MFA を有効にする方法、MFA を設定する方法 - Elastic Desktop Service

多要素認証 (MFA) は、認証プロセスの保護を一層強化します。MFA を設定すると、エンドユーザーはAlibaba Cloud Workspace 端末にログインする際に、ユーザー名、パスワード、および仮想 MFA デバイスから送信される動的コードを入力する必要があります。この Topic では、MFA の設定方法について説明します。

背景情報

MFA は、セキュリティを強化するためのシンプルで効果的な認証方式です。オフィスネットワークまたは組織 ID に対して MFA を有効にすると、エンドユーザーは Alibaba Cloud Workspace ターミナルにログインするたびに、2段階認証を行う必要があります。

第1レベル：正しいユーザー名とパスワードを入力します。
第2レベル：仮想 MFA デバイスによって生成された動的コード、またはメールで受信した認証コードを入力します。

説明

時間ベースのワンタイムパスワード (TOTP) は、広く使用されている多要素認証プロトコルです。TOTP をサポートする携帯電話やその他のデバイス上のアプリケーションは、仮想 MFA デバイスと呼ばれます。仮想 MFA デバイスの例として、Google Authenticator、Microsoft Authenticator などがあります。MFA が有効化されると、エンドユーザーは Alibaba Cloud Workspace ターミナルにログインする際に、仮想 MFA デバイスによって動的に生成される6桁のコードを入力する必要があります。これにより、パスワードの漏洩による不正アクセスを防ぐことができます。

Alibaba Cloud Workspace ターミナルは、ソフトウェアベースの仮想 MFA デバイスをサポートしています。Google Authenticator や Microsoft Authenticator などの TOTP ベースの仮想 MFA デバイスを携帯電話にインストールできます。

Elastic Desktop Service (EDS) Enterprise は、次の MFA 方式をサポートしています。

認証方式	適用ログイン方法	適用クライアントタイプ	適用アカウントタイプ
TOTP	組織 ID とオフィスネットワーク ID の両方によるログイン	すべて	すべて
メール認証コード	組織 ID によるログイン	Windows クライアントおよびmacOS クライアント (バージョン 7.6 以降) Android クライアントおよびiOS クライアント (バージョン 7.3 以降)	メールアドレスが設定されている簡便アカウントおよび Active Directory (AD) アカウント

オフィスネットワークの MFA の有効化

Elastic Desktop Service Enterprise コンソールにログインします。
左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [オフィスネットワーク] を選択します。
上部のナビゲーションバーで、リージョンを選択します。
[オフィスネットワーク] ページで、管理するオフィスネットワークを見つけ、そのオフィスネットワークの ID をクリックします。
[その他の情報] セクションで、[MFA] スイッチをオンにします。表示されるメッセージで [OK] をクリックします。
説明
[クライアントログイン検証] と [SSO] スイッチがオフになっていることを確認してください。

オフィスネットワークで MFA を有効にすると、エンドユーザーはこのオフィスネットワーク内の Alibaba Cloud Workspace ターミナルにログインする際に、動的な MFA コードを入力する必要があります。

組織 ID の MFA の有効化

Elastic Desktop Service Enterprise コンソールにログインします。
左側のナビゲーションウィンドウで、[ユーザー] > [ログイン設定] を選択します。
[ログイン設定] ページの [セキュリティ] タブで、[MFA] を [有効] に設定します。
確認ダイアログボックスで、認証方式を選択します。
1. TOTP
  Alibaba Cloud アプリまたは Google Authenticator などの他の一般的な OTP アプリを使用して、二要素認証を行います。
2. メール認証コード
  バージョン 7.6 以降のデスクトップクライアント、およびバージョン 7.3 以降のモバイルクライアントにのみ適用されます。簡便アカウントと AD アカウントの両方をサポートします。
  説明
  アカウントにメールアドレスが関連付けられていない場合、ユーザーは認証プロセスを完了できません。

組織 ID で MFA を有効にすると、組織 ID を使用するエンドユーザーは、Alibaba Cloud Workspace ターミナルにログインする際に、動的な MFA コードを入力する必要があります。

仮想 MFA デバイスの削除

EDS Enterprise コンソールで MFA スイッチをオンにすると、エンドユーザーは Alibaba Cloud Workspace ターミナルに初めてログインする際に、仮想 MFA デバイスを簡便アカウントにバインドする必要があります。エンドユーザーが仮想 MFA デバイスを変更する場合、EDS Enterprise コンソールで元のデバイスを削除する必要があります。仮想 MFA デバイスを削除した後、エンドユーザーは次に Alibaba Cloud Workspace ターミナルにログインする際に、新しいデバイスを簡便アカウントにバインドする必要があります。

簡易ユーザーの仮想 MFA デバイスの削除

左側のナビゲーションウィンドウで、[リソース] > [クラウドコンピューター] を選択します。
左側のナビゲーションウィンドウで、[ユーザー] > [ユーザー] を選択します。
[ユーザーと組織] ページの [ユーザー] タブで、管理するユーザーを見つけ、[アクション] 列の ⋮ アイコンをクリックし、[MFA デバイスの管理] をクリックします。
[MFA デバイスの管理] ダイアログボックスで、削除する MFA デバイスを見つけ、[操作] 列の [削除] をクリックします。表示されるメッセージで [OK] をクリックします。

エンタープライズ AD ユーザーの仮想 MFA デバイスの削除

オフィスネットワークからエンタープライズ AD ユーザーの仮想 MFA デバイスを削除

左側のナビゲーションウィンドウで、[リソース] > [クラウドコンピューター] を選択します。
上部のナビゲーションバーで、リージョンを選択します。
[クラウドコンピューター] ページで、目的のエンタープライズ AD ユーザーに割り当てられているクラウドコンピューターを見つけ、[操作] 列の ⋮ アイコンをクリックし、[MFA デバイスの管理] をクリックします。
[MFA デバイスの管理] パネルで、プロンプトに従って仮想 MFA デバイスを削除します。

説明

オフィスネットワークで MFA を有効にし、エンドユーザーが初めて Alibaba Cloud Workspace ターミナルにログインする際に仮想 MFA デバイスをエンタープライズ AD アカウントにバインドした場合、認証に10回連続で失敗すると、システムは仮想 MFA デバイスを1時間ロックします。仮想 MFA デバイスがロックされているときにエンドユーザーが Alibaba Cloud Workspace ターミナルにログインしたい場合は、UnlockVirtualMFADevice 操作を呼び出してデバイスのロックを解除するか、DeleteVirtualMFADevice 操作を呼び出してデバイスを削除し、エンドユーザーが他の仮想 MFA デバイスをエンタープライズ AD アカウントにバインドできるようにします。

組織 ID からエンタープライズ AD ユーザーの仮想 MFA デバイスを削除

左側のナビゲーションウィンドウで、[リソース] > [クラウドコンピューター] を選択します。
左側のナビゲーションウィンドウで、[ユーザー] > [ログイン設定] を選択します。
[ログイン設定] ページの [セキュリティ] タブで、管理する AD ドメインを見つけ、ドメイン名の右側にある [MFA デバイスの管理] をクリックします。
[MFA デバイスの管理] パネルで、プロンプトに従って仮想 MFA デバイスを削除します。