多要素認証 (MFA)
ハードウェアまたはソフトウェアトークンを使用して、多要素認証を実装できます。
ソフトウェアトークンの場合、ユーザーは Intercept X for Mobile の認証機能など、モバイルデバイスの認証アプリケーションを使用して、ユーザーポータルの QR コードをスキャンする必要があります。
警告
Sophos Authenticator は、2022年 7月 31日にサポートが終了します。
Intercept X for Mobile の認証機能や、Google Authenticator などの認証アプリに移行することをお勧めします。詳細は、別の認証アプリケーションへの移行を参照してください。
多要素認証 (MFA) の設定
MFA を設定して、ユーザポータルやリモートアクセス VPN などの特定のファイアウォールサービスにサインインするユーザーに適用することができます。この設定により、ユーザーがソフトウェアトークンまたはハードウェアトークンを使用できるかが決まります。
タイムステップ (パスコードが有効な期間) を設定することもできます。
詳細は、多要素認証 (MFA) の設定を参照してください。
発行されたトークン
トークンを手動で設定し、トークンを使用したユーザーのリストを表示できます。
シークレットを手動で設定する
シークレットを手動で設定するには、「トークンの追加 (ハードウェアトークン用)」をクリックして、設定を指定します。
MFA の設定で「次のサインインで OTP トークンを生成する」をオンにすると、ソフトウェアトークンのシークレットを使用できます。
ユーザーとトークンのタイプ
リストには、発行済みトークンとそのユーザーが次のように表示されます。
- ユーザーを指定せずに、手動で設定したトークン。後でユーザーを追加できます。
- ユーザーを指定し、手動で設定したトークン。例:
newuser
-
QR コードをスキャンしたユーザーと管理者。例:
admin
およびtestadministrator
注
他の管理者は、ステータスの変更や、デフォルトの管理者 (
admin
) のトークンの編集、削除を行うことはできません。デフォルトの管理者は、「管理 > デバイスのアクセス」で、アカウントの MFA をオンにできます。
アクション
- ユーザーが一時的にサインインできないようにするには、ステータスのオン/オフを切り替えます。
- リストに含まれるユーザーのパスコードを手動で生成するには、編集 をクリックします。コードを追加するには、追加 をクリックします。
-
認証アプリまたはハードウェアトークンの時間のオフセットを確認し、ファイアウォールと同期するには、次の手順を実行します。
時間のオフセットが同期されます。アプリとファイアウォールの間でトークンの時間を同期することで、時間のドリフトが修正されます。
注
API を使用して MFA の設定またはトークンをインポートする場合は、空白の <tokenid/>
属性を含める必要があります。
別のアプリに移行する場合、またはアカウントのアクセスを失った場合
ユーザーがハードウェアトークンを紛失した場合は、発行されたトークンを削除し、そのユーザー用の新しいトークンを追加します。
ユーザーを別の認証アプリに移行する場合、または、ユーザーがモバイルデバイスを紛失してアプリ内のアカウントにアクセスできなくなった場合は、次の手順を実行します。
- 「発行されたトークン」で、これらのユーザーを削除します。ファイアウォールによって再び QR コードが生成されます。
- ユーザーは、ユーザーポータルで QR コードを再度スキャンする必要があります。
詳細は、別の認証アプリケーションへの移行を参照してください。
その他のリソース