お世話になっております。ソフト技研のなんでも屋 @watahani です。
最近 Google が 自社開発のセキュリティーキーを出したニュースが掲載されたこともあり、 G Suite をご利用いただいているお客様から U2F を利用した2段階認証がしたいとお問い合わせをいただくことが多くなっています。
G Suiteでの 2段階認証
G Suite では ログイン時のセキュリティを高めるために、2段階認証を設定することができます。ID/パスワードの入力後、SMS, Google Authenticator, Android へのプッシュ通知等での2段階認証を設定可能です。
U2Fのキー、つまり YubiKey なども以前から利用可能でしたが、必ず YubiKey を利用するというオプションは G Suite Enterprise のみの特別な機能でした。(※随分前からフォーラムに要望は出されていましたが…)
しかし、ついに今年の3月に 2段階認証に必ず U2Fキーを利用するオプションが、すべての G Suite プランに拡大されました※。
これによりG Suite Basic, Business ユーザーでも企業ユースな高度なアクセス管理が必要な環境下で、YubiKey を利用した2段階認証を強制することができるようになっています。
そこで、今回は YubiKey を利用した G Suite の2段階認証の設定方法を、スクリーンキャプチャを交えてご紹介していきたいと思います。
管理者側の設定
2段階認証に U2F デバイスを強制するには、G Suite の Admin 権限が必要です。
まずは G Suite 管理コンソール にアクセスし、セキュリティを選択します。
基本設定を開きます。
2段階認証プロセスが有効になっていない場合、先にONにする必要があります。チェックをつけて保存をクリックしてください。
2段階認証を有効にしたのち、「2段階認証プロセスを適用するには、詳細設定にアクセスしてください」をクリックして、2段階認証の詳細に移動します。
管理者自身も含む組織に適用する場合、管理者にセキュリティキーが登録されている必要があります。その場合、Google アカウント管理ページより 新しいキーを登録してください。(方法については後述)
デフォルトでは管理者を含む組織全体に適用されます。
組織の一部に適用する場合は、あらかじめグループを作成してから画面左のグループのフィルタから、適用するグループを選択します。
適用する対象を決めたら、実際に2段階認証を設定していきます。
まずは「実施」オプションで、適用する日付を決定します。
これは各ユーザー自身が、2段階認証要素を登録する移行期間を設定するためのオプションです。
今回は、「指定した日付から適用を有効にする」を選択します。
また新しいユーザーの登録期間は1か月に設定しました。
次に使用できる2段階認証プロセスをセキュリティキーのみに制限します。これにより、セキュリティ強度のより高い U2F 認証を利用した YubiKey などのデバイスでログインすることを強制させることができます。
最後に、2段階認証プロセスの実施頻度のオプションを設定します。これはログインしたPC・ブラウザーを記録して、次回以降は2段階認証プロセスを実施しないというオプションです。
今回はログインのたびにセキュリティキーを求めるオプションを選択します。
※このオプション、一度「実施」オプションで「今すぐ適用を有効にする」を選択してからでないと、選択ができませんでした。バグでしょうか…?
すべての設定が終わったら保存をクリックして設定を反映させます。
ユーザーの設定
次に各ユーザーが独自で2段階認証を有効にする方法です。
ユーザーアカウントでログイン後 Google アカウント管理ページ にアクセスします。
ログインとセキュリティ
2段階認証プロセスをクリックします。
すると2段階認証プロセスが開始されます。
セキュリティキーの登録作業がスタートするので、次へをクリックします。
管理者の2段階認証プロセス設定で、セキュリティキー以外を許可している場合は、電話番号認証画面が表示されます。その場合でもオプションからセキュリティキーを選択することで、セキュリティキーの登録が可能です。
次に進むとキーの挿入が求められます。ここで、YubiKey を PC に挿し込むと YubiKeyのタッチ部分が点滅します。
YubiKeyにタッチをすると、登録が完了します。必要であれば、セキュリティキーの名前を設定します。以下のような確認が現れた場合は「許可」をクリックします。
登録が完了すると、キーの名前の入力を求められます。複数本登録する際は、見分けがつく名前にしたほうがよいでしょう。
ログイン時の操作
以上で設定は終了です。一度、G Suiteをログアウトして、ログインしなおします。
すると、以下のような2段階認証プロセスが表示されます。
YubiKey をPCに挿入するとタッチ部分が点滅します。タッチすればログイン完了です!
セキュリティキーの管理
セキュリティキーの管理は、 Google アカウント管理ページ>ログインとセキュリティ>2段階認証 から管理できます。
追加時や紛失時はこちらからキーの追加・削除を行ってください。
当然セキュリティーキーを1本しかもっていないユーザーが紛失した場合には、管理者による復旧が必要となります。
そういった場合には G Suite の管理者が ユーザー詳細ページよりセキュリティキーの追加や削除を行えます。
また緊急ログインが必要な場合に備え、バックアップコードを取得することも可能です。※
※バックアップキーを利用の場合、使用できる2段階認証方式を「制限なし」にする必要があります。
表示されたコードをログインしたい人に伝えることで、1度のみログインすることが可能になります。
最後に
このように G Suite へのログインに YubiKey を使うことで、非常に強力な2段階認証をユーザーに強制することができます。YubiKey を利用した2段階認証の効果としては、 セキュリティキーの導入後フィッシング被害がゼロになったという発表 や、 Yubico Blog によれば管理コスト・利便性でのメリットが報告されています。
また弊社では、YubiKeyを利用した PC ログイン製品も開発しております。2段階認証の導入を検討しているが、何を対象にすればよいのかわからない、PC ログインにも2段階認証を導入したい、とお考えでしたら、ぜひお問い合わせページよりご連絡ください。