています。その場合、「TFA temporarily disabled successfully.」を確認後 Ctrl + C 等でバッチを終了します。
※ なお、誤ったユーザー名/パスワード/ドメイン名(ADドメインの場合)を入力した場合、以下のように表示されます。Invalid Username or Password or DomainStopping DB Connection. Please wait...
DB Connection stopped...
この場合、ユーザー名/パスワード/ドメイン名(ADドメインの場合)を確認し、手順9から再度やり直します。
- スタート > Services.msc を起動し、「ManageEngine Desktop Central Server」を開始します。
- 開始完了まで数分程度待ち、Webブラウザーから Desktop Central ログイン画面にアクセスし、ログインを試行します。
無効後に二段階認証を有効化する場合は、通常通り 管理タブ > グローバル設定 > ユーザー管理 > セキュア認証 から変更します。無効化する場合は、再度上記の手順を実行する必要があります。
メールが届かない場合や、閉域ネットワークなど情報を送信できない環境で Desktop Central/Endpoint Central をご利用の場合は、お問い合わせください。必要なファイルをお送りいたします。
- サポートにお問い合わせ後、送付されたzipファイルを解凍します。
- 解凍したファイルを <DesktopCentral_Server>\bin フォルダーにコピーします。
- スタート > Services.msc を起動し、「ManageEngine Desktop Central Server」を停止します。
- コマンドプロンプトを管理者として起動してcdコマンドを実行し、 DesktopCentral_Server\bin フォルダに移動します。
cd <Desktop Central インストールフォルダ>\bin
(例) cd "C:\Program Files\ManageEngine\DesktopCentral_Server\bin" - 次のコマンドを実行し、エンコードされた無効化キーを生成します。
GenerateEncodedTFAEnforcementDisableKey.bat
- 「Administrator Username : 」と表示されたら、Desktop Central/Endpoint Central において Administrator権限のあるユーザー名を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち以下のように「Please email us the below file :
C:\ManageEngine\DesktopCentral_Server\bin\encodedTFADisablingKey.txt」と表示されたことを確認します(パスは環境によって異なる場合があります)。------------------------------------------------------------------------
Please email us the below file :
C:\ManageEngine\DesktopCentral_Server\bin\encodedTFADisablingKey.txt
------------------------------------------------------------------------
127.0.0.1:8020 - 接続を受け付けています
127.0.0.1:8020 - 応答がありません
DB Connection stopped...※ なお、誤ったユーザー名/パスワード/ドメイン名(ADドメインの場合)を入力した場合、以下のように表示されます。
Invalid Username or Password or DomainStopping DB Connection. Please wait...
DB Connection stopped...
この場合、ユーザー名/パスワード/ドメイン名(ADドメインの場合)を確認し、手順5から再度やり直します。
- <DesktopCentral_Server>\bin フォルダーに生成された「encodedTFADisablingKey.txt」をお問い合わせに添付し、サポートに送信します。
- 完了後、送付されたファイル、および出力されたファイルを削除します。
- メールを受信したら、Endpoint Central がインストールされているコンピューターにアクセスします。
- スタート > Services.msc を起動し、Serverサービスを停止します。
- コマンドプロンプトを管理者として起動してcdコマンドを実行し、 DesktopCentral_Server\bin フォルダに移動します。
cd <Endpoint Central インストールフォルダ>\bin
(例) cd "C:\Program Files\UEMS_CentralServer\bin" - 次のコマンドを実行し、二段階認証を無効化します。
disableTFA.bat
- 「Enter the 2FA disable key : 」と表示されたら、受信したメールに記載されている Disabling Key を入力しエンターキーを押します。
- 「Administrator Username : 」と表示されたら、製品コンソール画面にログインする際に使用するユーザー名(製品内でAdministrator権限が必要)を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち以下のように「TFA permanently disabled successfully」と表示されたことを確認します。
TFA permanently disabled successfully
127.0.0.1:8028 - 接続を受け付けています
127.0.0.1:8028 - 応答がありません※ 一部のビルドにおいては「TFA permanently disabled successfully」が表示された後に何も表示されず、バッチが終了しないことが確認されています。その場合、「TFA permanently disabled successfully」を確認後 Ctrl + C 等でバッチを終了します。
※ なお、誤ったユーザー名/パスワード/ドメイン名(ADドメインの場合)を入力した場合、以下のように表示されます。Invalid Username or Password or DomainStopping DB Connection. Please wait...
DB Connection stopped...
この場合、ユーザー名/パスワード/ドメイン名(ADドメインの場合)を確認し、手順9から再度やり直します。
- スタート > Services.msc を起動し、Serverサービスを開始します。
- 開始完了まで数分程度待ち、Webブラウザーから製品ログイン画面にアクセスし、ログインを試行します。
Desktop Central 10.1.2127.9 ~ Desktop Central 10.1.2138.6 のビルド
(日本国内向けリリースビルド: Desktop Central 10.1.2137.11)
コンソール画面上から Desktop Central の二段階認証を無効化することはできませんが、以下の手順を実行することで 二段階認証を無効化できます。
なお、対応しないビルドにおいては、以下の手順は実行できません。
Google Authenticatorによる認証を無効化する場合
製品ユーザー/Administrator権限を持つ製品ユーザーが Google Authenticator にアクセスできない場合、Administrator権限をもつ他のユーザーに連絡して、以下の手順を実行するよう依頼します。
Administrator権限をもつユーザーがログインできない場合は、以下のメールによるワンタイムパスワード認証を無効化する場合を実行します。
- Desktop Central コンソール画面に Administrator権限をもつユーザーとしてログインします。
- 管理タブ > グローバル設定 > ユーザー管理 > ユーザー > (当該ユーザーの) アクション列の三点リーダーアイコン > QRコードの再送 を選択します。
- QRコードが登録されたメールアドレスに送信されます。
メールによるワンタイムパスワード認証を無効化する場合
- Desktop Central がインストールされているコンピューターにアクセスします。
- スタート > Services.msc を起動し、「ManageEngine Desktop Central Server」を停止します。
- コマンドプロンプトを管理者として起動してcdコマンドを実行し、 DesktopCentral_Server\bin フォルダに移動します。
cd <Desktop Central インストールフォルダ>\bin
<Desktop Central インストールフォルダ>のデフォルトのパスは"C:\Program Files\DesktopCentral_Server"または"C:\ManageEngine\DesktopCentral_Server"です。インストールしたときのビルドによって異なります。
(例) cd "C:\Program Files\ManageEngine\DesktopCentral_Server\bin" - 次のコマンドを実行し、二段階認証を無効化します。
ExecuteQuery.bat disable2FA.xml
- 「Username : 」と表示されたら、Desktop Central において Administrator権限のあるユーザー名を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち、「Executed the query successfully.」と表示されたことを確認します。
- スタート > Services.msc を起動し、「ManageEngine Desktop Central Server」を開始します。
- 開始完了まで数分程度待ち、Webブラウザーから Desktop Central ログイン画面にアクセスし、ログインを試行します。
Desktop Central 10.1.2119.9 ~ Desktop Central 10.1.2119.17 のビルド
(日本国内向けリリースビルド: 10.1.2137.11へのへのアップグレード用の中間ビルド Desktop Central 10.1.2119.9)
二段階認証が強制化されており、無効化することはできません。
Desktop Central 10.0.745以前のビルド
(日本国内向けリリースビルド: Desktop Central 10.0.587, 10.0.642, 10.0.643, 10.0.644 ほか)
コンソール画面から二段階認証を無効化できます。
Desktop Central コンソール画面に Administrator権限をもつユーザーとしてログインし、 管理タブ > グローバル設定 > ユーザー管理 > セキュア認証 から 「無効化」 を選択して [保存] をクリックします。