フォーム読み込み中
2023年12月15日(金)、Google Workspace Update Blogに
すべての管理者アカウントに対して 2 段階認証の強制を開始しました
というアナウンスがなされました。
2023 年 12 月の時点で、この変更は一部のお客様にすでに適用されています。ともあるので既に通知を受け取っていらっしゃるお客さまもいらっしゃるかもしれませんが発表内容(仕様の概要)は以下の通りです。
まもなく、2 段階認証プロセスは管理者アカウントに対して必須になります。
組織の情報の保護を強化するには、すべての管理者アカウントで 2 段階認証プロセスを有効にすることがまもなく必須となります。
適用は Enterprise エディションから開始し、2024 年中にすべての Google Workspace エディションに拡大される予定です。
Protect your business with 2-Step Verification - Google Workspace Admin Help
既に2段階認証を設定している方は影響ございませんが、みなさま管理者アカウントへの2段階認証の設定はお済みでしょうか?今回の通知を受けて対応方法の検討をする必要が出てしまった管理者様もおられるのではないかと思います。
今回の仕様変更に伴いドメインで強制が有効になるとすべての管理者は、次の 30 日間、アカウントにログインすると電子メールとアプリ内通知を受け取ります。この期間内に 2SV を有効にしないとロックアウトされ、次の手順に従って管理者アカウントを回復する必要があります。
と同ヘルプ記事では管理者アカウントがロックアウトされログインができなくなってしまうということが予告されています。
通知がいつ来るかも予告されておらず2024年中のどこかということになりますが、期限までに必ず2段階認証を設定するということが最低限必要な対応となります。
ところで、2段階認証を適用するとログイン自体できないという事故が発生することがあります。たとえば
というような今までにはなかったログインに関するトラブルが起きたりします。
しかも今回の対象は管理者アカウントです。ログインが必要な時にできないということは非常に困ります。本来であれば具体的運用も含めて慎重に方式を検討する必要があるのですがそんな時間的猶予もあまりありません。
特にサービスアカウント系(admin等必ずしも特定の個人に紐づくとは限らないアカウント)の扱いが困り物です。個人の端末を紐づけてしまいその方以外誰もログインできなくなってしまったというようなことが起こり得ます。とりあえず2段階認証は設定しないといけない、でも必要な時にログインできないのは困る。では、どの方式でやったら良いのでしょうか?
筆者なりの対策を紹介します。
注)
・本記事執筆時点の情報であり、改訂等により追加/変更となっている可能性があります。常に最新の情報を確認されることを強く推奨いたします。
・本記事記載の内容は執筆者の個人的な見解や調査結果であり、ソフトバンク株式会社の公式的な見解を示すものではありません。
2段階認証の方法としては以下の手段が提供されています。
2段階認証の方法としては以下の手段が提供されています。一部の方式は一度別の方式で2段階認証を設定しないと使うことができないものがあります。
それぞれメリットデメリットありますが、各方式の比較は拙記事をご参照ください。
暫定対応として筆者が推奨する一番シンプルな方法です。ログインしようとするとメールで数桁の数字が通知され、その番号を入力してくださいと言われる方式になります。
世の中でも広く採用されている方式ですのでお心当たりはあるのではないでしょうか?取り急ぎ2段階認証を何か設定しないといけない状況であれば、この方式が一番導入や運用の敷居が低いと考えています。まずはこの方式でロックアウトのリスクを回避したのち、改めてどの方式を採用するかを検討されるのが良いのではないかと思い今回ご紹介いたします。
1つの電話番号に紐付け可能なアカウントの数というのは上限があり、上限を超えるとそれ以上登録ができなくなってしまうようです。こちらは具体的に何件までというのは開示されておらず、セキュリティ上の理由で非開示とのことでした。複数のアカウントと紐づける必要がある場合にはご注意頂くとともに、別の手段(セキュリティキーまたはアプリ)のご利用を検討ください。
1環境のみ保有しておりユーザーと管理者で1つずつということであれば上限に当たる可能性は低いと思われますが、検証用アカウントなど複数のアカウントをを使用されている場合は終盤の方でエラーとなり登録できないということが起こる可能性がありますのでご注意ください。
執筆時現在において、残念ながら上限の引き上げは対応不可となっています。電話番号の紐付けを解除することで登録可能件数を回復できる可能性があるとのことですが、解除後再利用可能となる期間についても非公開となっているとのことでした。当該エラーが発生した場合、24時間程度おいてから再試行をしてみると登録できる場合もあるようです。
私は現在iPhoneを2台(メイン回線とサブ回線)とiPadとMacと複数の端末を所有しています。
ある日、作業のためGoogle Workspaceの管理コンソールへログインしようとしたところメイン回線の端末を自宅に忘れてしまい認証コードを受け取ることができずログインできない!というようなことがありました。当時は端末を忘れるというリスクを想定できておらず、他の認証方式の設定もしていませんでした。こうなってしまうと、残念ながらどうしようもなくなってしまいます。作業は諦めるかダッシュで自宅へ帰るしかありません。当然のことながら端末を忘れてログインできないから今日の作業は延期ですなんてことは言えるわけもなく、ダッシュで自宅へ帰りました。(泣
そのような場合に備えて複数の手段を用意しておくことが重要です。
そこで今回はその中でも複数のモバイルデバイスで認証コード(SMS)を受け取る方法をご紹介したいと思います。認証コードは他の2段階認証方式と比べてセキュリティ強度という面では弱いですが、現状でサポートされている方式であり運用の方式によっては十分な選択肢になり得ます。
実はあらかじめ設定をしておけば、異なる端末で受け取ることができます。このことを当時の私は知りませんでした。
私が実際に運用している方法として以下の2つのシナリオをご紹介いたします。
シナリオ1) 認証コードを転送する - iPhoneとiPad/Macの複数台持ちの方向け
シナリオ2) 認証コードの送信先を選択可能にする - 複数の携帯電話(SMSを受信可能な回線)を保有している方向け
どちらか一つでも良いと思いますが私は両方設定しています。
実は、Google Workspaceの機能ではないのですがApple製品を利用されている方であれば誰でも使うことができる機能です。
設定→メッセージ→SMS/MMS転送 → SMSを受け取りたいデバイスをオンにする ということで完了です。
この設定が終われば、以後は最悪自宅にiPhoneを忘れてもiPadやMacにも着信(転送される)ので認証コードを他の端末で受け取ることができます。この方法の難点は iPhoneへ受信後 他の端末へ転送 という動作となるようでしてiPhoneの電源をオフにしている場合は転送されませんでした。電源が入っており通信も可能な状態だが自宅に忘れてしまったという場合の保険には使うことができますが、故障してしまった場合は転送されないという点がデメリットとなります。
送信先のSMS通知先を選択できるようになります。万が一端末を忘れても他の保有端末を指定すれば良いですしシナリオ1と異なりメイン回線の状態に依存しません。故障時対策としても有用です。以後の説明はメインとなる回線の2段階認証設定が完了していることを前提としています。
次に手順を記載します。
と2段階の手順が必要です。 1のみ終えても通知は来ませんのでご注意ください。
以上で登録作業は完了です。複数台登録する場合は同じ作業を繰り返してください。
以下はIDとパスワードを入力した後の画面になります。
この方式の難点は、Google Workspace側で設定した最初の電話番号へ必ず通知が行ってしまうことです。
操作の順序として メインの携帯番号へ通知 → 別の方法を選択 → 他の番号を選択 → 別の番号へ認証コード着信
となるためログインまでのステップが若干多くなってしまうためメインで使われる電話番号へ優先的に送信されるように順序を変更いただくと良いと思います。変更方法は以下の通りです。
登録可能な上限数については公開されている情報もないのですが、手元の環境では5回線は登録できました。複数端末で運用されている方は、リスク軽減という意味で可能な限り登録をしておくことがおすすめです。
管理者アカウントへ2段階認証を設定してくださいというような通知が突然届くと非常に焦ってしまうと思います。その際、まずは慌てずに2段階認証を設定してロックアウトを回避いただけたらと思います。本記事が管理者の皆様のお役に立てば幸いです。最後まで読んでいただきありがとうございました。
Google Workspace は、あらゆる業務に合わせて、すべてのビジネス機能をそろえた統合ワークスペースです。お客さまのご利用に合わせたサポートとオプションをご用意しています。あらゆる働き方に対応する業務効率化を実現します。
ノーコードのアプリケーション開発プラットフォームサービスです。Google Workspace をはじめとする、さまざまなデータソースと接続し、コーディング不要で迅速なアプリケーション開発を可能にします。
IDaas(Identity as a Service)サービスであり、企業向けデバイス管理(EMM)サービスです。Cloud Identity を利用することで、管理者は Google 管理コンソールからユーザ、アプリケーション、デバイスを一元管理することができます。
条件に該当するページがございません