YubiOn Portalガイド > YubiOn Portalの導入 > 大規模導入

大規模導入

本導入手順は、管理者が各PCにキッティングやActive Directoryなどでソフトウェアをインストールを行い、YubiOn Portalサイトで利用するために必要な情報を一括登録する手順となります。大規模導入では、端末台数が一台から数百台程度の導入を想定しています。必ず注意事項をお読みいただき、導入を進めてください。

1. ご注意

必ず動作環境をご確認の上、導入を進めてください。
使用可能なYubiKeyに関してはこちらをご確認ください。
端末のセットアップにはWindowsの管理者権限が必要です。
YubiKeyのSlot1への設定変更はしないでください。
YubiKeyにはワンタイムパスワード(OTP)やチャレンジレスポンス(オフライン認証で使用)などの機能が設定可能なSlotが2つあります。
- Slot1: 初期状態はYubico OTPが設定済み
  Slot1の情報を変更すると、YubiOn Portalでのご利用ができなくなります。
- Slot2: 初期状態は未設定
  オフライン認証を使用する場合はSlot2にチャレンジレスポンス設定が必要です。
端末のオフライン認証を有効化するには事前準備が必要になります。
利用者にYubiKeyを配布する前に、YubiKeyオフライン設定を参考にYubiKeyの設定を行ってください。
端末識別IDについて
YubiOn Portalでは端末識別IDとしてSIDまたはUUIDを使用しています。
各OSにおけるデフォルト識別IDは以下です。
- Windows: SID
- macOS: UUID
※PCのキッティングなどが原因でWindowsのSIDが重複しているような場合は、YubiOn Portalでご利用ができなくなります。 SIDが重複してご利用できない場合は、弊社までお問い合わせください。

2. 導入フロー

ポータル登録

[管理者操作] YubiOn Portalに登録します。登録後、有料プラン(Premium)を購入します。

ソフトウェア配布

[管理者操作] キッティングやActive Directoryなどを通してソフトウェアを各端末にインストールします。

一括登録

[管理者操作] 利用者の情報をCSVで一括登録します。

サービス設定

[管理者操作] 二要素認証のサービス設定を行います。

端末自動セットアップ

[利用者操作] 利用者が端末にログオンすることで、自動セットアップが完了します。

運用開始

3. YubiOn Portal登録

既に登録がお済みの方はこの手順をスキップしてください。

3-1. 新規登録

YubiOn Portal登録ページよりお客様情報の登録を行います。

ご注意

YubiOn Portalに最初に登録した者が組織の担当者(代表者)になります。

新規登録時に登録承認のメールが送信されます。
承認リンクをクリックします。登録承認メール

3-2. 初回ログイン

ログイン画面より、登録した「メールアドレス」「パスワード」でログインします。
YubiOn Portalログイン画面

正しいメールアドレスとパスワードを入力すると、YubiOn Portalにログインできます。

カスタマーログインについて

YubiOn Portalに最初に登録した組織の担当者がパスワードのみでログインするためのものです。
担当者にYubiKeyを設定すると、以降は二要素認証のログインフォームが表示されます。
※担当者に設定しているYubiKeyの割り当てを全て解除すると、カスタマーログインフォームが表示されます。

初回ログイン時はかんたん設定画面が表示されます。初回ログイン画面（かんたん設定画面）

4. かんたん設定

既にかんたん設定がお済みの方はこの手順をスキップしてください。かんたん設定画面

4-1. YubiKeyの登録

ログイン用のYubiKeyを設定します。次回以降YubiOn Portalへのログイン時に、ここで設定したYubiKeyが必要となります。

4-2. 設定の選択

本手順では操作者自身の端末に設定はしないので、「あなたの端末の設定は行わずに、組織内のメンバー登録画面に遷移します。」をクリックします。

情報

一度この設定をスキップすると、次回ログイン時からかんたん設定は表示されません。

5. 有料プランへの切り替え

既に有料プランをご利用のお客様はこの手順をスキップしてください。

有料プランの購入について

導入手順は有料プラン(Premium)機能のご利用を前提に説明しています。
ご利用の際は有料プラン(Premium)の購入をお願いします。

以降は有料プランの利用を前提に説明しています。

6. セットアップ

管理者が各端末にセットアップを行う手順を説明します。
端末に二要素認証を設定するには、Windowsログオンサービスのアプリケーション（以下クライアントツール）をインストールする必要があります。

ご利用前に
ソフトウェアインストール前に必ず動作環境をご確認の上、ご利用ください。
インストールにはWindowsの管理者権限が必要です。

6-1. ソフトウェアダウンロード

各端末にインストールするソフトウェアをダウンロードします。

画面左側のメニューから「端末」アイコンをクリックし、「ダウンロード」をクリックします。
「ダウンロード」ボタンをクリックします。「WlsInstaller_x64.msi」または「WlsInstaller_x86.msi」がダウンロードされます。
任意の場所に保存してください。

情報

ダウンロードに関して
お使いの端末に合わせて32bitまたは64bitダウンロードボタンが表示されます。
別アーキテクチャ向けのソフトウェアをインストールする場合
1. 「別のアーキテクチャ向けのツールをダウンロード」をクリックします。
2. ソフトウェアをダウンロードします。

6-2. ソフトウェアインストール

YubiOn Portalにはソフトウェアを自動配布する機能はございません。下記のいずれかの方法にて、各端末に「WlsInstaller_x64.msi」または「WlsInstaller_x86.msi」インストーラーの配布およびインストールを行ってください。

端末キッティングによる配布
Active Directoryのグループポリシーによる配布
その他サービスによる配布

端末識別IDの取得方法

YubiOn Portalに端末情報を登録する際に、端末識別のためのSID (Windows) または UUID (macOS)が必要になります。下記のコマンドを参考に、端末の識別IDを控えてください。

Windows
PowerShellで下記のコマンドを実行します。
name部分（下記例の"administrator"）を任意に変更して実行してください。

                
Get-WmiObject -class win32_useraccount | select name, SID, LocalAccount | where { $_.name -match "administrator" } | where { $_.LocalAccount }

name          SID                                           LocalAccount
----          ---                                           ------------
Administrator S-0-0-00-000000000-000000000-000000001-1000           True

「S-0-0-00-000000000-000000000-000000001」までが端末SIDとなります。

macOS
ターミナルで下記のコマンドを実行します。

                
system_profiler SPHardwareDataType

Hardware:

    Hardware Overview:

    Model Name: XXXXXXX
      Model Identifier: XXXXXXX
      Chip: XXXXXXX
      Total XXXXXXX
      Memory: XXXXXXX
      System Firmware Version: XXXXXXX
      OS Loader Version: XXXXXXX
      Serial Number (system): XXXXXXX
      Hardware UUID: uuuuuuuu-uuuu-iiii-dddd-dddddddd
      Provisioning UDID: XXXXXXX
      Activation Lock Status: XXXXXXX

Hardware UUID項目の箇所が端末UUIDとなります。

7. 一括登録

YubiOn Portalの利用者情報をCSVで一括登録します。

7-1. CSVのダウンロード

画面左側のメニューから、「ユーザー」アイコンをクリックします。

メンバー管理画面の右側にある「キッティングCSV登録」ボタンをクリックします。

「CSVサンプルをダウンロード」ボタンをクリックします。

任意の場所に保存します。

7-2. CSVの入力

ダウンロードした「member_machine_registration_sample.csv」を開きます。
※ここではエクセルで開いた場合で説明します。

下記のCSVファイルのフォーマットを参考に登録情報を入力します。
登録分の入力が完了したら、ファイルを保存してください。

CSVファイルのフォーマットについて

※テキストエディタで開いた場合は、カンマ区切りとなります。

1番目(A列)から5番目(E列)まではメンバー(利用者)情報、6番目(F列)はYubiKey情報、7番目(G列)から10番目(J列)までが端末情報です。メンバー(利用者)、YubiKey、端末情報を関連付けることで、YubiOn Portalの二要素認証サービスがご利用できます。

1番目(A列): IDの入力
ソートやフィルタリングを行いやすいようご自由に設定していただける項目です。社員番号などを設定してご利用ください。(半角英数とハイフン「-」、アンダースコア「_」、省略可)

2番目(B列): メンバー名の入力 [必須]
利用者の名前を入力します。(日本語、英数記号)

3番目(C列): メールアドレスの入力 [必須]
メンバーのメールアドレスを入力します。(メールアドレス形式)

4番目(D列): グループ名の入力
所属させるグループ名を入力します。(日本語、英数記号、省略可)
グループとは、利用者(メンバー)をグループに所属させる機能です。営業や開発などに分け、フィルタリングするために使用します。

5番目(E列): 管理者を指定するため下記の数値を入力 [必須]
「0」: 一般 (管理サイトへのアクセス権限のみが付与されます)
「1」: 管理者 (管理サイトへのアクセス、登録、削除、編集などの操作に必要な権限が付与されます)

6番目(F列): YubiKeyのシリアル番号を入力 [必須]
YubiKeyの背面に記載している「シリアル番号」を入力します。(半角数字)

7番目(G列): 端末のOS種別を入力 [必須]
「Windows」または「macOS」と入力します。

8番目(H列): 端末識別IDを入力 [必須]
端末のSIDまたはUUIDを入力します。

端末識別IDの確認方法

Windows
PowerShellで下記のコマンドを実行します。
name部分（下記例の"administrator"）を任意に変更して実行してください。

                
Get-WmiObject -class win32_useraccount | select name, SID, LocalAccount | where { $_.name -match "administrator" } | where { $_.LocalAccount }

name          SID                                           LocalAccount
----          ---                                           ------------
Administrator S-0-0-00-000000000-000000000-000000001-1000           True

「S-0-0-00-000000000-000000000-000000001」までが端末SIDとなります。

macOS
ターミナルで下記のコマンドを実行します。

                
system_profiler SPHardwareDataType

Hardware:

    Hardware Overview:

    Model Name: XXXXXXX
      Model Identifier: XXXXXXX
      Chip: XXXXXXX
      Total XXXXXXX
      Memory: XXXXXXX
      System Firmware Version: XXXXXXX
      OS Loader Version: XXXXXXX
      Serial Number (system): XXXXXXX
      Hardware UUID: uuuuuuuu-uuuu-iiii-dddd-dddddddd
      Provisioning UDID: XXXXXXX
      Activation Lock Status: XXXXXXX

Hardware UUID項目の箇所が端末UUIDとなります。

9番目(I列): 端末名を入力 [必須]
WindowsまたはmacOSの端末名を入力します。(半角英数記号)

10番目(J列): アカウント名を入力 [必須]
WindowsまたはmacOSのアカウント名を入力します。(半角英数記号)
ADアカウントを登録する場合
「ショートドメイン名\アカウント名」を入力します。
例) demo.example.comの場合
demo\accountName

同一メールアドレス登録がある場合
CSV内に同一のメールアドレスが入力されている、または既に登録済みのメールアドレスを入力した場合は、同一メンバーに端末、アカウント、YubiKeyが割り当てられます。

7-3. CSV一括登録

YubiOn Portalサイトにログインします。

画面左側のメニューから、「ユーザー」アイコンをクリックします。

メンバー管理画面の右側にある「キッティングCSV登録」ボタンをクリックします。

「ファイルを選択」をクリックします。

「member_machine_registration_sample.csv」ファイルをクリックし、「開く」ボタンをクリックします。

登録リストに表示された値に問題がないことを確認し、「登録」ボタンをクリックします。

半角英数表記に全角文字列が入力されていない
不要なスペース、文字列などが入力されていない
メールアドレスの形式が正しい
管理者列は数値が入力されている
※管理者で登録した場合、管理者列に「チェックマーク」が表示されます。
　一般で登録した場合、管理者列に「-」が表示されます。

登録完了メッセージが表示されるので、「OK」ボタンをクリックしてください。
メンバー一覧にCSVファイルに記載したメンバーが表示されると、一括登録完了です。

登録エラーが発生した場合
CSVに間違いがある場合は、確認画面に警告アイコンが表示されます。警告アイコンにマウスカーソルを合わせるとエラー内容を確認できます。
指示通りCSVファイルを訂正し、再登録してください。

一括登録の完了直後後に内容を修正したい場合
「一括削除方法」を参考に訂正データの一括削除を行い、訂正データのみをCSVで一括登録します。

個別にデータを修正したい場合
メンバー情報の修正はこちらを参照ください。
YubiKeyの割り当てはこちらを参照ください。
YubiKeyの割り当て解除はこちらを参照ください。
アカウントの追加はこちらを参照ください。
アカウントの削除はこちらを参照ください。
アカウントとYubiKeyの割り当てはこちらを参照ください。
アカウントとYubiKeyの割り当て解除はこちらを参照ください。

※端末名や端末IDは後から修正することができません。「一括削除方法」を参考に一括削除し、CSVで一括登録し直してください。

8. YubiKeyを利用者に配布

CSV登録の完了後、YubiKeyを利用者に配布します。

YubiKey配布前の確認事項
端末のオフライン認証を有効化するには事前準備が必要になります。
利用者にYubiKeyを配布する前に、YubiKeyオフライン設定を参考にYubiKeyの設定を行ってください。

9. サービス設定

サービス設定画面では、二要素認証サービスに関する設定を行います。

9-1. サービス設定全般

画面左側のメニューから「端末」アイコンをクリックします。
「サービス設定」をクリックします。

お客様のセキュリティポリシーに合わせて下記の設定を行います。

設定項目	設定内容	デフォルト
①キャッシュログオン有効期限	オフライン認証可能な日数です。	無効
②スクリーンロック	YubiKeyを抜いたときに画面をロックします。	無効
③強制YubiKeyログオン	端末ログオン時にYubiKeyを使用したログオンを強制します。	無効
④認証失敗ロック	一定回数ログオンに失敗した際、端末にロックをかけます。一定時間が経過すると端末ロックを解除することも可能です。	無効
⑤自動メール通知	端末の状態やサービス設定の変更があった場合にメール通知を行います。	有効担当者

サービス設定の初期表示では、「Default Policy」が選択されています。
本手順では「Default Policy」をもとに説明を行います。

情報

グループポリシーについて
グループポリシーとは、サービス設定を複数のグループに分けて設定する機能です。詳しくはグループポリシー設定を参照ください。
マスターキーについて
マスターキーとは、1つのYubiKeyで、すべての端末、どのアカウントにもログオンできる機能です。詳しくはマスターキー設定を参照ください。

9-2. キャッシュログオン設定

オフライン認証の有効期限を設定することで、最後に端末ログオンが成功した日から、指定した日数だけオフラインでのログオンが可能になります。無効に設定すると、ネットワーク接続に接続していない環境ではログオンができなくなります。

「有効」のラジオボタンをクリックします。
有効期限を入力します。
無料でご利用の場合は1日のみ設定可能です。
「更新」ボタンをクリックします。

注意

キャッシュログオン機能を利用するにはYubiKeyオフライン設定が必要です。

情報

オフライン認証について
- オフライン認証を有効化するには、一度端末でオンライン認証を成功させる必要があります。
- 端末のログインが成功する度に、オフライン認証期限が更新されます。
  
  例) オフラインの有効期限を 3日に設定した場合
  4/1に端末ログオンが成功すると、4/1～4/3までオフライン認証が有効です。
  ※上記期間中に端末ログオンが成功すると、認証成功日から更に3日間有効。
端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。
Mac版での動作について
Mac版ではキャッシュログオン機能が常に有効になります。
キャッシュログオン期限を無期限にしたい場合
有料オプション「キャッシュログオン無期限設定」を利用することで、キャッシュ情報の有効日数を無期限に設定することができます。「キャッシュログオン無期限設定」オプションのご購入に関してはこちらからお問い合わせください。

9-3. スクリーンロック設定

スクリーンロックを有効にすることで、端末のUSBポートからYubiKeyを抜いたときに、自動的に画面をロックすることが可能です。

「YubiKeyを抜いた時に画面をロックする」のチェックボックスにチェックを入れます。
「更新」ボタンをクリックします。

情報

端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。

9-4. 強制YubiKeyログオン設定

端末のログオン時にYubiKeyを使用したログオンを強制する設定をします。

「YubiKeyを使用したログオンを強制する」のチェックボックスにチェックを入れます。
「更新」ボタンをクリックします。

情報

端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。
Mac版でのYubiKey強制について
システム環境設定変更時には、パスワードだけでなくYubiKeyも必要になります。

9-5. 認証失敗ロック設定

端末のログオン時にYubiKeyを使用したログオンを強制する設定をします。

認証失敗ロック設定を有効にすると、一定回数ログオンに失敗した際、端末のログオンを禁止することが可能です。
「更新」ボタンをクリックします。

情報

端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。
端末ロックについて
端末にログオンできなくなることを、「端末ロック」と言います。端末ロック状態を解除する方法はこちら。
Mac版の場合
この機能を有効にするには「YubiKey強制」を有効にする必要があります。

9-6. 認証失敗ロック後のアンロック設定

「認証失敗ロック後、一定時間でロックを解除する」のチェックボックスにチェックを入れます。
端末ロック解除をするまでの分数を入力します。
「更新」ボタンをクリックします。

情報

端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。
端末ロック解除の条件について
端末ロック状態になり、一定時間が経過する、かつ、利用者が端末をネットワークに接続している状態で起動した時に、端末ロック状態が解除されます。一定時間でロックを解除する設定が無効の場合は、一定時間が経過しても端末ロック状態は解除されません。

9-7. 自動メール通知設定

端末の状態やサービス設定の変更があった場合に、通知設定に登録しているメンバーへ自動通知を行います。初期設定では担当者が通知の受信者に設定されています。

サービス設定画面右上の設定アイコンをクリックし、「自動メール通知設定」をクリックします。
通知設定の有効／無効を切り替えます。
受け取りたい通知項目にチェックをいれます。
「更新」ボタンをクリックします。

通知について

「端末ロックが発生／解除した時」にチェックをつけた場合
どの端末がどの状態に変更されたかを通知します。
「サービス設定を変更した時」にチェックをつけた場合
キャッシュログオン設定など、サービス設定で変更された箇所を通知します。
メール受信者を変更したい場合
メール受信者の変更手順はこちらを参照ください。

10. 利用者による各端末の自動セットアップ

端末の利用者であるエンドユーザーがネットワークに接続している状態の端末にログオンすることで、自動的にセットアップが完了します。

自動セットアップの条件
1. 既に端末へのソフトウェアインストールが完了していること
2. YubiOn PortalサイトでCSV一括登録が完了していること
3. ネットワークに接続している状態の端末にログオンすること

初回はWindowsのパスワードのみでログオンすることで、自動セットアップが完了します。
自動セットアップが正しく行われると、次回ログオン時から二要素認証をご利用いただけます。

利用者操作に関する詳細は「Windowsログオン利用方法 (大規模導入向け)」を参照ください。

利用者にアンインストールさせたくない場合
オプション機能「アンインストール制御」を利用することで、インストール済みアプリケーションの一覧から当ソフトウェアを非表示にし、アンインストールを抑止することができます。

「アンインストール制御」オプションのご利用に関してはこちらからお問い合わせください。

11. 運用確認

利用者端末にグループポリシーの設定が反映されているかを確認します。

グループポリシーについて

グループポリシーとは、サービス設定を複数のグループに分けて設定する機能です。
詳しくはグループポリシー設定を参照ください。

画面左側のメニューから「端末」アイコンをクリックし、「サービス設定」をクリックします。

11-1. グループポリシー反映確認

グループポリシーの反映状態は「反映済み」、「未反映」、「古いポリシーが反映」の3種類があります。

グループポリシー反映状態

反映済み: 最新のグループポリシーが端末に反映されている状態です。
未反映: グループポリシーが端末に反映されていない状態です。
古いポリシーが反映: 古いグループポリシーが端末に反映されている状態です。

下記はグループポリシー確認手順になります。

確認するグループポリシーをクリックします。
「端末一覧」タブをクリックします。
状態の下側のプルダウンをクリックします。
次に、「未反映」をクリックします。
グループポリシーが未反映の端末一覧が表示されます。「未反映」の場合は「×」マークで表示されます。

情報

「古いポリシーが反映」状態を確認する場合
状態のプルダウンで「古いポリシーが反映」をクリックすると、古いグループポリシーが反映されている端末一覧が表示されます。
- 古いポリシーが反映されている場合は「警告マーク」で表示されます。
- 「グループポリシーの変更」または「別のグループポリシーを適用」した場合は「古いポリシーが反映」状態になります。
「反映済み」状態を確認する場合
状態のプルダウンで「反映済み」をクリックすると、最新のグループポリシーが反映されている端末一覧が表示されます。
- 最新のグループポリシーが反映されている場合は「チェック」マークで表示されます。
端末に設定を反映させる方法について
対象端末がネットワークに接続している状態でログオンした時に、グループポリシーの設定が反映されます。

導入手順は以上です。

12. 補足

12-1. YubiOn Portalサイトの二要素認証方法

YubiOn Portalサイトのログインでは、メンバー(利用者)の「メールアドレス」と「パスワード」、「YubiKey」による二要素認証が求められます。

情報

担当者(YubiOn Portalに最初に登録した者)の場合のみ、YubiKeyの割り当てがなければ、パスワードのみのログインとなります。

ログインページにアクセスします。
メールアドレス入力欄に、「メールアドレス」を入力し、「確認」ボタンをクリックします。
パスワード入力欄に「パスワード」を入力します。
YubiKeyをUSBポートに挿し込みます。
YubiKey入力欄をクリックし、YubiKeyをタップします。 ※YubiKeyのワンタイムパスワード出力後、自動でEnterが入り、ログインします。
ログインが完了すると、「ダッシュボード」が表示されます。

12-2. 一括削除方法

CSVで一括登録した情報はメンバー(利用者)のメールアドレスから一括で削除することができます。

メンバー一括削除の範囲について

メンバー情報を削除します。
メンバーとグループの割り当てを解除します。
メンバーとYubiKeyの割り当てを解除します。(YubiKey自体を削除することはありません。)
端末情報やアカウント情報は削除されません。

画面左側のメニューから「メンバー管理」をクリックします。
「メンバーCSV一括削除」アイコンをクリックます。
一括削除用CSVファイルをダウンロードします。
「ダウンロード」アイコンをクリックし、一括削除用CSVファイルをダウンロードします。「member_deletion.csv」ファイルを任意の場所に保存します。
「member_deletion.csv」ファイルを開き、削除したいメンバーのメールアドレスを入力します。
CSVファイルを選択します。
「ファイルを選択」ボタンをクリックします。
CSVファイルを選択し、「開く」ボタンをクリックします。
ファイルを選択すると、CSVファイル名と削除するメンバー情報が表示されます。
間違いがなければ、「削除」ボタンをクリックします。

メンバーの削除に成功した場合

メンバー一覧が表示されます。

CSVの内容に問題がある場合

CSVの内容に問題がある場合は削除することができません。
ファイルを修正し、再度削除してください。

大規模導入

目次

1. ご注意

2. 導入フロー

3. YubiOn Portal登録

3-1. 新規登録

ご注意

3-2. 初回ログイン

カスタマーログインについて

4. かんたん設定

4-1. YubiKeyの登録

4-2. 設定の選択

情報

5. 有料プランへの切り替え

有料プランの購入について

6. セットアップ

6-1. ソフトウェアダウンロード

情報

6-2. ソフトウェアインストール

端末識別IDの取得方法

7. 一括登録

7-1. CSVのダウンロード

7-2. CSVの入力

エクセルで表示

CSVファイルのフォーマットについて

7-3. CSV一括登録

8. YubiKeyを利用者に配布

9. サービス設定

9-1. サービス設定全般

情報

9-2. キャッシュログオン設定

注意

情報

9-3. スクリーンロック設定

情報

9-4. 強制YubiKeyログオン設定

情報

9-5. 認証失敗ロック設定

情報

9-6. 認証失敗ロック後のアンロック設定

情報

9-7. 自動メール通知設定

通知について

10. 利用者による各端末の自動セットアップ

11. 運用確認

グループポリシーについて

11-1. グループポリシー反映確認

グループポリシー反映状態

情報

12. 補足

12-1. YubiOn Portalサイトの二要素認証方法

情報

12-2. 一括削除方法

メンバー一括削除の範囲について

メンバーの削除に成功した場合

CSVの内容に問題がある場合