====== 2段階認証をユーザに使ってもらうための、手順とトラブル対応 ====== ユーザに2段階認証の登録をしてもらわなければ何にもなりませんね。といって全体で強制にすると使えない人も出てきてしまってフォローに困ります。それで段取りとしては **デフォルトは登録任意で、2段階認証の設定してもらったユーザを「強制」に移動する。** という流れで組織全体に導入していくとソフトランディングでき問題(クレーム)も少ないかと思います。それでは使ってもらうための手順と、導入後のトラブル対応について書いていきましょう。 \\ ===== 手順 ===== \\ ===1.2段階認証を強制にする組織部門を作成=== https://admin.google.com/ から ディレクトリ>組織部門>「組織部門の作成」で新しく組織部門を作ります。最初デフォルトだと何も組織部門は無く、サイト全体で1つです。この例では作る組織部門名はわかりやすく『2段階認証を強制』としています。組織部門はADでいうところのOUみたいなものですね。 {{:google-workspace:gws-2dankai-bumon-kyosei.png?600|}} \\ ===2.作った組織部門を強制に設定=== セキュリティ>認証>2段階認証プロセス を開きます。 前回しましたが、 組織全体は「ユーザーが 2 段階認証プロセスを有効にできるようにする」は有効。[適用]の項目を「強制しない」にしてあると思います。 今回作った 『2段階認証を強制』組織部門は[適用]の項目を『今すぐ強制』とします。これで準備OKです。 {{:google-workspace:gws-2dankai-bumon-kyosei2.png?600|}} \\ ===3.登録状況を確認=== レポート>ユーザーレポート>セキュリティ で「2段階認証プロセスの登録」が「登録済み」になったユーザーを確認します。ただこのレポートは反映されるのに1-2日かかるので急いでいるときはだめですね。 ディレクトリ>ユーザー で確認したいユーザをクリックして、「2 段階認証プロセス: オン」になっていれば登録済みです。強制のグループに移動しても大丈夫です。「2 段階認証プロセス: オフ」だとまだそのユーザは2段階認証の登録作業をされていません。 \\ ===4.登録できたユーザを移動=== ディレクトリ>ユーザー で、該当するユーザを選択。 「組織部門を変更」をクリックして『2段階認証を強制』組織部門に移動します。 \\ ===完了=== 2段階認証の導入、うまく導入できるといいですね。 \\ ===== トラブル対応===== ==== 2段階認証できずログインできなくなったら?==== 2段階認証に設定したスマホやSMSが使えなくなったり、そもそも2段階認証を設定していないが「強制」されてログインできなくなったらどうしたらいいでしょうか? Microsoft365だと、管理者で2段階認証用のSMSを代わりに登録してあげたり、スマホ登録を追加削除の支援ができますが、GWSにはありません。 対応としては2つ方法があります。コードを生成する方が、2度手間にならないのでおすすめです。 \\ === 方法1 管理者で、ユーザを2段階認証を強制しない部門に移動=== 2段階認証が必要なくなりパスワードだけでログインできます。 この間に、https://myaccount.google.com/ で2段階認証の手段を再登録すればOKです。その後あらためて強制する組織部門に移動してください。 ですから、組織全体に2段階認証は強制しないようにします。 この方法はユーザをあっちにこっちにと部門を移動しないといけないのでちょっと面倒です。 \\ === 方法2 管理者で、バックアップ確認コードを生成する=== 管理者でバックアップ確認コードを生成すると、2段階認証の代わりに、パスワード認証のあと、このコードを入れるとログインできます。ログインすると2段階認証の登録が求められますので、登録してください。再登録までワンストップで完了しますのでおすすめです。 バックアップ確認コードの生成は、オプションですのでデフォルトではこの手段は使えません。ユーザは管理者に申請してバックアップ確認コードを生成してもらいます。 管理者でコード生成\\ {{:google-workspace:gws-2dankai-backupcode.png?600|}} 生成していないときはここから進めずユーザは詰みますが\\ {{:google-workspace:gws-2dankai-mada.png?300|}} 生成するとコードを求められて進めるようになります\\ {{:google-workspace:gws-2dankai-mada-backupcode-seiseigo.png?300|}} ただこの確認コードは流出するとたいへんなので取り扱い注意です。使い終わったら再生成するなどして前のものは無効にしておくといいですね。 \\ ===まとめ=== いかがだったでしょう。楽しいGWS管理者ライフを!