適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security
認証を防止する方法は 2 つあります。
- ユーザーをブロックする — ユーザーは自分のどのモバイル デバイスでも WatchGuard トークンによる認証をすることができません
- トークンをブロックする — ユーザーはそのトークンを使って認証をすることができませんが、他のアクティブなトークンを使って認証することはできます
WatchGuard Cloud でホストされている AuthPoint ユーザーが間違ったパスワードを使って 11 回以上連続で認証を行った場合、AuthPoint はそのユーザー アカウントを自動的にブロックします。これは、WatchGuard Cloud Directory から取得した WatchGuard Cloud でホストされているユーザーのみに適用されるもので、外部アイデンティティから同期された AuthPoint ユーザーには適用されません。ユーザーがブロックされる前に間違ったパスワードで認証できる連続の回数は、設定ページで変更することができます。
ユーザーが 3 回連続して認証試行に失敗すると、AuthPoint によって認証に使用されたトークンが自動的にブロックされます。AuthPoint 管理者がトークンのブロックを解除するまで、そのブロックされたトークンを使用して認証を行うことはできません。トークンがブロックされる前にユーザーが認証に連続して失敗できる回数は、設定ページで変更することができます。
AuthPoint では、有効な応答がない認証が認証試行の失敗として見なされます。これには間違ったワンタイム パスワード、QR Code 認証での誤った検証コード、無効なプッシュ通知が含まれます。
AuthPoint では、拒否されたプッシュ通知は認証試行の失敗とは見なされません。
ユーザー ページでは、ユーザー名 と トークン 列には、ユーザー アカウントとそのユーザーのトークンのステータスが表示されます。ユーザーまたはトークンがアクティブであるか、ブロックされているかを確認できます。
| ユーザー ステータス | 定義 |
|---|---|
アクティブ化 |
ユーザー アカウントがアクティブ化されており、どのアクティブなトークンでも認証できます |
検疫済み |
LDAP ユーザーが移動または削除されたため、LDAP から同期されたユーザー アカウントは認証できません。 |
ブロック済み |
ユーザーは、所有するどのようなモバイル デバイスでも WatchGuard トークンで認証を受けることはできません。また、パスワード ボールトにログインすることもできません。 |
| トークンのステータス | 定義 |
|---|---|
| アクティブ化 |
トークンはアクティブ化されており、認証に使用できます |
| ブロック済み |
トークンはブロックされており、ユーザーはそのトークンを使って認証をすることができません (他のアクティブなトークンを使って認証することはできます) |
ユーザーをブロックする
ブロックされたユーザーは、自分のどのモバイル デバイスでも WatchGuard トークンによる認証をすることができません。このアクションの一般的な使用例は、ユーザーがオフボードされた場合または何らかの方法により侵害された場合に、ユーザー アカウントを完全にブロックすることです。
ユーザー アカウントをブロックしても、それによってユーザーが AuthPoint モバイル アプリへとインポートしたサードパーティ トークンに影響が及ぶことはありません。この場合でも、ブロックされたユーザーは Google Authenticator のようなサードパーティ トークンを使用して、サードパーティ リソースで認証することができます。
ブロックされたユーザー アカウントは、パスワード ボールトにログインできません。
ユーザーのブロックを解除するには、以下の手順を実行します。
- ナビゲーション メニューから、ユーザー を選択します。
- 関連するユーザーの行で
をクリックし、ユーザーをブロックする を選択します。
- はい をクリックします。
ユーザー名の横にあるステータス アイコンが赤になり、そのユーザーがブロックされていることを示します。
これでユーザーはブロックされた状態になり、お使いのモバイル デバイス上でも WatchGuard トークンによる認証をすることができません。
ユーザーがブロックされていると、そのユーザーのトークンの横にあるステータス アイコンは有効のままに表示されます。トークンのステータス アイコンが変化するのは、特定のトークンをブロックした場合のみです。
ブロックされたユーザーをアクティブ化する
ブロックされたユーザーをアクティブ化するには、以下の手順を実行します。
- ナビゲーション メニューから、ユーザー を選択します。
- 関連するユーザーの行で をクリックし、ユーザーをアクティブ化する を選択します。
- はい をクリックします。
ユーザー名の横にあるステータス アイコンが緑色になり、そのユーザーがアクティブ化されていることを示します。
これでユーザーはアクティブ化された状態に戻り、自分のどのモバイル デバイス上でも WatchGuard トークンを使って認証することができます。
トークンをブロックまたはブロック解除する
トークンのステータスをブロック済みに変更すると、ユーザーはそのトークンを使って認証をすることができませんが、持っている他のアクティブなトークンを使って認証することはできます。トークン 列の各トークンの横にあるステータス アイコンは、そのトークンがアクティブ化されているかブロックされているかを示します。
このアクションの一般的な使用例は、トークンがアクティブ化されている特定のモバイル デバイスからの認証を防止することです。たとえば、ユーザーが携帯電話をなくした場合、そのデバイスでアクティブ化されているトークンをブロックし、不正アクセスを防止することができます。それにより、そのユーザーに別のデバイスでアクティブ化されているトークンがある場合は、そのトークンを使って認証することができます。
概して、削除する前にトークンをブロックすることをお勧めします。ブロック済みのトークンのステータスはいつでもアクティブ化された状態に戻すことができますが、削除されたトークンは復元できません。トークンを削除した場合は、そのユーザーに新規のトークンを作成する必要があります。
AuthPoint モバイル アプリに少なくとも 1 つの有効なトークンがないと、エンド ユーザーはそのデバイスでパスワード ボールトにログインすることはできません。
ハードウェア トークンとモバイル トークンをブロックする手順は同じです。
トークンをブロックまたはブロック解除するには、以下の手順を実行します。
- ナビゲーション メニューから、ユーザー を選択します。
- トークン 列でブロックまたはブロック解除するトークンをクリックします。
- トークンの管理 ウィンドウで トークンをブロックする または トークンのアクティベーション をクリックします。表示されるオプションは、そのトークンのステータスによって異なります。
ユーザーのトークンのステータスが変わります。トークンがアクティブ化されていた場合、ステータスはブロック済みになり、ユーザーはそのトークンを使った認証ができなくなります。トークンがブロックされていた場合はアクティブ化され、認証に使用できるようになります。
