MFA デバイス強制の設定

以下の手順で、ユーザーが AWS アクセスポータルにサインインする際に、登録済みの MFA デバイスが必要かどうかを判断します。

ユーザーの MFA デバイスの強制を設定するには

1. IAM Identity Center コンソール を開きます。

2. 左のナビゲーションペインの [設定] を選択します。

3. 「設定」 ページで、「認証」タブを選択します。

4. [多要素認証] セクションで、[設定] を選択します。

5. [多要素認証の設定] ページでは、[ユーザーがまだ登録された MFA デバイスを持っていない場合] で、ビジネスニーズに応じて次のいずれかの選択肢を選択します。

   • サインイン時に MFA デバイスの登録を必須とする

     これは、IAM Identity Center の MFA を初めて設定するときのデフォルト設定です。このオプションは、まだ登録済みの MFA デバイスを持っていないユーザーに対して、パスワード認証に成功した後のサインイン時にデバイスの自己登録を要求する場合に使用します。これにより、ユーザーに認証デバイスを個別に登録したり、配信する必要がなく、組織内の AWS 環境を MFA で保護することができます。自己登録の際、ユーザーは事前に登録した IAM Identity Center で使用可能な MFA タイプ の中から任意のデバイスを登録することができます。登録完了後、ユーザーは新しく登録した MFA デバイスに親しみのある名前を付けることができ、その後、IAM Identity Center はユーザーを元の場所にリダイレクトします。ユーザーのデバイスが紛失または盗難にあった場合、そのデバイスをユーザーのアカウントから削除するだけで、IAM Identity Center は次回のサインイン時に新しいデバイスを自己登録することが必須となります。

   • E メールで送られてくるワンタイムパスワードを入力してサインインすることを必須とする

     確認コードをユーザーに E メールで送信したい場合は、このオプションを使用します。E メールは特定のデバイスに限定されないため、このオプションは業界標準の多要素認証の基準を満たしません。ですが、パスワードだけを使用するよりもセキュリティが向上します。E メール認証は、ユーザーが MFA デバイスを登録していない場合にのみ求められます。Context-aware (コンテキスト認識) の認証方法が有効になっている場合、ユーザーは E メールを受信したデバイスを信頼済みとしてマークすることができます。その後、そのデバイス、ブラウザ、IP アドレスの組み合わせでログインする際に、E メールコードを確認する必要がなくなります。

     注記

     IAM Identity Center 対応の ID ソースとして Active Directory を使用している場合、E メールアドレスは常に Active Directory email 属性に基づいて設定されます。カスタムのアクティブディレクトリ属性のマッピングは、この動作を上書きしません。

   • [Block their sign-in] (サインインをブロックする)

     すべてのユーザーが AWS にサインインする前に MFA の使用を強制したい場合は、[Block Their Sign-In] (サインインをブロックする) オプションを使用します。

     重要

     認証方法に Context-aware (コンテキストアウェア) に設定されている場合、ユーザーはサインインページで [This is a trusted device] (信頼できるデバイス) チェックボックスを選択します。この場合、[Block their sign in] (サインインをブロックする) 設定を有効でも、そのユーザーには MFA の入力が求められません。これらのユーザーにプロンプトを表示させたい場合は、認証方法を Always On (常時オン) に変更してください。

   • Allow them to sign in (サインインを許可する)

     このオプションは、ユーザーが AWS アクセスポータルにサインインする際に、MFA デバイスを必要としないことを示します。MFA デバイスの登録を選択したユーザーは、MFA の入力を求められます。

6. [変更の保存] を選択します。