Boxの2段階ログイン認証 (2要素認証 (2FA) や多要素認証 (MFA) とも呼ばれます) を使用すると、コンテンツのセキュリティを強化し、企業のコンテンツを不正な外部アクセスからより確実に保護することができます。2段階ログイン認証は、以下を対象に有効化または無効化できます。
- 組織の管理対象ユーザー全員
- 組織の外部コラボレータ全員、あるいはドメインまたはメールアドレスに基づいた特定の外部コラボレータ
このトピックでは、管理対象ユーザーおよび外部コラボレータの2段階ログイン認証を構成する方法について説明します。
2段階認証で具体的な企業の要件を設定する際のオプションの詳細については、BoxサポートのEnterprise設定: [セキュリティ] タブを参照してください。
注
管理対象ユーザーの2FA/MFAの設定に対する変更は管理コンソールにおける「重要な操作」と見なされるため、セキュリティ上の理由により、この操作を行う管理者にもMFAが必要となります。
管理対象ユーザーの2段階ログイン認証を構成する
- [管理コンソール] > [Enterprise設定] > [セキュリティ] に移動します。
- [2段階ログイン認証] セクションで、[すべての管理対象ユーザーに未認証のログインに対する追加の認証を要求する] チェックボックスをオンにします。
- ページの上部で、[保存] をクリックします。
この設定を有効にして保存すると、既存の管理対象ユーザー全員にメール通知が送信されます。ユーザーは自分のアカウントにログインして2段階認証の設定を完了するように指示されます。 - MFAを使用して、この変更を認証します。
- すでにMFAに登録している場合は、選択したMFAの方法を使用して変更を認証する必要があります。
- どのMFAにも登録していない場合は、Boxからメールで認証コードが送信されます。認証にはこのコードを使用してください。
- 正しいコードを入力すると、構成やその他の変更が保存されます。コードが正しくない場合は、エラーメッセージが表示されます。
注
ログインの2段階認証を有効にした場合、ユーザーはウェブアプリから再ログインして、携帯電話との関連付けを設定する必要があります。最初にウェブアプリからアカウントにログインしていないと、モバイルデバイスからBoxにアクセスできません。
初回のログインに成功すると、そのブラウザがBoxに記憶されるため、同じブラウザから再度ログインする際に、2要素認証を求められることはありません。ブラウザのキャッシュとCookieをクリアした場合にのみ、再度2要素認証を求められます。
アカウントでシングルサインオン (SSO) が有効になっている場合、2段階ログイン認証はSSOプロバイダによって構成されるため、ここで有効にすることはできません。[管理コンソール] > [Enterprise設定] > [ユーザー設定] タブに移動して、シングルサインオン設定にアクセスします。
注
この設定を有効にして保存すると、既存の管理対象ユーザー全員にメール通知が送信されます。ユーザーは自分のアカウントにログインして2段階認証の設定を完了するように指示されます。
ユーザーが携帯電話を紛失した場合、またはその他の何らかの理由でユーザーがモバイルデバイスに送信された確認コードにアクセスできない場合は、このユーザーを2段階ログイン認証の対象から除外できます。除外されたユーザーは、Boxパスワードだけでログインできます。
外部コラボレータの2段階ログイン認証を構成する
2FAを有効にすると、外部コラボレータはBoxで2FAに登録しない限り企業の共有コンテンツにアクセスできなくなります。すでにBoxの2FAに登録している外部コラボレータや、SSOプロバイダを使用して自身のBoxアカウントにアクセスしているユーザーは、引き続き共有コンテンツにアクセスできます。
注
外部ユーザーの2FA/MFAの設定に対する変更は管理コンソールにおける「重要な操作」と見なされるため、セキュリティ上の理由により、この操作を行う管理者にもMFAが必要となります。
- [管理コンソール] > [Enterprise設定] > [セキュリティ] に移動します。
- [2段階ログイン認証] セクションの [外部ユーザー] で、[構成] をクリックします。
- [外部コラボレータ向けの2段階認証] ダイアログボックスで、2段階ログインをすべての外部コラボレータに対して無効にするか有効にするか、定義した一連の外部コラボレータに対して有効にするか、定義した一連の外部コラボレータを除いて有効にするかを選択します。2段階ログインを有効にした場合は、適用するタイミングも選択します。詳細については、Enterprise設定: [セキュリティ] タブの [2段階認証] セクションを参照してください。
- [保存] をクリックします。
- 管理コンソールでの重要な操作に多要素認証が必要で説明されている方法を使用して、MFAでこの変更を認証します。
- ページの上部で、[保存] をクリックします。
外部コラボレータ向け2FAの外部コラボレータへの影響
2FAが外部コラボレータにどのような影響を及ぼすかを把握しておくことが大切です。この表にまとめられているように、2FAを適用した場合の影響は、外部コラボレータごとに異なります。
外部コラボレータ | 影響 | 共有コンテンツへのアクセス方法 |
---|---|---|
Boxの2FAに登録済み | 必要な認証方法で登録している場合は共有コンテンツにアクセス可能 | 該当なし |
BoxへのログインにSSOを使用している | 共有コンテンツにアクセス可能 | 該当なし |
|
|
|
|
|
|
|
招待メールを受信したら、新しいBoxアカウントにサインアップしてコラボレーションへの招待を承認する
|
|
メール通知は、自分のアカウントに対して2FAまたはSSOを有効にしていないユーザーのみに送信されます。2FAをすでに有効にしているユーザーや、SSO対応のEIDまたはSSOが必要なEIDのユーザーには、2FAを設定するためのメール通知が送信されません。
外部コラボレータ向け2FAの管理対象ユーザーへの影響
注
外部コラボレータとコラボレーションしているコンテンツの所有者には、外部コラボレータが自分のアカウントで2FAを有効にしたときにコラボレーションを (再度) 承認したことについてメール通知が送信されます。
内部では、外部コラボレータ向けに2要素認証を有効にすると、2FAの設定がまだ保留中の状態ではない外部ユーザーとのファイルやフォルダのコラボレーションが無効になります。外部ユーザーが自分のアカウントで2FAを有効にすると、自動的に企業からのすべてのコラボレーションを再度承認することになります。その結果、コラボレーションするコンテンツの所有者に招待が承認されたことを通知するメールが送信されます。
また、企業が2FAを有効にした後に無効化すると、保留中の状態に移行されていたコラボレータは保留中のままとなり、30日以内に招待を承認しなければ期限切れになります。
コラボレーションする外部コラボレータの数によっては、コンテンツの所有者が大量のメールを受信する可能性があります。混乱を避けるためにこのポリシーの施行について連絡し、ポリシーの施行前に既存のコラボレーションを確認しておくことをお勧めします。