差分

このページの2つのバージョン間の差分を表示します。

--- manual:authentication:faq [2023/09/04 08:21] – 外部編集 127.0.0.1
+++ manual:authentication:faq [Unknown date] (現在) – 削除 - 外部編集 (Unknown date) 127.0.0.1
@@ 行 1: / 行 1: @@
-{{indexmenu_n>010552}}
-====== FAQ ======
-**対象アカウントタイプ**
-{{:manual:ラベル_テナント管理者.png?nolink&150|}}
-{{:manual:ラベル_テナントユーザー.png?nolink&150|}}
-{{:manual:ラベル_ゲストユーザー.png?nolink&150|}}\\
-（現在開発中。まだ実装されていない機能です）\\
-認証に関して、問い合わせの頻度が高いものをピックアップします。\\
-===== 認証フローはどのようになっていますか？ =====
-本システムでは、「ユーザーにアクセスするための認証」と「テナントにアクセスするための認証」の2ステップの認証を設けています。\\
-多要素認証の設定により、それぞれ別のプロセスを踏むことになります。\\
-==== 多要素認証の無効 ====
-[[manual:authentication:mfa|多要素認証の設定]]が**無効**に設定されている場合は、こちらのプロセスを辿ります。\\
-{{:manual:authentication:mfaの無効_externalazuread.png|}}\\
-まず、「ユーザーにアクセスするための認証」により、そのユーザーが適切なユーザーであるか確認を行います。\\
-「ユーザーにアクセスするための認証」を通過できたユーザーは、テナントに登録されたユーザーであれば、適正ユーザーであると信頼し「テナントにアクセスするための認証」も許可を出します。\\
-{{:manual:authentication:認証フロー_mfa無効.png?900|}}
-==== 多要素認証の有効 ====
-[[manual:authentication:mfa|多要素認証の設定]]が**有効**に設定されている場合は、こちらのプロセスを辿ります。\\
-{{:manual:authentication:mfaの有効_externalazuread.png|}}\\
-まず、「ユーザーにアクセスするための認証」により、そのユーザーが適切なユーザーであるか確認を行います。\\
-つぎに、「テナントにアクセスするための認証」により、テナント内へのアクセスを行えるユーザーであるかをAuthenticatorによる認証で行います。\\
-{{:manual:authentication:認証フロー_mfa有効.png?900|}}
-===== ワンタイムパスワードを無効にしたい。 =====
-メールアドレスの種類によって、挙動が異なります。\\
-|< 100% 300px 180px >|
-^  メールアドレスの種類  ^  アカウントカテゴリー  ^  説明  ^
-|  Microsoftアカウントを持っていない  |  mail  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されていないメールアドレス\\  自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|AzureAD]]を利用した管理を行っていないメールアドレス|
-|  Microsoftアカウント  |  MicrosoftAccount  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されたメールアドレス |
-|  組織アカウント  |  ExternalAzureAD  | 自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|AzureAD]]を利用して管理されたメールアドレス|
-==== Microsoftアカウントを持っていない ====
-**Microsoftアカウントを持っていないユーザー**は、仕様上ワンタイムパスワードを**無効にすることはできません**。\\
-<WRAP left round tip 100%>
-**詳細：**\\
-Microsoftアカウントを持っていないユーザーは、[[manual:authentication:faq#認証フローはどのようになっていますか？|認証フロー]]の「ユーザーにアクセスするための認証」に**ワンタイムパスワード以外を選択する手段がありません**。\\
-そのため、仕様上ワンタイムパスワードを無効にすることはできません。
-</WRAP>
-==== Microsoftアカウント ====
-**Microsoftアカウント**は、[[https://account.microsoft.com/account?lang=ja-jp|Microsoftアカウントサービス]]内のセキュリティ設定で別の認証方法に設定することでワンタイムパスワードを無効にできます。\\
-設定については、[[https://account.microsoft.com/account?lang=ja-jp|Microsoftアカウントサービス]]内のヘルプを参照してください。
-==== 組織アカウント ====
-**組織アカウント**は、組織のAzureADのセキュリティ設定で別の認証方法に設定することでワンタイムパスワードを無効にできます。\\
-設定については、**自社の担当者**にご確認ください。
-===== （Authenticatorを使用した）多要素認証を有効にしたい。 =====
-[[manual:authentication:mfa|多要素認証の設定]]を**有効**に設定にしてください。\\
-{{:manual:authentication:mfaの設定有効.png|}}\\
-===== （Authenticatorを使用した）多要素認証を無効にしたい。 =====
-[[manual:authentication:mfa|多要素認証の設定]]を**無効**に設定にしてください。\\
-{{:manual:authentication:mfaの設定無効.png|}}\\
-<WRAP left round tip 100%>
-**Microsoftアカウントの場合：**\\
-[[manual:authentication:faq#認証フローはどのようになっていますか？|認証フロー]]の「ユーザーにアクセスするための認証」に**その他の認証方法**としてAuthenticatorによる認証を設定されている場合は、そちらのAuthenticatorによる認証は残ります。\\
-当システムでは、「ユーザーにアクセスするための認証」に関して、**お客様の判断に委ねております**。\\
-**お客様の判断**で、「ユーザーにアクセスするための認証」のAuthenticatorによる認証も不要と判断された場合は、[[https://account.microsoft.com/account?lang=ja-jp|Microsoftアカウントサービス]]内のヘルプを参照して、**ご自身で**別の認証方法に切り替えをお願いします。
-</WRAP>
-<WRAP left round tip 100%>
-**組織アカウントの場合：**\\
-[[manual:authentication:faq#認証フローはどのようになっていますか？|認証フロー]]の「ユーザーにアクセスするための認証」に**その他の認証方法**としてAuthenticatorによる認証を設定されている場合は、そちらのAuthenticatorによる認証は残ります。\\
-当システムでは、「ユーザーにアクセスするための認証」に関して、**お客様(自社)の判断に委ねております**。\\
-**お客様(自社)の判断**で、「ユーザーにアクセスするための認証」のAuthenticatorによる認証も不要と判断された場合は、**自社のご担当者**で別の認証方法に切り替えをお願いします。
-</WRAP>
-===== Authenticatorによる認証が2回届くのはなぜですか？。 =====
-[[manual:authentication:mfa|多要素認証が有効]]の場合、認証フローとして、「ユーザーにアクセスするための認証」と「テナントにアクセスするための認証」のそれぞれで認証を行うようになります。\\
-{{:manual:authentication:mfaの設定有効.png|}}\\
-{{:manual:authentication:認証フロー_mfa有効.png?900|}}\\
-「テナントにアクセスするための認証」ではAuthenticatorによる認証を行います。\\
-**Microsoftアカウント**もしくは**組織アカウント**の場合、**その他の認証方法**で**Authenticatorによる認証**を設定していると、「**ユーザーにアクセスするための認証**」も**Authenticatorによる認証**になります。\\
-そのため、「テナントにアクセスするための認証」と合わせて**2回の認証が届く**ことになります。\\
-===== Microsoftアカウントなのに、ワンタイムパスワードで認証が行われるのはなぜでしょうか？ =====
-==== ケース1 ====
-[[https://account.microsoft.com/account?lang=ja-jp|Microsoftアカウントサービス]]の設定でワンタイムパスワードを設定している場合、Microsoftアカウントであってもワンタイムパスワードでの認証になります。\\
-こちらの設定を変更しても、ワンタイムパスワードによる認証の場合は**ケース2**を参照してください。
-==== ケース2 ====
-お客様が初めて本システムにアクセスした際に、「Microsoftアカウントを持っていない 」に分類される状態であった可能性があります。\\
-この場合、「Microsoftアカウントを持っていない 」として認証を運用してください。
-|< 100% 300px 180px >|
-^  メールアドレスの種類  ^  アカウントカテゴリー  ^  説明  ^
-|  Microsoftアカウントを持っていない  |  mail  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されていないメールアドレス\\  自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|AzureAD]]を利用した管理を行っていないメールアドレス|
-|  Microsoftアカウント  |  MicrosoftAccount  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されたメールアドレス |
-<WRAP left round tip 100%>
-**ケースワーク：**\\
-初めてシステムを利用したときは「Microsoftアカウントを持っていない 」メールアドレスであったが、後から「Microsoftアカウント」にそのメールアドレスを登録した。
-</WRAP>
-===== 組織アカウントなのに、ワンタイムパスワードで認証が行われるのはなぜでしょうか？ =====
-==== ケース1 ====
-自社の設定でワンタイムパスワードを設定している場合、組織アカウントであってもワンタイムパスワードでの認証になります。\\
-こちらの設定を変更しても、ワンタイムパスワードによる認証の場合は**ケース2**を参照してください。
-==== ケース2 ====
-お客様が初めて本システムにアクセスした際に、「Microsoftアカウントを持っていない 」に分類される状態であった可能性があります。\\
-この場合、「Microsoftアカウントを持っていない 」として認証を運用してください。
-|< 100% 300px 180px >|
-^  メールアドレスの種類  ^  アカウントカテゴリー  ^  説明  ^
-|  Microsoftアカウントを持っていない  |  mail  | [[https://account.microsoft.com/account?lang=ja-jp|Microsoftが提供するアカウントサービス]]で登録されていないメールアドレス\\  自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|AzureAD]]を利用した管理を行っていないメールアドレス|
-|  組織アカウント  |  ExternalAzureAD  | 自社で[[https://azure.microsoft.com/ja-jp/products/active-directory/?ef_id=_k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&OCID=AIDcmmve823aza_SEM__k_CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE_k_&gad=1&gclid=CjwKCAjw44mlBhAQEiwAqP3eVt4jUuUWgUMHcyjQXK0sWsL5YmajWlQx9PH77riFuVXRu1_GE74aWhoCskoQAvD_BwE|AzureAD]]を利用して管理されたメールアドレス|
-<WRAP left round tip 100%>
-**ケースワーク：**\\
-初めてシステムを利用したときは「Microsoftアカウントを持っていない 」メールアドレスであったが、後から自社でAzureADを導入してそのメールアドレス管理するようになった。
-</WRAP>
-===== スマートフォンを替える場合 =====
-新機種と旧機種をご用意の上、[[https://jpazureid.github.io/blog/azure-active-directory/move-authenticator-to-new-phone/|こちら]]を参考に設定をしてください。