コンピュータまたはサーバーの MFA を構成する

適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security

Logon App を使用すると、ユーザーがコンピュータやサーバーにログインする際に認証を要求することができます。これには RDP と RD Gateway の保護が含まれます。

Logon App には次の 2 つの部分があります。

コンピュータまたはサーバーの MFA を構成するには、AuthPoint management UI で Logon App のリソースを構成し、続いて保護する各コンピュータまたはサーバーに Logon App をインストールします。リモート デスクトップと RDS 接続の場合は、ユーザーが認証を受けるホストに Logon App をインストールします。RD Gateway サーバー自体を保護するには、そのサーバーに Logon App をインストールします。RD Gateway の背後のホストを保護するには、そのホストに Logon App をインストールします。

Logon App をインストールすると、ログインに認証が必要になります。ログイン画面で、ユーザーはパスワードを入力し、許可されたいずれかの認証方法 (プッシュ通知、ワンタイム パスワードまたは QR Code) を選択する必要があります。

Mac コンピュータおよびユーザー アカウント制御 (UAC) が有効化された Windows コンピュータでは、アプリがデバイスに変更を加えることを許可するときなど、ユーザーが管理者権限を必要とするアクションを実行しようとする際にも MFA が必要です。Windows ユーザー アカウント制御の詳細については、Microsoft のドキュメント を参照してください。

ユーザーはドメインまたはローカル ユーザー アカウントを使ってログオンできますが、Logon App の認証ポリシーを含む有効な AuthPoint ユーザー アカウントを持っている必要があります。Logon App の認証ポリシーを含む AuthPoint ユーザー アカウントを持っていないユーザーは、非 AuthPoint ユーザーが MFA を使わずにログインできるように許可するオプションを有効にしない限り、Logon App がインストールされたコンピュータでの認証とログインができません。

AuthPoint ライセンスの有効期限が切れた場合、または Logon App リソースを削除した場合、ユーザーはパスワードだけを使ってコンピュータにログインできます。

Logon App は AuthPoint management UI の ダウンロード ページからダウンロードできます。

要件

Logon App をセットアップして配備する際には、以下の要件にご注意ください。

  • Logon App を使って認証とログインをするには、すべてのドメインとローカル ユーザーが有効な AuthPoint ユーザー アカウントを持っており、認証ポリシーを含む AuthPoint グループのメンバーでなければなりません

    AuthPoint ユーザー アカウントを持っていないユーザーに対して、非 AuthPoint ユーザーが MFA を使わずにログインできるように許可するオプションを有効にすることができます。

  • ローカルおよびドメイン ユーザーのユーザー名は AuthPoint のユーザー名と同じでなければなりません
  • Active Directory から同期されたユーザーは、コンピュータがインターネットに接続されている場合、ドメイン\ユーザー名 にあるユーザー名でしかログインすることができません。
  • ローカル ユーザーとして (ドメインの一部ではなく) ログインするには、アクティブなトークンを持つ AuthPoint ユーザー アカウントを持っている必要があります
  • ローカル ユーザーがドメイン ユーザーと同じユーザー名を持っている場合は、同じ AuthPoint ユーザーを使って両方のアカウントへの認証とログインをすることができます
  • ローカル ユーザー名がドメイン ユーザー名と異なる場合、各ユーザー アカウントに別々の AuthPoint ユーザーがいる必要があります (ドメイン ユーザーに 1 人、ローカル ユーザーに 1 人)
  • Logon App をインストールする際には、初めてログインをする前にコンピュータがインターネットに接続されている必要があります

    Caution: Wi-Fi 接続には 802.1x 認証を使用しないことをお勧めします。macOS 用エージェントをインストールした後、コンピュータが 802.1x の Wi-Fi ネットワークに自動的に接続するものの、802.1x 認証に対応するようにコンピュータを設定していない場合は、インターネットへの接続が妨げられます。エージェントはインターネット接続を必要とするため、ログインして Wi-Fi 接続を変更することができません。

  • Active Directory ドメインのコンピュータに Logon App をインストールする場合は、ドメイン ユーザーがローカルで認証 (ログオン) できるようにグループ ポリシーを構成する必要があります。
  • Windows Hello によるユーザー ログインをサポートするには、Agent for Windows v3.0 以降をインストールする必要があります。
  • Touch ID によるユーザー ログインをサポートするには、macOS バージョン 2.0 以降のエージェントをインストールする必要があります。
  • Windows ユーザー アカウント制御の MFA をサポートするには、Logon App v3.1 以降をインストールする必要があります。
  • Logon App は、インターネット接続なしで最大 30 の同時のユーザー ログインをサポートします。
  • Logon App がサポートするオペレーティング システムの詳細については、AuthPoint リリース ノートの AuthPoint コンポーネントのオペレーティング システムの互換性 を参照してください。

WARNING: Windows 7 かそれよりも古い Windows、または Windows 2008 R2 かそれよりも古いサーバーを実行しているコンピュータに Logon App をインストールしないでください。

Logon App リソースを追加する

開始するには、その Logon App のリソースを追加する必要があります。Logon App がインストールされているそれぞれのコンピュータに別々の Logon App リソースは必要とされません。OS に関係なく、1 つの Logon App リソースをすべての認証ポリシーに使用することができます。

AuthPoint で Logon App のリソースを追加したら、既存の認証ポリシーにそのリソースを追加するか、コンピュータにログインするのに認証が求められるユーザー グループを含む Logon App リソース用に新しい認証ポリシーを追加する必要があります。

Logon App リソースを追加するには、以下の手順を実行します。

  1. AuthPoint ナビゲーション メニューから リソース を選択します。

Screen shot of the Resources page.

  1. リソースを追加する をクリックします。

    リソースを追加する ページが開きます。

Screen shot of the Add Resource page.

  1. 種類 ドロップダウン リストから、Logon App を選択します。
    追加のフィールドが表示されます。

Screen shot of the Add Resource page.

  1. 名前 テキスト ボックスに、このリソースの名前を入力します。
  2. (任意) サポート メッセージ テキスト ボックスに、ログオン画面に表示するメッセージを入力します。

Screen shot of the Add Resource page.

  1. 非 AuthPoint ユーザーのアクセス ドロップダウン リストから、AuthPoint ユーザー アカウントを持っていないユーザーが MFA なしで保護対象コンピュータにログインできるようにするかどうかを選択します。以下の 3 つのオプションのいずれかを選択することができます。
    • 非 AuthPoint ユーザーを許可しない
    • 特定の非 AuthPoint ユーザーが MFA なしでログインできるようにする
    • すべての非 AuthPoint ユーザーが MFA なしでログインできるようにする

    非 AuthPoint ユーザーに MFA なしでのログインを許可できるのは、ユーザー名が同じ AuthPoint ユーザー アカウントが存在しない場合に限られます。

  1. 特定の非 AuthPoint ユーザーが MFA を使わずにログインできるように許可するように選択した場合は、ユーザー名の追加 テキスト ボックスに、MFA を使わずにログインできるそれぞれの非 AuthPoint ユーザーのユーザー名を入力します。MFA を使わずにログインできる非 AuthPoint ユーザーは、最大 50 人まで指定できます。

Screen shot of the Add Resource page.

  1. 保存 をクリックします。
  2. Logon App リソースを既存の認証ポリシーに追加するか、Logon App リソース用の新しい認証ポリシーを追加します。(詳細については AuthPoint 認証ポリシーについてを参照してください)。ユーザーがインターネットに接続されていなくても認証できるように、Logon App の認証ポリシーに QR Code か OTP 認証オプションを含めることをお勧めします。

Logon App をダウンロードしてインストールする

Windows コマンド プロンプトを使用して、Logon App をインストールすることができます。コマンド ライン オプションを使用して、Active Directory グループ ポリシー オブジェクト (GPO) 経由で配備することもできます。Windows コマンド プロンプトから Logon App をインストールするには、Logon App の .MSI インストーラ ファイルと構成ファイルをダウンロードする必要があります。

Logon App をインストールする際には、ユーザーが初めてログオンをする前に Logon App をインストールするコンピュータがインターネットに接続されている必要があります。これは、Logon App が AuthPoint と通信して認証ポリシーを確認するために必要です。

Logon App では、認証ポリシーのコピーはコンピュータ上にローカルに保存されます。このローカル ポリシー ファイルは、ユーザーがオフラインで認証する際に Logon App によって使用され、このローカル ポリシー ファイルは、コンピュータが次にインターネットに接続された際に更新されます。ローカル ポリシー ファイルは、認証を行った直近 30 のユーザー アカウントのポリシー情報のみを保存します。ユーザーが最後にコンピュータにログインしてからさらに 30 以上の他のユーザーが認証した場合、ログインするにはインターネット接続が必要になります。

Logon App のインストーラと構成ファイルのダウンロード

Logon App のインストーラと構成ファイルをダウンロードするには、以下の手順を実行します。

  1. ナビゲーション メニューから ダウンロード を選択します。
    ダウンロード ページが表示されます。
  2. Logon App セクションのオペレーティング システムの横で インストーラをダウンロードする をクリックします。
  3. Logon App の構成ファイルをダウンロードするには、構成をダウンロード をクリックします。オペレーティング システムに関係なく、インストールされたそれぞれの Logon App に対し同一の構成ファイルを使用することができます。

Screen shot that shows the Logon App section of the Downloads page.

Logon App を手動でインストールする

Logon App を手動でインストールするには、コンピュータ上で、ダウンロードした構成ファイルを Logon App のインストーラ (.MSI または .PKG ファイル) と同じディレクトリに移動します。Logon App のインストーラを実行して、保護したいコンピュータまたはサーバーに Logon App をインストールします。

Windows コマンド プロンプトから Logon App をインストールする

Windows コマンド プロンプトから Logon App をインストールするには、以下の手順を実行します。

  1. Windows スタート メニューで、コマンド プロンプト を右クリックして、管理者として実行 を選択します。
    Windows コマンド プロンプト ウィンドウが開きます。
  2. .MSI ファイルの場所にディレクトリを変更します。
  3. Logon App インストーラを実行するには、これらのコマンドのいずれかを実行します。
    • 構成ファイルへのパスを渡すには、以下のコマンドを実行します。
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_PATH="[path]\wlconfig.cfg"
    • 構成ファイルの内容を渡すには、以下のコマンドを実行します。
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_CONTENT="config_file_content_without_spaces"

    実行するインストーラのバージョンが一致するように、コマンドを必ず更新してください。

    ユーザーの介入なしに Logon App をサイレントにインストールするには、コマンドに /q または /qn を追加します。インストールの完了時にコンピュータが再起動されるのを防ぐには、コマンドに /norestart を追加します。詳細については、msiexec コマンドに関する Microsoft のドキュメント を参照してください。

Active Directory GPO を使用して Logon App をインストールする

前の手順で説明されているコマンドを使用して、Active Directory グループ ポリシー オブジェクト (GPO) 経由で、複数のコンピュータに Logon App をリモートでインストールすることができます。コマンドライン パラメータがサポートされているインストール方法を使用する必要があります。

エージェントがすでにインストールされているコンピュータに Logon App がインストールされないようにスクリプトを構成することができます。

コマンド ライン パラメータを使用して、.MSI ファイルからインストールするように GPO を構成する 2 つの方法があります。

Logon App をインストールするバッチ ファイルを実行する起動スクリプトまたはログオン スクリプトの GPO を構成します。バッチ ファイルには、.MSI ファイルへのネットワーク パスを指定する 1 行のみが含まれています。その他のパラメータについては、Windows コマンド プロンプトからのインストールの手順に説明されている方法と同じです。

  • 構成ファイルへのパスを渡すには、以下のコマンドを実行します。
    msiexec -i "[パスを]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_PATH="[パスを]\wlconfig.cfg"
  • 構成ファイルの内容を渡すには、以下のコマンドを実行します。
    msiexec -i "[パスを]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_CONTENT="config_file_content_without_spaces"

実行するインストーラのバージョンが一致するように、コマンドを必ず更新してください。

必要なコマンド ライン パラメータが含まれている変換ファイル (.MST) を作成します。.MST ファイルを作成する Orca ツールは Windows SDK にあります。これは、Microsoft から入手することができます。

Orca で .MST ファイルを作成するには、以下の手順を実行します。

  1. Orca を開きます。
  2. ファイル > 開く を選択してから、ダウンロードした .MSI ファイルを選択します。
  3. 新しい変換を開始するには、変換 > 新しい変換 の順に選択します。
  4. プロパティ リストで、次のようにプロパティを追加します。
    • 構成ファイルへのパスを渡すには、構成ファイルへのパスと共に CONFIG_PATH プロパティを追加します。
    • 構成ファイルの内容を渡すには、構成ファイルの内容と共に CONFIG_CONTENT プロパティを追加します (スペースなし)。
    • インストーラと構成ファイルが同じ場所にある場合は、プロパティを追加する必要はありません。
  5. 変換ファイルを生成するには、変換 > 変換を生成する の順に選択します。
  6. 変換ファイルを保存するには、ファイル > 名前を付けて保存 を選択します。
  7. 元の .MSI ファイルを、.MSI ファイルが含まれるディレクトリにコピーします。
  8. インストールを手動でテストするには、以下のコマンドを入力します。
    install: msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi -t TRANSFORMS=[Logon App mst ファイル]

    実行するインストーラのバージョンが一致するように、コマンドを必ず更新してください。

.MST ファイルを作成したら、.MSI ファイルと .MST ファイルの両方が含まれているソフトウェア インストール GPO を作成します。

ソフトウェア インストール GPO を作成するには、以下の手順を実行します。

  1. グループ ポリシー管理エディタを開きます。
  2. ソフトウェア インストール設定に移動します。
  3. 右クリックして、新規 > パッケージ の順に選択します。
  4. .MSI ファイルへのネットワーク パスを指定します。
  5. 詳細 を選択します。
  6. 変更 タブを選択します。
  7. 追加 をクリックします。
  8. .MST ファイルへのネットワーク パスを指定します。
  9. OK をクリックします。
  10. Windows スタート メニューで、コマンド プロンプト を右クリックして、管理者として実行 を選択します。
    Windows コマンド プロンプト ウィンドウが開きます。
  11. gpupdate を使用して、グループ ポリシー設定を更新します。
  12. GPO をテストするには、ドメイン のコンピュータを再起動します。

UAC に認証情報を要求するよう Windows を構成する

Windows UAC の昇格プロンプトの動作は、ユーザーに認証情報の入力を求める、または単にユーザーにアクションの承認を求めるよう (認証情報は不要) 構成することができます。AuthPoint Agent for Windows が UAC プロンプトに MFA を強制するようにするには、UAC プロンプトに対し認証情報を要求するようコンピュータを構成する必要があります。

この設定はグループ ポリシー エディタで構成することができます。

  1. グループ ポリシー エディタ を開きます。
  2. コンピュータ構成 > Windows 設定 > セキュリティ設定 > ローカル ポリシー > セキュリティ オプション の順に選択します。
  3. グループ ポリシー設定を編集し、セキュリティ設定を 認証情報の入力をプロンプトする に変更します。
    • ユーザー アカウント制御:標準ユーザーでの昇格プロンプトの動作
    • ユーザー アカウント制御:管理者承認モードにおける管理者の昇格プロンプトの動作

詳細については、Microsoft ユーザー アカウント制御の設定と構成 を参照してください。

Logon App を更新する

Logon App は自動的に最新バージョンにアップグレードしません。Logon App をアップグレードするには、Agent for Windows の更新版か、Agent for macOS をダウンロードしてインストールする必要があります。最新バージョンの エージェントは ダウンロード ページで入手できます。

エージェントの更新されたバージョンをインストールする際に Logon App のアンインストール、または新しい構成ファイルのダウンロードは必要ありません。

Agent for Windows を更新するには、以下の手順を実行します。

  1. AuthPoint management UI で ダウンロード を選択します。
  2. Logon App セクションのオペレーティング システムの横で インストーラをダウンロードする をクリックします。構成ファイルをダウンロードする必要はありません。

Screen shot that shows the Logon App section of the Downloads page.

  1. ダウンロードした Logon App インストーラをコンピュータ上で実行するか、前のセクションの手順に従って、コマンド ラインまたは GPO を使用してエージェントをインストールします。

Logon App をアンインストールする

AuthPoint MFA でコンピュータやサーバーを保護する必要がなくなった際に、Logon App をアンインストールするすることができます。

AuthPoint ライセンスの有効期限が切れている、あるいは Logon App がインストールされている場合、ユーザーはパスワードだけを使ってコンピュータにログインできます。

  1. Windows のスタート メニューを開いて、設定 を選択します。
  2. アプリと機能 に移動します。
  3. AuthPoint Agent for Windows を選択します。
  4. アンインストール をクリックします。
  5. Logon App がアンインストールされたら、コンピュータを再起動します。

バージョン 1.5.21 以降の macOS 用 Logon App をアンインストールするには、Logon_App_for_Mac_uninstall.pkg パッケージ ファイルを実行する必要があります。

  1. /Users/$USER/Applications/WatchGuard に移動します。
  2. Logon_App_for_Mac_uninstall.pkg パッケージ ファイルを実行します。
  3. ウィザードの手順に従います。完了後は、コンピュータを再起動する必要があります。

バージョン 1.5.20 以前の macOS 用 Logon App をアンインストールするには、ターミナル アプリを使用して uninstall.sh スクリプトを実行する必要があります。uninstall.sh スクリプトは、アプリケーション フォルダ (/Users/$USER/Applications/WatchGuard/uninstall.sh) にあります。

  1. コンピュータの起動時に、Command + S を押してシングル ユーザー モードにします。
  2. ディスクを readwrite に設定するには、コマンド mount -o update / を入力します。
  3. アンインストール スクリプトを実行するには、コマンド sudo sh /Applications/WatchGuard/Logon\ App\ for\ Mac/uninstall.sh を入力します。
  4. Logon App がアンインストールされたら、コンピュータを再起動します。

ユーザー ログインに失敗した場合でも、コンピュータのセーフ モードで Logon App をアンインストールすることができます。

Windows Installer (msiserver) は、デフォルトではセーフ モードで動作しません。セーフ モードで Windows Installer を有効にするには、レジストリ キーを変更する必要があります。

  1. コンピュータをセーフ モードで起動します。
  2. ログインしたら、Cortana の検索ボックスに cmd と入力します。
  3. コマンド プロンプト アプリを右クリックして、管理者として実行 を選択します。
    ユーザー アカウント コントロール ダイアログ ボックスが表示されます。
  4. はい をクリックします。
  5. コマンド プロンプト ダイアログ ボックスに、以下のいずれかのコマンドを入力して Enter を押します。
    • セーフ モードのコンピュータの場合は、reg add "hklm\system\currentcontrolset\control\safeboot\minimal\msiserver" /ve /t reg_sz /f /d "service" と入力します。
    • セーフ モードのネットワークありのコンピュータの場合は、reg add "hklm\system\currentcontrolset\control\safeboot\network\msiserver" /ve /t reg_sz /f /d "service" と入力します。
  6. msiserver を起動するには、コマンド プロンプト ダイアログ ボックスに、net start msiserver と入力します。Enter を押します。
  7. これで、次のように Logon App をセーフ モードでアンインストールすることができます。
    1. Windows のスタート メニューを開いて、設定 を選択します。
    2. アプリと機能 に移動します。
    3. AuthPoint Agent for Windows を選択します。
    4. アンインストール をクリックします。
  8. Logon App がアンインストールされたら、コンピュータを再起動します。
  1. コンピュータが起動したら、即座に Command (⌘)/ALT + R キーを長押しします。
    Apple のロゴが表示されます。
  2. 復旧オプションが表示されたら、Command (⌘)/ALT + R キーを放します。
  3. FileVault が有効化されている場合は、復旧モードに入ると、パスワードを知っているアカウントを指定するよう求められます。Logon App をアンインストールする前にディスクをアンマウントし、再マウントする必要があります。FileVault が有効化されていない場合はステップ 4 に進みます。
    1. ユーザー アカウントを選択し、パスワードを入力してドライブをロック解除します。
    2. ディスク ユーティリティ アプリケーションを起動します。
    3. Macintosh HD を選択します。
    4. ディスクをアンマウントするには、ファイル > アンマウント の順に選択します。
    5. ディスクを再マウントするには、ファイル > マウント の順に選択します。
  4. ユーティリティ > ターミナル の順に選択します。
  5. ターミナル ウィンドウに、コマンド cd /Volumes/Macintosh\ HD/Applications/WatchGuard/Logon\ App\ for\ Mac/ を入力します。
  6. コマンド sh .recovery.sh を入力します。
  7. reboot と入力します。
  8. ユーザー名とパスワードを使ってコンピュータにログインします。ログインしたら、表示される AuthPoint ウィンドウをクリックして閉じます。
  9. Logon App をアンインストールするには、/Users/$USER/Applications/WatchGuard に移動します。
  10. Logon_App_for_Mac_uninstall.pkg パッケージ ファイルを実行します。
  11. ウィザードの手順に従います。完了後は、コンピュータを再起動する必要があります。

Logon App による認証

Logon App がコンピュータにインストールされると、ログインに認証が必要になります。ログイン画面で、ユーザーはパスワードを入力し、許可されたいずれかの認証方法を選択する必要があります。どの認証方法が使用可能かは、Logon App リソースとユーザーのグループを含む最も上位の認証ポリシーによって決まります。

Windows 用 Logon App は、MFA が完了するまでユーザーのパスワードを検証しません。ユーザーがパスワードを入力すると、Logon App は、そのパスワードが間違っていても、認証フローの MFA の部分に進みます。MFA が正常に完了すると、Logon App はパスワードを検証します。パスワードが間違っていると認証は失敗します。

プッシュ認証を有効にしている場合、ユーザーは ログイン時にプッシュ通知を自動的に送信する チェック ボックスを選択することで、認証処理をより簡単に行うことができます。このオプションを選択すると、ユーザーがユーザー名とパスワードを入力した後、Logon App からユーザーに自動的にプッシュ通知が送信されます。

Logon App は、Windows の自動ログオンに対応していません。

Logon App がインストールされたコンピュータにログインするには、以下の手順を実行します。

  1. ユーザー名 テキスト ボックスに、ドメイン ユーザーのユーザー名を入力します。ローカル ユーザーとしてログインするには、ホスト名\ユーザー名 の形式でユーザー名を入力します。
  2. パスワード テキスト ボックスに、Windows または Mac のパスワードを入力するか、生体認証 ID (指紋または顔) を使って認証します。Active Directory ユーザー アカウントの場合は AD パスワードを入力します。
  3. 次へ をクリックします。
    MFA が必要な場合は、認証画面が表示されます。グループの認証ポリシーでパスワードのみが必要とされる場合は、ログインされます。
  4. MFA が必要な場合は、以下の サインインオプション で認証オプションを選択します。プッシュが既定の認証方法です。異なる認証オプションを選択すると、それが既定の認証方法になります。

    コンピュータにインターネット接続がないときに MFA が求められる場合は、ワンタイム パスワードか QR Code の認証オプションを選択して認証をオフラインで行う必要があります。

  5. Enter または Return を押して認証します。
    • プッシュ — モバイル デバイスに送信されるプッシュ通知を承認します。
    • QR Code — AuthPoint モバイル アプリを使って QR Code をスキャンし、アプリに表示された検証コードを入力します。
    • ワンタイム パスワード — トークンのワンタイム パスワードを入力します。

トークンを持っていない場合は、トークンを忘れた場合機能を使って、インストールされている Logon App を使ってコンピュータにログオンします。詳細については、次を参照してください:モバイル デバイスを使わない認証

インストールされている Logon App のバージョンを確認する

Logon App がインストールされているコンピュータにログインする際、認証画面で ? アイコンをクリックすると、Logon App に関する情報を表示できます。

関連トピック

MFA を構成する

AuthPoint 認証ポリシーについて

認証について