二段階認証の無効化
確認ビルド: Patch Manager Plus 10.1.2220.18, 10.1.2220.20
この記事では、Patch Manager Plus において有効化した二段階認証を無効化する手順について説明しています。
二段階認証の無効化
Patch Manager Plus 10.1.2138.7 以降のビルド
(日本国内向けリリースビルド: Patch Manager Plus 10.1.2220.18, 10.1.2220.20 など)
コンソール画面上から Patch Manager Plus の二段階認証を無効化することはできませんが、以下の手順を実行することで 二段階認証を無効化できます。
Google Authenticatorによる認証を無効化する場合
製品ユーザー/Administrator権限を持つ製品ユーザーが Google Authenticator にアクセスできない場合、Administrator権限をもつ他のユーザーに連絡して、以下の手順を実行するよう依頼します。
Administrator権限をもつユーザーがログインできない場合は、以下のメールによるワンタイムパスワード認証を無効化する場合を実行します。
- コンソール画面に Administrator権限をもつユーザーとしてログインします。
- 管理タブ > グローバル設定 > ユーザー管理 > ユーザー > (当該ユーザーの) アクション列の三点リーダーアイコン > QRコードの再送 を選択します。
- QRコードが登録されたメールアドレスに送信されます。
メールによるワンタイムパスワード認証を無効化する場合
- A. 一時的にワンタイムパスワードを無効化する
以下の手順を実行することで、ワンタイムパスワードを2日間無効化することが可能です。
(Patch Manager Plus 11.1.2236.1 より前のビルドでは7日間無効化することが可能です)- Patch Manager Plus がインストールされているコンピューターにアクセスします。
- スタート > Services.msc を起動し、Serverサービスを停止します。サービス名はビルドによって異なります。
「ManageEngine Patch Manager Plus - Server」
「ManageEngine UEMS - Server」 - コマンドプロンプトを管理者として起動してcdコマンドを実行し、 UEMS_CentralServer\bin フォルダーに移動します。
cd <Patch Manager Plus インストールフォルダー>\bin
(例) cd "C:\Program Files\UEMS_CentralServer\bin" - 次のコマンドを実行し、二段階認証を無効化します。
disableTFA.bat TempDisable
- 「Administrator Username : 」と表示されたら、製品コンソール画面にログインする際に使用するユーザー名(製品内でAdministrator権限が必要)を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち以下のように「TFA temporarily disabled successfully.」と表示されたことを確認します。
TFA temporarily disabled successfully.
127.0.0.1:8020 - 接続を受け付けています
127.0.0.1:8020 - 応答がありません※ 一部のビルドにおいては「TFA temporarily disabled successfully.」が表示された後に何も表示されず、バッチが終了しないことが確認されています。その場合、「TFA temporarily disabled successfully.」を確認後 Ctrl + C 等でバッチを終了します。
※ なお、誤ったユーザー名/パスワード/ドメイン名(ADドメインの場合)を入力した場合、以下のように表示されます。Invalid Username or Password or DomainStopping DB Connection. Please wait...
DB Connection stopped...
この場合、ユーザー名/パスワード/ドメイン名(ADドメインの場合)を確認し、手順4から再度やり直します。
- スタート > Services.msc を起動し、Serverサービスを開始します。
- 開始完了まで数分程度待ち、Webブラウザーから製品ログイン画面にアクセスし、ログインを試行します。
- 二段階認証が無効化されます(ログイン後、二段階認証が無効化されており、2日以内に有効化するよう以下のようなメッセージが表示されます)。
- B. 恒久的にワンタイムパスワードを無効化する(メールでの対応)
ワンタイムパスワードを無効化すると、悪意ある第三者からの侵害を受けた場合の影響が深刻化するおそれがあります。特段の事情がない限り、ワンタイムパスワードを有効化することを推奨します。
- 上記の A. 一時的にワンタイムパスワードを無効化する の手順を実行し、一時的にワンタイムパスワードを無効化します。
- 二段階認証を無効化した状態で、 管理タブ > ユーザー管理 > セキュア認証 ページを開きます。
- アラート表示の右端にある「Contact Support to override 2FA」をクリックします。
※ オフライン環境の場合や、Zohoグローバル本社からのメール(英語)の受信を避けたい場合はこれより先の手順を実行できません。代わりにC の手順を実行します。
- 各項目を入力し、[Send to support]をクリックします(連絡先情報などがZohoグローバル本社のサポートチームに送信され、送信後にメールが届きます。Zoho の個人情報保護方針・プライバシーポリシーはこちらをご確認ください)
- 名前: ご担当者名をアルファベットで入力します。
- メールアドレス: 自動的に入力されます。
- CISO Email ID:自社の情報セキュリティ責任者 (CISO: Chief Information Security Officer) のメールアドレスを入力します。
- Contact Number:必要に応じて自社の電話番号を入力します (日本国内の場合、81から始まる番号を入力します) 。
- Reason for not enabling 2FA: 以下から選択します。
- My server is not exposed to internet (LAN Connection): サーバーが外部に公開されていないため
- I have enabled SAML authentication: SAML認証を利用しているため
- I need more time to implement 2FA: 二段階認証の導入に時間がかかるため
- 2FA is not supported in my organization: 二段階認証が導入できないため
- その他:コメントを入力します。
- しばらく待つと、上記フォームに入力されていたメールアドレスおよびCISOメールアドレスに対し、手順を案内するメールがグローバル本社の担当者から送信されます。
- メールを受信したら、Patch Manager Plus がインストールされているコンピューターにアクセスします。
- スタート > Services.msc を起動し、Serverサービスを停止します。
- コマンドプロンプトを管理者として起動してcdコマンドを実行し、 UEMS_CentralServer\bin フォルダに移動します。
cd <Patch Manager Plus インストールフォルダ>\bin
(例) cd "C:\Program Files\UEMS_CentralServer\bin" - 次のコマンドを実行し、二段階認証を無効化します。
disableTFA.bat
- 「Enter the 2FA disable key : 」と表示されたら、受信したメールに記載されている Disabling Key を入力しエンターキーを押します。
- 「Administrator Username : 」と表示されたら、製品コンソール画面にログインする際に使用するユーザー名(製品内でAdministrator権限が必要)を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち以下のように「TFA permanently disabled successfully.」と表示されたことを確認します。
TFA permanently disabled successfully.
127.0.0.1:8020 - 接続を受け付けています
127.0.0.1:8020 - 応答がありません※ 一部のビルドにおいては「TFA temporarily disabled successfully.」が表示された後に何も表示されず、バッチが終了しないことが確認されています。その場合、「TFA temporarily disabled successfully.」を確認後 Ctrl + C 等でバッチを終了します。
※ なお、誤ったユーザー名/パスワード/ドメイン名(ADドメインの場合)を入力した場合、以下のように表示されます。Invalid Username or Password or DomainStopping DB Connection. Please wait...
DB Connection stopped...
この場合、ユーザー名/パスワード/ドメイン名(ADドメインの場合)を確認し、手順9から再度やり直します。
- スタート > Services.msc を起動し、Serverサービスを開始します。
- 開始完了まで数分程度待ち、Webブラウザーから製品ログイン画面にアクセスし、ログインを試行します。
無効後に二段階認証を有効化する場合は、通常通り 管理タブ > グローバル設定 > ユーザー管理 > セキュア認証 から変更します。無効化する場合は、再度上記の手順を実行する必要があります。
メールが届かない場合や、閉域ネットワークなど情報を送信できない環境で Patch Manager Plus をご利用の場合は、お問い合わせください。必要なファイルをお送りいたします。
- サポートにお問い合わせ後、送付されたzipファイルを解凍します。
- 解凍したファイルを <UEMS_CentralServer>\bin フォルダーにコピーします。
- スタート > Services.msc を起動し、Serverサービスを停止します。
- コマンドプロンプトを管理者として起動してcdコマンドを実行し、UEMS_CentralServer\bin フォルダに移動します。
cd <Patch Manager Plus インストールフォルダ>\bin
(例) cd "C:\Program Files\UEMS_CentralServer\bin" - 次のコマンドを実行し、エンコードされた無効化キーを生成します。
GenerateEncodedTFAEnforcementDisableKey.bat
- 「Administrator Username : 」と表示されたら、Patch Manager Plusにログインする際に使用するユーザー名(製品内のAdministrator権限が必要)を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち以下のように「Please email us the below file :
C:\ManageEngine\UEMS_CentralServer\bin\encodedTFADisablingKey.txt」と表示されたことを確認します(パスは環境によって異なる場合があります)。------------------------------------------------------------------------
Please email us the below file :
C:\ManageEngine\UEMS_CentralServer\bin\encodedTFADisablingKey.txt
------------------------------------------------------------------------
127.0.0.1:8020 - 接続を受け付けています
127.0.0.1:8020 - 応答がありません
DB Connection stopped...※ なお、誤ったユーザー名/パスワード/ドメイン名(ADドメインの場合)を入力した場合、以下のように表示されます。
Invalid Username or Password or DomainStopping DB Connection. Please wait...
DB Connection stopped...
この場合、ユーザー名/パスワード/ドメイン名(ADドメインの場合)を確認し、手順5から再度やり直します。
- <UEMS_CentralServer>\bin フォルダーに生成された「encodedTFADisablingKey.txt」をお問い合わせに添付し、サポートに送信します。
- 完了後、送付されたファイル、および出力されたファイルを削除します。
- サポートからメールを受信したら、Patch Manager Plus がインストールされているコンピューターにアクセスします。
- スタート > Services.msc を起動し、Serverサービスを停止します。
- コマンドプロンプトを管理者として起動してcdコマンドを実行し、 UEMS_CentralServer\bin フォルダに移動します。
cd <Patch Manager Plus インストールフォルダ>\bin
(例) cd "C:\Program Files\UEMS_CentralServer\bin" - 次のコマンドを実行し、二段階認証を無効化します。
disableTFA.bat
- 「Enter the 2FA disable key : 」と表示されたら、受信したメールに記載されている Disabling Key を入力しエンターキーを押します。
- 「Administrator Username : 」と表示されたら、製品コンソール画面にログインする際に使用するユーザー名(製品内でAdministrator権限が必要)を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち以下のように「TFA permanently disabled successfully.」と表示されたことを確認します。
TFA permanently disabled successfully.
127.0.0.1:8020 - 接続を受け付けています
127.0.0.1:8020 - 応答がありません※ 一部のビルドにおいては「TFA temporarily disabled successfully.」が表示された後に何も表示されず、バッチが終了しないことが確認されています。その場合、「TFA temporarily disabled successfully.」を確認後 Ctrl + C 等でバッチを終了します。
※ なお、誤ったユーザー名/パスワード/ドメイン名(ADドメインの場合)を入力した場合、以下のように表示されます。Invalid Username or Password or DomainStopping DB Connection. Please wait...
DB Connection stopped...
この場合、ユーザー名/パスワード/ドメイン名(ADドメインの場合)を確認し、手順9から再度やり直します。
- スタート > Services.msc を起動し、Serverサービスを開始します。
- 開始完了まで数分程度待ち、Webブラウザーから製品ログイン画面にアクセスし、ログインを試行します。
Patch Manager Plus 10.1.2127.9 ~ Patch Manager Plus 10.1.2138.6 のビルド
(日本国内向けリリースビルド: Patch Manager Plus 10.1.2137.11)
コンソール画面上から Patch Manager Plus の二段階認証を無効化することはできませんが、以下の手順を実行することで 二段階認証を無効化できます。
なお、対応しないビルドにおいては、以下の手順は実行できません。
Google Authenticatorによる認証を無効化する場合
製品ユーザー/Administrator権限を持つ製品ユーザーが Google Authenticator にアクセスできない場合、Administrator権限をもつ他のユーザーに連絡して、以下の手順を実行するよう依頼します。
Administrator権限をもつユーザーがログインできない場合は、以下のメールによるワンタイムパスワード認証を無効化する場合を実行します。
- Patch Manager Plus コンソール画面に Administrator権限をもつユーザーとしてログインします。
- 管理タブ > グローバル設定 > ユーザー管理 > ユーザー > (当該ユーザーの) アクション列の三点リーダーアイコン > QRコードの再送 を選択します。
- QRコードが登録されたメールアドレスに送信されます。
メールによるワンタイムパスワード認証を無効化する場合
- Patch Manager Plus がインストールされているコンピューターにアクセスします。
- スタート > Services.msc を起動し、Serverサービスを停止します。
- コマンドプロンプトを管理者として起動してcdコマンドを実行し、 UEMS_CentralServer\bin フォルダに移動します。
cd <Patch Manager Plus インストールフォルダ>\bin
<Patch Manager Plus インストールフォルダ>のデフォルトのパスは"C:\Program Files\UEMS_CentralServer" "C:\Program Files\PatchManagerPlus_Server" "C:\ManageEngine\PatchManagerPlus_Server"のいずれかです。インストールしたときのビルドによって異なります。
(例) cd "C:\Program Files\UEMS_CentralServer\bin" - 次のコマンドを実行し、二段階認証を無効化します。
ExecuteQuery.bat disable2FA.xml
- 「Username : 」と表示されたら、Patch Manager Plus製品コンソール画面にログインする際に使用するユーザー名(製品内のAdministrator権限が必要)を入力しエンターキーを押します。
- 「Password : 」と表示されたら、そのユーザーのパスワードを入力します。
- 先ほど入力したユーザーがADユーザーの場合、「Domain(If AD User) : 」と表示されたらドメイン名を入力します。ローカル認証の場合、そのまま何も入力せずエンターキーを押します。
- しばらく待ち、「Executed the query successfully.」と表示されたことを確認します。
- スタート > Services.msc を起動し、Serverサービスを開始します。
- 開始完了まで数分程度待ち、Webブラウザーからログイン画面にアクセスし、ログインを試行します。
Patch Manager Plus 10.1.2119.9 ~ Patch Manager Plus 10.1.2119.17 のビルド
(日本国内向けリリースビルド: 10.1.2137.11へのへのアップグレード用の中間ビルド Patch Manager Plus 10.1.2119.9)
二段階認証が強制化されており、無効化することはできません。
Patch Manager Plus 10.0.745以前のビルド
(日本国内向けリリースビルド: 10.0.587, 10.0.642, 10.0.643, 10.0.644 ほか)
コンソール画面から二段階認証を無効化できます。
コンソール画面に Administrator権限をもつユーザーとしてログインし、 管理タブ > グローバル設定 > ユーザー管理 > セキュア認証 から 「無効化」 を選択して [保存] をクリックします。