Workspace ONE Access で 2 要素認証に対して認証子アプリケーション認証方法を有効にして、ユーザーが VMware Workspace ONE Intelligent Hub アプリケーションまたは 2 要素認証を必要とするアプリケーションにログインするときに、2 番目の認証情報として時間ベースのワンタイム (TOTP) パスコードを入力するように要求することができます。

2 要素認証は、ログイン時に 2 つの異なる形式の ID を提示することを要求するセキュリティ拡張機能です。ユーザーは、デバイスにインストールされている認証子アプリケーションを使用して TOTP パスコードを生成し、このパスコードを最初の認証資格情報と一緒に使用してアプリケーションにログインします。ユーザーは、個人用または仕事用のモバイル デバイスで優先される認証子アプリケーションを利用して、TOTP パスコードを生成できます。デバイスは、管理対象または Workspace ONE UEM に登録されたデバイスである必要はありません。

Workspace ONE Access サービスで認証子アプリケーションの認証を有効にすると、5 分間の待機時間が設定されるまで、再試行期間にパスコード入力を何回まで失敗できるかを構成できます。デフォルトの構成では、5 分間で最大 5 回まで失敗できます。5 分間で 6 回失敗すると、ユーザー アカウントは次の 5 分間認証子アプリケーションで再度認証を行うことができなくなります。事前に定義された回数のパスコード入力の失敗の後に待機時間を実装することで、潜在的に有害なアクターからの保護を強化できます。待機時間の長さは、組織のセキュリティ要件に合わせて調整できます。

ログイン画面に表示されるカスタム メッセージを構成して、アプリケーションを登録する方法と、ユーザーがログインできない場合の対応方法を説明できます。

デフォルトのアクセス ポリシーまたはアプリケーション アクセス ポリシーで、認証の 2 番目の形式として認証子アプリケーション認証を要求するルールを構成します。

認証アプリは、iOS デバイスおよび Android デバイス用の Workspace ONE Intelligent Hub アプリケーションに組み込まれています。エンド ユーザーはプロファイル アイコンをタップして [アカウント] 画面を開き、[2 要素認証] をクリックして認証機能を設定できます。

エンド ユーザーは、Apple App Store または Google Play ストアから TOTP RFC 6238 アルゴリズムに基づいて構築された認証子アプリケーションをダウンロードすることもできます。また、TOTP パスコードを生成できるブラウザベースのパスワード マネージャを使用してログインすることもできます。

ユーザーが初めてログインするとき、最初の必要な認証情報を使用してログインすると、認証子アプリケーションを登録するように求められます。作成したカスタム登録メッセージが [認証子アプリケーションの登録] 画面に表示されます。登録するには、認証子アプリケーションに組み込まれているスキャナを使用して QR コードをスキャンし、認証子アプリケーションに表示される 6 桁のパスコードを入力します。QR コードのスキャンにカメラが使用できない場合は、認証子アプリケーションでシークレット コードを手動で入力して 6 桁のパスコードを取得するオプションを使用できます。ユーザーは、登録画面で [代わりにコードを使用] をクリックして、認証子アプリケーションに入力するシークレット コードを表示できます。Workspace ONE Access コンソールのユーザー アカウントには個人を識別する情報は保存されず、登録日のみが保存されます。

図 1. QR コードを使用した認証子アプリケーション画面の登録
認証子アプリケーション登録メッセージ、QR コード、デバイス パスコードのスクリーンショット

認証子アプリケーションを登録した後にログインすると、認証子アプリケーションによってデバイスに表示される 6 桁のパスコードを入力するように求められます。パスコードを入力する時間には制限があります(通常は 30 秒)。制限時間に達すると新しいパスコードが表示されます。

認証子アプリケーションの構成と組み込み ID プロバイダでの有効化

[手順]

  1. Workspace ONE Access コンソールの [統合] > [認証方法] ページで、[認証子アプリケーション] をクリックします。
  2. [構成] をクリックします。
    オプション 説明
    認証子アプリケーション認証を有効にする [認証子アプリケーション アダプタ認証] トグルを有効にします。
    許可されている再試行回数 ユーザーが間違ったパスコードを入力できる回数を入力します。この回数に達すると、ログインの試行が失敗となり、アクセスが拒否されます。

    設定できる値は 1 から 15 までです。

    デフォルトは 5 回です。
    再試行期間 ユーザーがロックアウトされる前にパスコードの入力を再試行できる時間を分単位で入力します。

    この再試行の値は 5 分から 60 分の間で設定できます。

    デフォルトは 5 分です。

    ロックアウト時間 再試行の値に達した後、ユーザーが再度ログインを試行できるようになるまでに待つ時間を分単位で入力します。

    このロックアウトの値は 5 分から 60 分の間で設定できます。

    デフォルトは 5 分です。
    登録用のカスタム テキストを入力します 何をインストールしてどのような操作を行うかを含む、ログインするまでの手順をユーザーに説明します。

    テキスト例。 

    認証子アプリケーションをデバイスにインストールし、この QR コードをスキャンします。認証子アプリケーションに表示されるワンタイム パスコードを入力します。
    回復用のカスタム テキストを入力します ユーザーが認証アプリからログインできない場合の操作を説明します。

    デフォルトのログイン シナリオでは、ユーザーは 5 分以内にパスコードの入力を 5 回再試行して 5 分間ロックアウトされ、その後に再試行できるようになります。

  3. [保存] をクリックします。
  4. [統合] > [ID プロバイダ] の順に移動して、組み込み ID プロバイダを選択します。
    1. [認証方法] セクションで [認証子アプリケーション] を選択します。
    2. [保存] をクリックします。

[次のステップ]

2 要素認証の 2 番目の認証方法として、認証子アプリケーションを使用するアクセス ポリシー ルールを作成します。認証ルール Workspace ONE Access デフォルトのアクセス ポリシーの追加を参照してください。

ユーザーの認証子アプリケーション登録のリセット

ユーザーから、認証子アプリケーションを使用して Workspace ONE Intelligent Hub アプリケーションまたは 2 要素認証を必要とする Hub カタログ内のアプリケーションにログインできないという連絡を受けた場合は、登録済みの認証子アプリケーションをコンソールからリセットする必要があります。[リセット] をクリックすると、登録済みの認証子アプリケーションが削除されます。ユーザーは、次回のログイン時に認証子アプリケーションを再登録するように求められます。

  1. Workspace ONE Access コンソールの [アカウント] > [ユーザー] ページで、リセットを要求しているユーザー名を選択します。
  2. [2 要素認証] タブの [認証子アプリケーション] セクションで、[リセット] をクリックします。
  3. 表示されるダイアログ ボックスで、[リセット] をクリックしてアクションを確認します。