中規模導入
本導入手順は管理者がYubiOn Portalサイトでの設定のみを行い、端末は利用者が各自でセットアップする手順となります。
中規模導入では、端末台数が一台から百台程度の導入を想定しています。
必ず注意事項をお読みいただき、導入を進めてください。
目次
1. ご注意
- 必ず動作環境をご確認の上、導入を進めてください。
- 使用可能なYubiKeyに関してはこちらをご確認ください。
- 端末のセットアップにはWindowsの管理者権限が必要です。
-
YubiKeyのSlot1への設定変更はしないでください。
YubiKeyにはワンタイムパスワード(OTP)やチャレンジレスポンス(オフライン認証で使用)などの機能が設定可能なSlotが2つあります。-
Slot1: 初期状態はYubico OTPが設定済み
Slot1の情報を変更すると、YubiOn Portalでのご利用ができなくなります。 -
Slot2: 初期状態は未設定
オフライン認証を使用する場合はSlot2にチャレンジレスポンス設定が必要です。
-
Slot1: 初期状態はYubico OTPが設定済み
-
端末のオフライン認証を有効化するには事前準備が必要になります。
利用者にYubiKeyを配布する前に、YubiKeyオフライン設定を参考にYubiKeyの設定を行ってください。 -
端末識別IDについて
YubiOn Portalでは端末識別IDとしてSIDまたはUUIDを使用しています。
各OSにおけるデフォルト識別IDは以下です。
- Windows: SID
- macOS: UUID
2. 導入フロー
ポータル登録
[管理者操作] YubiOn Portalに登録します。登録後、有料プラン(Standard以上)を購入します。
メンバー登録 / メール通知
[管理者操作] YubiOn Portalに利用者(メンバー)の登録およびセットアップ用のメール通知を行います。
セットアップ
[利用者操作] パスワード変更、YubiKey登録、端末へのソフトウェアインストールを行います。
サービス設定
[管理者操作] 二要素認証のサービス設定を行います。
運用開始
3. YubiOn Portal登録
既に登録がお済みの方はこの手順をスキップしてください。
3-1. 新規登録
3-2. 初回ログイン
ログイン画面より、登録した「メールアドレス」「パスワード」でログインします。
正しいメールアドレスとパスワードを入力すると、YubiOn Portalにログインできます。
YubiOn Portalに最初に登録した組織の担当者がパスワードのみでログインするためのものです。
担当者にYubiKeyを設定すると、以降は二要素認証のログインフォームが表示されます。
※担当者に設定しているYubiKeyの割り当てを全て解除すると、カスタマーログインフォームが表示されます。
初回ログイン時はかんたん設定画面が表示されます。
正しいメールアドレスとパスワードを入力すると、YubiOn Portalにログインできます。
カスタマーログインについて
YubiOn Portalに最初に登録した組織の担当者がパスワードのみでログインするためのものです。
担当者にYubiKeyを設定すると、以降は二要素認証のログインフォームが表示されます。
※担当者に設定しているYubiKeyの割り当てを全て解除すると、カスタマーログインフォームが表示されます。
4. かんたん設定
既にかんたん設定がお済みの方はこの手順をスキップしてください。
4-1. YubiKeyの登録
ログイン用のYubiKeyを設定します。次回以降YubiOn Portalへのログイン時に、ここで設定したYubiKeyが必要となります。
4-2. 設定の選択
本手順では操作者自身の端末に設定はしないので、「あなたの端末の設定は行わずに、組織内のメンバー登録画面に遷移します。」をクリックします。
一度この設定をスキップすると、次回ログイン時からかんたん設定は表示されません。
情報
一度この設定をスキップすると、次回ログイン時からかんたん設定は表示されません。
5. 有料プランへの切り替え
既に有料プランをご利用のお客様はこの手順をスキップしてください。
導入手順は有料プラン(Standard / Premium)機能のご利用を前提に説明しています。
ご利用の際は有料プラン(Standard / Premium)の購入をお願いします。
以降は有料プランの利用を前提に説明しています。
有料プランの購入について
導入手順は有料プラン(Standard / Premium)機能のご利用を前提に説明しています。
ご利用の際は有料プラン(Standard / Premium)の購入をお願いします。
6. メンバー登録
YubiOn Portalにメンバー(利用者)のCSV一括登録を行います。
-
画面左側のメニューから「メンバー管理」をクリックします。
-
「CSV登録」アイコンをクリックます。
-
一括登録用CSVファイルをダウンロードします。
「ダウンロード」アイコンをクリックし、一括登録用CSVファイルをダウンロードします。
「member_registration_sample.csv」ファイルを任意の場所に保存します。
-
CSVにメンバー情報を入力する
「member_registration_sample.csv」を開き、下記のフォーマットに合わせてメンバー情報を入力します。
CSVファイルのフォーマットについて
テキストエディタで開いた場合は、カンマ区切りとなります。
以下はMicrosoft Excelで開いた場合の説明をしています。-
1番目(A列): IDの入力
ソートやフィルタリングを行いやすいようご自由に設定していただける項目です。社員番号などを設定してご利用ください。(半角英数とハイフン「-」、アンダースコア「_」、省略可) -
2番目(B列): メンバー名の入力
[必須]
利用者の名前を入力します。(日本語、英数記号) -
3番目(C列): メールアドレスの入力
[必須]
メンバーのメールアドレスを入力します。(メールアドレス形式) -
4番目(D列): グループ名の入力
所属させるグループ名を入力します。(日本語、英数記号、省略可)
グループとは、利用者(メンバー)をグループに所属させる機能です。営業や開発などに分け、フィルタリングするために使用します。 -
5番目(E列): 管理者を指定するため下記の数値を入力
[必須]
- 「0」: 一般 (管理サイトへのアクセス権限のみが付与されます)
- 「1」: 管理者 (管理サイトへのアクセス、登録、削除、編集などの操作に必要な権限が付与されます)
-
1番目(A列): IDの入力
-
CSVファイルを選択します。
「ファイルを選択」ボタンをクリックします。
-
CSVファイルをクリックし、「開く」ボタンをクリックします。
-
ファイルを選択するとCSVファイル名と、登録するメンバー情報が表示されます。
- 「登録」ボタンをクリックします。
CSV登録に成功した場合
メンバー一覧が表示されます。
CSVの内容に問題がある場合
CSVの内容に問題がある場合は登録することができません。
エラーメッセージを参考にCSVファイルを修正してください。
項目にカーソルを合わせると、メッセージが表示されます。ファイルを修正し、再度登録してください。
7. セットアップ
本手順では各利用者(メンバー)がセットアップを行います。
管理者は各メンバーがセットアップするための登録メールを送信します。
登録メールにはセットアップ用の「かんたん設定」画面へのリンクが記載されており、
各メンバーは画面の指示に従いセルフセットアップできるようになっています。
7-1. YubiKeyを利用者に配布
セットアップ用の登録メールを送信する前に、各メンバーにYubiKeyを配布しておきます。
YubiKey配布前の確認事項
端末のオフライン認証を有効化するには事前準備が必要になります。
利用者にYubiKeyを配布する前に、YubiKeyオフライン設定を参考にYubiKeyの設定を行ってください。
7-2. 各メンバーにセットアップを任せる
各メンバーがセットアップを行うための登録メール送信手順を説明します。
セットアップ手順について
各メンバーのセットアップ手順については「Windowsログオン利用方法」もご参照ください。
-
画面左側のメニューから「メンバー管理」をクリックします。
-
「登録メール通知」をクリックします。
-
メンバー一覧にID、メンバー名、メールアドレスのリストが表示されます。
- メール通知を行うメンバーのチェックボックスにチェックをいれます。
- 「送信」ボタンをクリックします。
メール送信に成功した場合
メンバー一覧の状態項目が「メール配信中」または「メール配信済み」になります。
メール送信に失敗した場合
メンバー一覧の状態項目が「メール送信失敗」になります。
メールアドレスに誤りがないか確認し、再度メール送信を行ってください。
利用者にアンインストールさせたくない場合
オプション機能「アンインストール制御」を利用することで、インストール済みアプリケーションの一覧から当ソフトウェアを非表示にし、アンインストールを抑止することができます。
「アンインストール制御」オプションのご利用に関してはこちらからお問い合わせください。
8. サービス設定
サービス設定画面では、二要素認証サービスに関する設定を行います。
8-1. サービス設定全般
画面左側のメニューから「端末」アイコンをクリックします。
「サービス設定」をクリックします。
お客様のセキュリティポリシーに合わせて下記の設定を行います。
サービス設定の初期表示では、「Default Policy」が選択されています。
本手順では「Default Policy」をもとに説明を行います。
「サービス設定」をクリックします。
お客様のセキュリティポリシーに合わせて下記の設定を行います。
| 設定項目 | 設定内容 | デフォルト |
|---|---|---|
| ①キャッシュログオン有効期限 | オフライン認証可能な日数です。 | 無効 |
| ②スクリーンロック | YubiKeyを抜いたときに画面をロックします。 | 無効 |
| ③強制YubiKeyログオン | 端末ログオン時にYubiKeyを使用したログオンを強制します。 | 無効 |
| ④認証失敗ロック |
一定回数ログオンに失敗した際、端末にロックをかけます。 一定時間が経過すると端末ロックを解除することも可能です。 |
無効 |
| ⑤自動メール通知 | 端末の状態やサービス設定の変更があった場合にメール通知を行います。 |
有効 担当者 |
サービス設定の初期表示では、「Default Policy」が選択されています。
本手順では「Default Policy」をもとに説明を行います。
情報
-
グループポリシーについて
グループポリシーとは、サービス設定を複数のグループに分けて設定する機能です。 詳しくはグループポリシー設定を参照ください。 -
マスターキーについて
マスターキーとは、1つのYubiKeyで、すべての端末、どのアカウントにもログオンできる機能です。 詳しくはマスターキー設定を参照ください。
8-2. キャッシュログオン設定
オフライン認証の有効期限を設定することで、最後に端末ログオンが成功した日から、指定した日数だけオフラインでのログオンが可能になります。
無効に設定すると、ネットワーク接続に接続していない環境ではログオンができなくなります。
- 「有効」のラジオボタンをクリックします。
-
有効期限を入力します。
無料でご利用の場合は1日のみ設定可能です。
- 「更新」ボタンをクリックします。
情報
-
オフライン認証について
- オフライン認証を有効化するには、一度端末でオンライン認証を成功させる必要があります。
-
端末のログインが成功する度に、オフライン認証期限が更新されます。
例) オフラインの有効期限を 3日に設定した場合
4/1に端末ログオンが成功すると、4/1~4/3までオフライン認証が有効です。
※上記期間中に端末ログオンが成功すると、認証成功日から更に3日間有効。
-
端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。 -
Mac版での動作について
Mac版ではキャッシュログオン機能が常に有効になります。 -
キャッシュログオン期限を無期限にしたい場合
有料オプション「キャッシュログオン無期限設定」を利用することで、キャッシュ情報の有効日数を無期限に設定することができます。 「キャッシュログオン無期限設定」オプションのご購入に関してはこちらからお問い合わせください。
8-3. スクリーンロック設定
スクリーンロックを有効にすることで、端末のUSBポートからYubiKeyを抜いたときに、自動的に画面をロックすることが可能です。
-
「YubiKeyを抜いた時に画面をロックする」のチェックボックスにチェックを入れます。
- 「更新」ボタンをクリックします。
情報
-
端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。
8-4. 強制YubiKeyログオン設定
端末のログオン時にYubiKeyを使用したログオンを強制する設定をします。
-
「YubiKeyを使用したログオンを強制する」のチェックボックスにチェックを入れます。
- 「更新」ボタンをクリックします。
情報
-
端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。 -
Mac版でのYubiKey強制について
システム環境設定変更時には、パスワードだけでなくYubiKeyも必要になります。
8-5. 認証失敗ロック設定
端末のログオン時にYubiKeyを使用したログオンを強制する設定をします。
-
認証失敗ロック設定を有効にすると、一定回数ログオンに失敗した際、端末のログオンを禁止することが可能です。
- 「更新」ボタンをクリックします。
情報
-
端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。 -
端末ロックについて
端末にログオンできなくなることを、「端末ロック」と言います。
端末ロック状態を解除する方法はこちら。
-
Mac版の場合
この機能を有効にするには「YubiKey強制」を有効にする必要があります。
8-6. 認証失敗ロック後のアンロック設定
-
「認証失敗ロック後、一定時間でロックを解除する」のチェックボックスにチェックを入れます。
- 端末ロック解除をするまでの分数を入力します。
- 「更新」ボタンをクリックします。
情報
-
端末への設定反映について
利用者が端末をネットワークに接続している状態で起動した時に、設定が反映されます。 -
端末ロック解除の条件について
端末ロック状態になり、一定時間が経過する、かつ、利用者が端末をネットワークに接続している状態で起動した時に、端末ロック状態が解除されます。 一定時間でロックを解除する設定が無効の場合は、一定時間が経過しても端末ロック状態は解除されません。
8-7. 自動メール通知設定
端末の状態やサービス設定の変更があった場合に、通知設定に登録しているメンバーへ自動通知を行います。初期設定では担当者が通知の受信者に設定されています。
-
サービス設定画面右上の設定アイコンをクリックし、「自動メール通知設定」をクリックします。
- 通知設定の有効/無効を切り替えます。
- 受け取りたい通知項目にチェックをいれます。
- 「更新」ボタンをクリックします。
通知について
-
「端末ロックが発生/解除した時」にチェックをつけた場合
どの端末がどの状態に変更されたかを通知します。 -
「サービス設定を変更した時」にチェックをつけた場合
キャッシュログオン設定など、サービス設定で変更された箇所を通知します。 -
メール受信者を変更したい場合
メール受信者の変更手順はこちらを参照ください。
9. 運用確認
利用者端末にグループポリシーの設定が反映されているかを確認します。
画面左側のメニューから「端末」アイコンをクリックし、「サービス設定」をクリックします。
画面左側のメニューから「端末」アイコンをクリックし、「サービス設定」をクリックします。
9-1. グループポリシー反映確認
グループポリシーの反映状態は「反映済み」、「未反映」、「古いポリシーが反映」の3種類があります。
下記はグループポリシー確認手順になります。
グループポリシー反映状態
- 反映済み: 最新のグループポリシーが端末に反映されている状態です。
- 未反映: グループポリシーが端末に反映されていない状態です。
- 古いポリシーが反映: 古いグループポリシーが端末に反映されている状態です。
-
確認するグループポリシーをクリックします。
-
「端末一覧」タブをクリックします。
-
状態の下側のプルダウンをクリックします。
次に、「未反映」をクリックします。
-
グループポリシーが未反映の端末一覧が表示されます。
「未反映」の場合は「×」マークで表示されます。
情報
-
「古いポリシーが反映」状態を確認する場合
状態のプルダウンで「古いポリシーが反映」をクリックすると、古いグループポリシーが反映されている端末一覧が表示されます。
- 古いポリシーが反映されている場合は「警告マーク」で表示されます。
- 「グループポリシーの変更」または「別のグループポリシーを適用」した場合は「古いポリシーが反映」状態になります。
-
「反映済み」状態を確認する場合
状態のプルダウンで「反映済み」をクリックすると、最新のグループポリシーが反映されている端末一覧が表示されます。
- 最新のグループポリシーが反映されている場合は「チェック」マークで表示されます。
-
端末に設定を反映させる方法について
対象端末がネットワークに接続している状態でログオンした時に、グループポリシーの設定が反映されます。
導入手順は以上です。
10. 補足
10-1. YubiOn Portalサイトの二要素認証方法
YubiOn Portalサイトのログインでは、メンバー(利用者)の「メールアドレス」と「パスワード」、「YubiKey」による二要素認証が求められます。
担当者(YubiOn Portalに最初に登録した者)の場合のみ、YubiKeyの割り当てがなければ、パスワードのみのログインとなります。
情報
担当者(YubiOn Portalに最初に登録した者)の場合のみ、YubiKeyの割り当てがなければ、パスワードのみのログインとなります。
-
ログインページにアクセスします。
メールアドレス入力欄に、「メールアドレス」を入力し、「確認」ボタンをクリックします。
-
パスワード入力欄に「パスワード」を入力します。
-
YubiKeyをUSBポートに挿し込みます。
-
YubiKey入力欄をクリックし、YubiKeyをタップします。
※YubiKeyのワンタイムパスワード出力後、自動でEnterが入り、ログインします。
-
ログインが完了すると、「ダッシュボード」が表示されます。
