多要素認証(多要素認証)ルールの構成

多要素認証(MFA)は、すべてのユーザー接続に対して有効または無効にできますが、特定の接続に対してはより複雑なルールを構成できますこの機能を使用すると、同じユーザーでも、どの場所およびどのデバイスから接続しているかに応じて MFA を有効にしたり無効にしたりできます。各 MFA プロバイダーには、ユーザー接続に対するマッチングに使用される 1 つまたは複数の条件で構成されるルールがあります。各条件は、マッチング可能な 1 つまたは複数の特定のオブジェクトで構成されています。

次のオブジェクトのマッチングを実行できます。

  • ユーザー、ユーザーが所属するグループ、またはユーザーが接続するコンピューター。
  • ユーザーが接続する Secure Gateway。
  • クライアントデバイスの名前。
  • クライアントデバイスのオペレーティングシステム。
  • IP アドレス。
  • ハードウェア ID。ハードウェア ID の形式は、クライアントのオペレーティングシステムに依存します。

ルールについて、次のことに注意してください。

  • 条件とオブジェクトは OR 演算子で接続されます。たとえばあるルールに、特定の IP アドレスに一致という条件とクライアントデバイスのオペレーティングシステムに一致という条件が含まれる場合、ユーザーの接続が IP アドレスの条件またはクライアントオペレーティングシステムの条件のいずれかに一致する場合に、ルールが適用されます。

ルールを構成するには、次の操作を実行します。

  1. RAS Console で、[接続] > [多要素認証] タブを選択します。
  2. ルールを作成したいプロバイダーをダブルクリックします。
  3. [制限] タブを選択します。
  4. ルールの条件を指定します。以下のコントロールを利用できます。

    mfa rules

    • Enable MFA if および Disable MFA if: ユーザー接続がすべての条件に一致する場合に、MFA プロバイダーを有効化するかどうかを指定します。これらのオプションは、クリックすると切り替わります。
    • (+): 新しい条件を追加します。一致条件として、Secure Gateway、クライアントデバイス名、クライアントデバイスのオペレーティングシステム、IP アドレス、ハードウェア ID のいずれかを使用したい場合は、(+)をクリックします。表示されるコンテキストメニューで、マッチングさせたいオブジェクトの種類を選択し、表示されるダイアログで特定のオブジェクトを追加します。新しい条件が次の行に表示されます。
    • (X): マッチングから特定のオブジェクトを削除します。たとえば、IP アドレス 198.51.100.1 をマッチングから削除したい場合は、その横にある(X)をクリックします。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。条件内のすべてのオブジェクトが削除された場合、その条件は削除されます。
    • is および is not: ユーザー接続が条件に一致した場合に、MFA プロバイダーを有効化するかどうかを指定します。これらのオプションは、クリックすると切り替わります。このコントロールは、少なくとも 1 件のオブジェクトが追加されたときに表示されます。
    • configure: マッチさせるオブジェクトのリストを編集します。このリンクをクリックして新しいオブジェクトを追加または削除します。最初の条件(ユーザーまたはグループ)の場合、このリンクは everyone と呼ばれることに注意してください。この条件のオブジェクトを指定すると、構成が変更されます。
Was this topic helpful?