多要素認証
Sophos Central 管理者は、多要素認証によるサインインが必要です。
多要素認証 (MFA) が指定されると、各管理者は、ユーザー名とパスワードに加え、別の認証方法を使用することが必要になります。Sophos Central は、管理者がはじめてサインインしたときに、MFA の設定を支援します。
管理者は、Authy、MS Authenticator、Google Authenticator などのタイムベースのワンタイムパスワード (TOTP) アプリを 第二認証要素として使用できます。SMS テキストまたはメールは、第二認証要素方式としても利用できます。
第二認証要素として TOTP を使用することを強くお勧めします。SMS テキストやメールはセキュリティの脆弱性とフィッシングの影響を受けやすいため、TOTP の使用を推奨します。
注
Sophos Central ト評価版アカウントでは、SMS は認証方法として使用できません。
このページでは、次の操作方法について説明しています。
- 多要素認証を使用した初回のサインイン。
- 多要素認証用の別の方法の追加。
- TOTP 認証アプリでサインインします。
- メール認証を使用したサインイン。
- スマートフォンを紛失した場合など、管理者のサインイン情報のリセット。
多要素認証を使用した初回のサインイン
はじめて多要素認証を使用してサインインするには、次の手順を実行します。
-
サインイン画面で、ユーザー ID (メールアドレス) およびパスワードを入力します。
「ログイン情報の設定」ダイアログで、追加の認証方法が必要であることが表示されます。
-
次に表示されるダイアログで、次の手順を実行します。
- 送信されたメールにあるセキュリティコードを入力します。
- 6桁の PIN を作成します。これによって、メールを認証方法として使用できるようになります。
-
次に表示されるダイアログで、認証の種類を選択します。
テキストメッセージを使用する場合は、先頭の 0 を省いて携帯電話番号を入力してください。
-
「デバイスを確認する」で QR コードを読み取って、TOTP 認証アプリに表示されるセキュリティコードを入力します。
認証の種類として SMS メッセージを選択した場合は、セキュリティコードを入力してデバイスを確認する必要もあります。
Sophos Central Admin が開きます。
次回サインインするときは、メッセージが表示されたら、TOTP 認証アプリからコードを入力するだけです。
多要素認証用の別の認証オプションの追加
Sophos Central Admin アカウントに対して、複数の認証オプションを設定できます。
TOTP 認証アプリまたは SMS で認証できます。
認証オプションを既に設定済みである必要があります。
別の認証オプションを設定するには、次の手順を実行します。
- Sophos Central Admin にサインインします。
- アカウント名をクリックして、「ログイン設定の管理」をクリックします。
- 「新しい方法の作成...」をクリックします。
-
別の認証方法を選択します。
テキストメッセージを使用する場合は、先頭の 0 を省いて携帯電話番号を入力してください。
-
「次へ」をクリックします。
- 「デバイスを確認する」で QR コードを読み取って、TOTP 認証アプリに表示されるセキュリティコードを入力します。
- 新しい方法が追加されたことを確認するには、アカウント名をクリックし、「ログイン設定の管理」をクリックします。これで、別の認証方法が追加されました。
注
MFA 方法を変更する場合は、続行する前にセキュリティコードの入力を求められます。認証の種類によっては、テキストメッセージでセキュリティコードを受け取ることがあります。または、モバイルデバイスの認証アプリを使用してセキュリティコードを生成する必要があります。詳細は、ユーザー情報を参照してください。
TOTP 認証アプリを使用してサインインする
Authy、Google Authenticator、MS Authenticator などの TOTP 認証アプリを使用して Central Admin にサインインする方法について説明します。
使用するアカウントは、多要素認証に登録されている必要があります。
サインインするには、次の手順を実行します。
これでサインインできました。
メール認証を使用したサインイン
メールではなく、TOTP を第二認証要素として使用することを強くお勧めします。メールはセキュリティ上の脆弱性があり、フィッシングの影響を受けやすいため、メールよりも TOTP が推奨されます。
TOTP 認証アプリまたは SMS テキストを使用できない場合は、代わりにメール認証でサインインできます。
- サインイン画面で、ユーザー ID (メールアドレス) およびパスワードを入力します。
- 「ログインの確認」で、「他の方法を選択」をクリックします。
- 「チャレンジの選択」で、メールオプションを選択します。メールが送信されます。5分以内に届かない場合、メールに含まれているセキュリティコードは無効になります。新たにコードをリクエストするには、「ログインの確認」ページを更新するか、「チャレンジの選択」ページに戻ってメールオプションを再度クリックします。
- メールを開いて、セキュリティコードを参照します。
- 「ログインの確認」で、セキュリティコードと 6桁の PIN を入力します。
以後サインインするときは、 TOTP 認証アプリの使用に切り替えるまで、セキュリティコードと PIN の入力が必要となります。
管理者のサインイン情報のリセット
管理者がスマートフォンを新しくしたり、紛失したりした場合、スーパー管理者は、管理者が再度サインインをセットアップすることを許可できます。
注
この機能を使用するには、スーパー管理者の権限が必要です。
- 「ユーザーとグループ」ページの「ユーザー」で、該当する管理者を参照し、名前をクリックして詳細を開きます。
- 画面の左側にあるユーザーの詳細で、多要素認証の状態と設定が表示されます。「リセット」をクリックして、リセットを行うことを確認します。
管理者は、次回サインインする際、サインインのセットアップの手順を再実行する必要があります。
多要素認証のロックアウトポリシー
Sophos Central は誤った MFA に対するロックアウトポリシーを適用しています。最初のロックアウトは 1分間続きます。誤ったパスワードでサインインしようとするごとに、ロックアウト時間は毎回長くなり、最終的に 5時間になります。
管理者のアカウントがロックされた際には、管理者の MFA 設定をリセットするか、ソフォスサポートにお問い合わせください。詳細は、ソフォスサポートを参照してください。