小規模導入

本導入手順は管理者がYubiOn Portalサイトの設定や端末のセットアップを全て行う手順となります。 小規模導入では、端末台数が一台から数十台程度の導入かつ管理者の手の届く範囲を想定しています。 必ず注意事項をお読みいただき、導入を進めてください。

目次


1. ご注意

  • 必ず動作環境をご確認の上、導入を進めてください。
  • 使用可能なYubiKeyに関してはこちらをご確認ください。
  • 端末のセットアップにはWindowsの管理者権限が必要です。
  • YubiKeyのSlot1への設定変更はしないでください。
    YubiKeyにはワンタイムパスワード(OTP)やチャレンジレスポンス(オフライン認証で使用)などの機能が設定可能なSlotが2つあります。
    • Slot1: 初期状態はYubico OTPが設定済み
      Slot1の情報を変更すると、YubiOn Portalでのご利用ができなくなります。
    • Slot2: 初期状態は未設定
      オフライン認証を使用する場合はSlot2にチャレンジレスポンス設定が必要です。
  • 端末のオフライン認証を有効化するには事前準備が必要になります。
    利用者にYubiKeyを配布する前に、YubiKeyオフライン設定を参考にYubiKeyの設定を行ってください。
  • 端末識別IDについて
    YubiOn Portalでは端末識別IDとしてSIDまたはUUIDを使用しています。
    各OSにおけるデフォルト識別IDは以下です。
    • Windows: SID
    • macOS: UUID
    ※PCのキッティングなどが原因でWindowsのSIDが重複しているような場合は、YubiOn Portalでご利用ができなくなります。 SIDが重複してご利用できない場合は、弊社までお問い合わせください。

2. 導入フロー

ポータル登録
[管理者操作] YubiOn Portalに登録します。登録後、有料プラン(Standard以上)を購入します。
メンバー登録 / 設定
[管理者操作] YubiOn Portalに利用者(メンバー)の登録およびYubiKeyを設定します。
インストール
[管理者操作] 各端末にソフトウェアをインストール
サービス設定
[管理者操作] 二要素認証のサービス設定を行います。
運用開始

3. YubiOn Portal登録

既に登録がお済みの方はこの手順をスキップしてください。

3-1. 新規登録

YubiOn Portal登録ページよりお客様情報の登録を行います。

新規登録時に登録承認のメールが送信されます。
承認リンクをクリックします。

3-2. 初回ログイン

ログイン画面より、登録した「メールアドレス」「パスワード」でログインします。
正しいメールアドレスとパスワードを入力すると、YubiOn Portalにログインできます。

初回ログイン時はかんたん設定画面が表示されます。

4. かんたん設定

既にかんたん設定がお済みの方はこの手順をスキップしてください。

4-1. YubiKeyの登録

ログイン用のYubiKeyを設定します。次回以降YubiOn Portalへのログイン時に、ここで設定したYubiKeyが必要となります。

4-2. 設定の選択

本手順では操作者自身の端末に設定はしないので、「あなたの端末の設定は行わずに、組織内のメンバー登録画面に遷移します。」をクリックします。

5. 有料プランへの切り替え

既に有料プランをご利用のお客様はこの手順をスキップしてください。

以降は有料プランの利用を前提に説明しています。

6. メンバー登録

YubiOn Portalにメンバー(利用者)の登録を行います。

画面左側のメニューから「メンバー管理」をクリックします。

「メンバー登録」アイコンをクリックします。

メンバー登録ウィンドウで、新規に追加したい「ID/メンバー名/メールアドレス/パスワード」を入力して、「登録」ボタンをクリックします。

ソートやフィルタリングを行いやすいようご自由に設定していただける項目です。社員番号などを設定してご利用ください。
※空白でも登録可能です。

確認メッセージが表示されるので、「OK」をクリックします。
登録が完了すると、メンバー一覧に追加したメンバーが表示されます。


7. YubiKey割り当て

YubiOn Portalでは、「ID / パスワード」に加えて、「YubiKey」を利用した二要素認証を実現します。 組織内のメンバーがYubiKeyを利用した二要素認証を利用するためには、初めにYubiKeyを割り当てる必要があります。

「メンバー一覧」からYubiKeyを割り当てたいメンバーをクリックします。

「YubiKey割り当て」ボタンをクリックします。

入力欄を選択し、メンバーに割り当てたいYubiKeyをUSBポートに差し込みます。

YubiKeyをタップしてYubiKeyのワンタイムパスワードを入力します。

確認メッセージが表示されるので、「OK」をクリックします。
割り当てが完了すると、YubiKey一覧に割り当てたYubiKeyが表示されます。


8. セットアップ

管理者が各端末にセットアップを行う手順を説明します。
端末に二要素認証を設定するには、Windowsログオンサービスのアプリケーション(以下クライアントツール)をインストールする必要があります。

ご利用前に
ソフトウェアインストール前に必ず動作環境をご確認の上、ご利用ください。
インストールにはWindowsの管理者権限が必要です。 また、クライアントツールインストール後に、端末が再起動する場合があります。 重要なファイルを保存し、すべてのアプリケーションを終了してからインストールしてください。


8-1. ソフトウェアダウンロード

  1. 画面左側のメニューから「端末」アイコンをクリックし、「ダウンロード」をクリックします。
  2. 「ダウンロード」ボタンをクリックします。 「WlsInstaller_x64.msi」または「WlsInstaller_x86.msi」がダウンロードされます。
    任意の場所に保存してください。

8-2. ソフトウェアインストール

「WlsInstaller_x86.msi」または「WlsInstaller_x64.msi」を実行します

クライアントアプリケーションのインストールが開始します。
※インストールには Windows の管理者権限または管理者パスワードが必要です。

「詳細情報」をクリックします。 表示された「実行」ボタンをクリックします。

インストール

ソフトウェア使用許諾契約書をご確認いただき、「同意」チェックボックスにチェックをいれます。
その後、「インストール」をクリックします。 インストールが完了すると完了画面が表示されます。 「設定ツールを起動する」にチェックを入れた状態で終了すると、自動的に設定ツールが起動します。

続けて必須ランタイムのインストールを行います。
ユーザーアカウント制御の確認ポップアップで、「はい」をクリックします。 必須ランタイムのインストールが開始されます。 ランタイムのインストール後、再起動を促すポップアップが表示されます。

確認メッセージが表示されるので、「はい」をクリックします。 端末が再起動され、クライアントツールのインストールが完了します。

利用者にアンインストールさせたくない場合
オプション機能「アンインストール制御」を利用することで、インストール済みアプリケーションの一覧から当ソフトウェアを非表示にし、アンインストールを抑止することができます。

「アンインストール制御」オプションのご利用に関してはこちらからお問い合わせください。


8-3. 端末セットアップ

スタートメニューから起動します。
既にクライアントツールを起動している場合はこの手順をスキップします。 「メールアドレス」、「パスワード」欄に、YubiOn Portalで登録した「メールアドレス/パスワード」を入力します。 YubiOn Portalに登録したYubiKeyをUSBポートに差し込みます。
「OTP」欄を選択し、YubiKeyをタップしてワンタイムパスワードを入力します。
入力後、設定画面が表示されます。

起動した設定ツールの「アカウントと認証器の割り当て」をクリックします。 「登録」ボタンをクリックします。 「アカウント」「メンバー」「認証器」を選択して、「OK」ボタンをクリックします。 設定完了ポップアップで「OK」ボタンをクリックします。 「終了」をクリックして設定ツールを閉じます。

8-4. YubiKeyを利用者に配布

端末セットアップ完了後に、YubiKeyを利用者へ配布してください。

YubiKey配布前の確認事項
端末のオフライン認証を有効化するには事前準備が必要になります。
利用者にYubiKeyを配布する前に、YubiKeyオフライン設定を参考にYubiKeyの設定を行ってください。

複数人の端末をセットアップする場合は、6~8の手順を人数分繰り返してください。

セットアップは以上です。

9. サービス設定

サービス設定画面では、二要素認証サービスに関する設定を行います。

9-1. サービス設定全般

画面左側のメニューから「端末」アイコンをクリックします。
「サービス設定」をクリックします。 お客様のセキュリティポリシーに合わせて下記の設定を行います。

設定項目 設定内容 デフォルト
①キャッシュログオン有効期限 オフライン認証可能な日数です。 無効
②スクリーンロック YubiKeyを抜いたときに画面をロックします。 無効
③強制YubiKeyログオン 端末ログオン時にYubiKeyを使用したログオンを強制します。 無効
④認証失敗ロック 一定回数ログオンに失敗した際、端末にロックをかけます。
一定時間が経過すると端末ロックを解除することも可能です。 		無効
⑤自動メール通知 端末の状態やサービス設定の変更があった場合にメール通知を行います。 有効
担当者

サービス設定の初期表示では、「Default Policy」が選択されています。
本手順では「Default Policy」をもとに説明を行います。


9-2. キャッシュログオン設定

オフライン認証の有効期限を設定することで、最後に端末ログオンが成功した日から、指定した日数だけオフラインでのログオンが可能になります。 無効に設定すると、ネットワーク接続に接続していない環境ではログオンができなくなります。

  1. 「有効」のラジオボタンをクリックします。
  2. 有効期限を入力します。
    無料でご利用の場合は1日のみ設定可能です。
  3. 「更新」ボタンをクリックします。

9-3. スクリーンロック設定

スクリーンロックを有効にすることで、端末のUSBポートからYubiKeyを抜いたときに、自動的に画面をロックすることが可能です。

  1. 「YubiKeyを抜いた時に画面をロックする」のチェックボックスにチェックを入れます。
  2. 「更新」ボタンをクリックします。

9-4. 強制YubiKeyログオン設定

端末のログオン時にYubiKeyを使用したログオンを強制する設定をします。

  1. 「YubiKeyを使用したログオンを強制する」のチェックボックスにチェックを入れます。
  2. 「更新」ボタンをクリックします。

9-5. 認証失敗ロック設定

端末のログオン時にYubiKeyを使用したログオンを強制する設定をします。

  1. 認証失敗ロック設定を有効にすると、一定回数ログオンに失敗した際、端末のログオンを禁止することが可能です。
  2. 「更新」ボタンをクリックします。

9-6. 認証失敗ロック後のアンロック設定

  1. 「認証失敗ロック後、一定時間でロックを解除する」のチェックボックスにチェックを入れます。
  2. 端末ロック解除をするまでの分数を入力します。
  3. 「更新」ボタンをクリックします。

9-7. 自動メール通知設定

端末の状態やサービス設定の変更があった場合に、通知設定に登録しているメンバーへ自動通知を行います。初期設定では担当者が通知の受信者に設定されています。

  1. サービス設定画面右上の設定アイコンをクリックし、「自動メール通知設定」をクリックします。
  2. 通知設定の有効/無効を切り替えます。
  3. 受け取りたい通知項目にチェックをいれます。
  4. 「更新」ボタンをクリックします。

10. 運用確認

利用者端末にグループポリシーの設定が反映されているかを確認します。

画面左側のメニューから「端末」アイコンをクリックし、「サービス設定」をクリックします。

10-1. グループポリシー反映確認

グループポリシーの反映状態は「反映済み」、「未反映」、「古いポリシーが反映」の3種類があります。

下記はグループポリシー確認手順になります。

  1. 確認するグループポリシーをクリックします。
  2. 「端末一覧」タブをクリックします。
  3. 状態の下側のプルダウンをクリックします。
    次に、「未反映」をクリックします。
  4. グループポリシーが未反映の端末一覧が表示されます。 「未反映」の場合は「×」マークで表示されます。

導入手順は以上です。

11. 補足


11-1. YubiOn Portalサイトの二要素認証方法

YubiOn Portalサイトのログインでは、メンバー(利用者)の「メールアドレス」と「パスワード」、「YubiKey」による二要素認証が求められます。

  1. ログインページにアクセスします。
    メールアドレス入力欄に、「メールアドレス」を入力し、「確認」ボタンをクリックします。
  2. パスワード入力欄に「パスワード」を入力します。
  3. YubiKeyをUSBポートに挿し込みます。
  4. YubiKey入力欄をクリックし、YubiKeyをタップします。 ※YubiKeyのワンタイムパスワード出力後、自動でEnterが入り、ログインします。
  5. ログインが完了すると、「ダッシュボード」が表示されます。