多要素認証 (MFA)

ハードウェアまたはソフトウェアトークンを使用して、多要素認証を実装できます。

ソフトウェアトークンの場合、ユーザーは Intercept X for Mobile の認証機能など、モバイルデバイスの認証アプリケーションを使用して、ユーザーポータルの QR コードをスキャンする必要があります。

警告

Sophos Authenticator は、2022年 7月 31日にサポートが終了します。

Intercept X for Mobile の認証機能や、Google Authenticator などの認証アプリに移行することをお勧めします。詳細は、別の認証アプリケーションへの移行を参照してください。

多要素認証 (MFA) の設定

MFA を設定して、ユーザポータルやリモートアクセス VPN などの特定のファイアウォールサービスにサインインするユーザーに適用することができます。この設定により、ユーザーがソフトウェアトークンまたはハードウェアトークンを使用できるかが決まります。

タイムステップ (パスコードが有効な期間) を設定することもできます。

詳細は、多要素認証 (MFA) の設定を参照してください。

トークンを手動で設定し、トークンを使用したユーザーのリストを表示できます。

シークレットを手動で設定するには、「トークンの追加 (ハードウェアトークン用)」をクリックして、設定を指定します。

MFA の設定で「次のサインインで OTP トークンを生成する」をオンにすると、ソフトウェアトークンのシークレットを使用できます。

リストには、発行済みトークンとそのユーザーが次のように表示されます。

ユーザーを指定せずに、手動で設定したトークン。後でユーザーを追加できます。
ユーザーを指定し、手動で設定したトークン。例: newuser
QR コードをスキャンしたユーザーと管理者。例: admin および testadministrator

注

他の管理者は、ステータスの変更や、デフォルトの管理者 (admin) のトークンの編集、削除を行うことはできません。デフォルトの管理者は、「管理 > デバイスのアクセス」で、アカウントの MFA をオンにできます。

ユーザーが一時的にサインインできないようにするには、ステータスのオン/オフを切り替えます。
リストに含まれるユーザーのパスコードを手動で生成するには、編集をクリックします。コードを追加するには、追加をクリックします。
認証アプリまたはハードウェアトークンの時間のオフセットを確認し、ファイアウォールと同期するには、次の手順を実行します。
1. トークン時間のオフセットの同期 をクリックします。
2. 生成されたパスコードを入力し、「確認」をクリックします。
時間のオフセットが同期されます。アプリとファイアウォールの間でトークンの時間を同期することで、時間のドリフトが修正されます。

注

API を使用して MFA の設定またはトークンをインポートする場合は、空白の <tokenid/> 属性を含める必要があります。

ユーザーがハードウェアトークンを紛失した場合は、発行されたトークンを削除し、そのユーザー用の新しいトークンを追加します。

ユーザーを別の認証アプリに移行する場合、または、ユーザーがモバイルデバイスを紛失してアプリ内のアカウントにアクセスできなくなった場合は、次の手順を実行します。

その他のリソース