多要素認証 (MFA) の設定
ハードウェアまたはソフトウェアトークンを使用して、多要素認証を実装できます。
ワンタイムパスワード (OTP)
デフォルト設定は「OTP なし」 で、ユーザーの MFA は不要です。MFA を実装する場合は、次のいずれかのオプションを選択します。
- すべてのユーザー
- 特定のユーザーとグループ。「ユーザーとグループの追加」をクリックし、ユーザーとグループを選択して、「選択した項目を適用」をクリックします。
注
デフォルトの管理者の MFA をオンにするには、「管理 > デバイスのアクセス」に移動します。スクロールダウンして、「デフォルト管理者に対する MFA」をオンにして、「適用」をクリックしてください。
次のサインインで OTP トークンを生成する
次のいずれかの操作を実行できます。
-
オン: ユーザーは、パスコード生成用の認証アプリケーションが必要です。
VPN ポータルまたはユーザーポータルにサインインして、認証アプリで QR コードをスキャンする必要があります。QR コードは、指定したユーザーとグループにのみ表示されます。詳細は、OTP トークンを参照してください。
注
Active Directory (AD) などの外部認証サーバーを使用している場合、これらのユーザーを MFA のグループから除外するには、ユーザーが MFA を使用して一度サインインする必要があります。それ以降のサインインでは、OTP は不要です。
-
オフ: ユーザーは、組織が導入したハードウェアトークンを使用する必要があります。
「発行されたトークン」で、各ユーザーのトークンを手動で設定してください。
MFA が必要なサービス
「次のサインインで OTP トークンを生成する」をオンにすると、ユーザーポータルが自動的に選択され、ユーザーは QR コードをスキャンできるようになります。
「次の場合に MFA が必要」で、次のサービスから選択します。
-
ユーザーポータル: ユーザーと管理者は、ユーザーポータルで QR コードをスキャンできます。
注
ユーザーポータルの MFA をオンにすると、キャプティブポータルおよびクライアント認証エージェントにも MFA が適用されます。
-
VPN ポータルユーザーと管理者は、VPN ポータルで QR コードをスキャンできます。
- Web 管理コンソール管理者は、Web 管理コンソールでも QR コードをスキャンできます。
- SSL VPN リモートアクセス
- IPsec リモートアクセス
ヒント
リモートアクセス VPN 接続を確立するには、まず VPN ポータルで QR コードをスキャンする必要があります。
注
現在、リモートアクセス VPN 用の Sophos Connect クライアントは、OTP チャレンジをサポートしておらず、パスワードと OTP の詳細を passwordotp 形式で認証サーバーに送信します。そのため、認証サーバーは、ユーザーに OTP チャレンジを送信したときに OTP のみを受信することはなく、認証は行われません。
Sophos Connect クライアントは、コールおよびプッシュベースの MFA をサポートしています。ユーザーポータルおよび Web 管理コンソールは、この MFA とチャレンジベースの MFA をサポートしています。
OTP のタイムステップの設定
(オプション) 「OTP のタイムステップの設定」をクリックし、次の設定を行います。
| 設定 | 説明 |
|---|---|
| デフォルトのトークンタイムステップ | 認証アプリまたはハードウェアトークンが新しいパスコードを生成する間隔。 アプリまたはハードウェアトークンが使用する間隔を入力する必要があります。 デフォルト: 30秒 |
| 検証コードの最大オフセット | パスコードが有効なタイムスステップ数。 たとえば、オフセット値が 2 でタイムステップが 30 秒の場合、ユーザーは直前の 60秒間の未使用のパスコードを入力できます。 デフォルト: 2 |
| 初期検証コードの最大オフセット | ユーザーが QR コードをスキャンした後、最初のパスコードが有効なタイムステップ数。 たとえば、初期オフセット値が 10 でタイムステップが 30秒の場合、生成された最初のパスコードは、300秒間有効です (まだ使用されていない場合)。 デフォルト: 10 |