Boxの多要素認証 (MFA、2要素認証 (2FA) とも呼ばれます) を使用すると、コンテンツのセキュリティを強化し、企業のコンテンツを不正な外部アクセスからより確実に保護することができます。 多要素認証の場合、ユーザーは、Boxにログインする際、定期的に複数の方法で認証を行う必要があります。 多要素認証は、以下を対象に有効化または無効化できます。
- 組織の管理対象ユーザー全員
- 組織の外部コラボレータ全員、あるいはドメインまたはメールアドレスに基づいた特定の外部コラボレータ
このトピックでは、管理対象ユーザーおよび外部コラボレータの多要素認証を構成する方法について説明します。
注
管理対象ユーザーの多要素認証の設定に対する変更は管理コンソールにおける「重要な操作」と見なされます。 セキュリティ上の理由により、この操作は管理者に制限されます。管理者は、自身のMFAを完了して続行する必要があります。 共同管理者は、これらの設定への読み取り専用アクセスに限定されています。
管理対象ユーザーの多要素認証を構成する
- [管理コンソール] > [Enterprise設定] > [セキュリティ] に移動します。
- [多要素認証] セクションで、[すべての管理対象ユーザーに対して多要素認証を要求する] を有効にします。 SSO必須モードが有効になっている場合、この設定は表示されません。
- [認証方法] と [認証頻度] を設定します。 詳細については、Enterprise設定: [セキュリティ] タブの多要素認証セクションを参照してください。
- [保存] を選択します。
この設定を有効にして保存すると、SSOが有効モードになっていて、ユーザーのMFAが有効になっていない場合は、既存の管理対象ユーザーにメール通知が送信されます。 これにより、ユーザーは自分のアカウントにログインして多要素認証の設定を完了するよう促されます。 - MFAを使用して、この変更を認証します。
- すでにMFAに登録している場合は、選択したMFAの方法を使用して変更を認証する必要があります。
- どのMFAにも登録していない場合は、Boxからメールで認証コードが送信されます。 認証にはこのコードを使用してください。
- 正しいコードを入力すると、構成やその他の変更が保存されます。 コードが正しくない場合は、エラーメッセージが表示されます。
注
ログインの多要素認証を有効にした場合、ユーザーはBoxウェブアプリから再ログインして、携帯電話との関連付けを設定する必要があります。 最初にBoxウェブアプリからアカウントにログインしていないと、モバイルデバイスからBoxにアクセスできません。
初回のログインに成功すると、そのブラウザがBoxに記憶されるため、定義した認証頻度を超えない限り、同じブラウザから再度ログインする際に多要素認証を求められることはありません。 ブラウザのキャッシュとCookieをクリアした場合にのみ、再度多要素認証を求められます。
アカウントでシングルサインオン (SSO) が必須モードで有効になっている場合、多要素認証はSSOプロバイダによって構成されるため、ここで有効にすることはできません。 [管理コンソール] > [Enterprise設定] > [ユーザー設定] タブに移動して、シングルサインオン設定にアクセスします。 SSOが有効モードで設定されている場合でも、MFAは引き続き利用できます。 詳細については、組織のシングルサインオン (SSO) の設定を参照してください。
注
この設定を有効にして保存すると、既存の管理対象ユーザー全員にメール通知が送信されます。ユーザーは自分のアカウントにログインして多要素認証の設定を完了するように指示されます。
ユーザーが携帯電話を紛失した場合、またはその他の何らかの理由でユーザーがモバイルデバイスに送信された確認コードにアクセスできない場合は、このユーザーを多要素認証の対象から除外できます。 除外されたユーザーは、Boxパスワードだけでログインできます。
外部コラボレータの2段階ログイン認証を構成する
2FAを有効にすると、外部コラボレータはBoxで2FAに登録しない限り企業の共有コンテンツにアクセスできなくなります。 すでにBoxの2FAに登録している外部コラボレータや、SSOプロバイダを使用して自身のBoxアカウントにアクセスしているユーザーは、引き続き共有コンテンツにアクセスできます。
注
管理対象ユーザーの多要素認証の設定に対する変更は管理コンソールにおける「重要な操作」と見なされます。 セキュリティ上の理由により、この操作は管理者に制限されます。管理者は、自身のMFAを完了して続行する必要があります。 共同管理者は、これらの設定への読み取り専用アクセスに限定されています。
- [管理コンソール] > [Enterprise設定] > [セキュリティ] に移動します。
- [多要素認証] セクションの [外部ユーザー] で、[構成] または [構成の編集] を選択します。
- [外部コラボレータ向けの2段階認証] ダイアログボックスで、2段階ログインをすべての外部コラボレータに対して無効にするか有効にするか、定義した一連の外部コラボレータに対して有効にするか、定義した一連の外部コラボレータを除いて有効にするかを選択します。 2段階ログインを有効にした場合は、適用するタイミングを選択します。 詳細については、Enterprise設定: [セキュリティ] タブの外部コラボレータセクションを参照してください。
- [保存] をクリックします。
- 管理コンソールでの重要な操作に多要素認証が必要で説明されている方法を使用して、MFAでこの変更を認証します。
- ページの上部で、[保存] をクリックします。
外部コラボレータ向け2FAの外部コラボレータへの影響
2FAが外部コラボレータにどのような影響を及ぼすかを把握しておくことが大切です。 この表にまとめられているように、2FAを適用した場合の影響は、外部コラボレータごとに異なります。
| 外部コラボレータ | 影響 | 共有コンテンツへのアクセス方法 |
|---|---|---|
| Boxの2FAに登録済み | 必要な認証方法で登録している場合は共有コンテンツにアクセス可能 | 該当なし |
| BoxへのログインにSSOを使用している | 共有コンテンツにアクセス可能 | 該当なし |
|
|
|
|
|
|
|
招待メールを受信したら、新しいBoxアカウントにサインアップしてコラボレーションへの招待を承認する
|
|
外部コラボレータ向けに2FAを設定した場合のメール通知
メール通知は、以下の場合に送信されます。
以下のユーザーには、メール通知が送信されません。
- SSOが必要なEIDのユーザー
- 2FAをすでに有効にしているユーザー
外部コラボレータ向け2FAの管理対象ユーザーへの影響
外部コラボレータとコラボレーションしているコンテンツの所有者には、外部コラボレータが自分のアカウントで2FAを有効にしたときにコラボレーションを承認したことについてメール通知が送信されます。 これは、SSOが有効モードの場合にのみ該当します。必須モードでSSOプロバイダを使用している外部コラボレータは、引き続き共有コンテンツにアクセスできるためです。
内部では、外部コラボレータ向けに2要素認証を有効にすると、2FAの設定がまだ保留中の状態ではない外部ユーザーとのファイルやフォルダのコラボレーションが無効になります。 外部ユーザーが自分のアカウントで2FAを有効にすると、自動的に企業からのすべてのコラボレーションを再度承認することになります。その結果、コラボレーションするコンテンツの所有者に招待が承認されたことを通知するメールが送信されます。
企業が2FAを有効にした後に無効化すると、保留中の状態に移行されていたコラボレータは保留中のままとなり、30日以内に招待を承認しなければ期限切れになります。
コラボレーションする外部コラボレータの数によっては、コンテンツの所有者が大量のメールを受信する可能性があります。 混乱を避けるためにこのポリシーの施行について連絡し、ポリシーの施行前に既存のコラボレーションを確認しておくことをお勧めします。