MFA 強制の例外

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • MFA 強制の例外に関連する FAQ と、それが重要である理由。

    1. 特定のユーザーに対してMFAの義務を緩和するにはどうすればよいでしょうか?

      Yokohama リリースでは、新しいユーザーグループである MFA 適用対象外ユーザーグループレコードが追加されています。デフォルトの条件に基づいて、MFA ポリシーが追加され、このグループのメンバーであるすべてのユーザーに MFA が適用されます。

      MFA 適用対象外ユーザーグループ

      特定のユーザーの MFA を緩和するには、次の手順に従います。

      • MFA コンテキストに移動します。MFA コンテキストレコードに関連付けられたステップアップ MFA ポリシーは、「非 SSO ログインに MFA を強制する」である必要があります。ポリシー
      • [ ポリシーの入力 ] 関連リストで、[ MFA 適用対象外グループのメンバーである] フィルター基準レコードを選択します。
      • MFA 適用対象外ユーザーグループを選択します。ポリシー入力
      • ユーザーをメンバーとしてこのグループに追加して、MFA の適用を免除します。ユーザーを追加
      注:
      MFA コンテキストに別のポリシーが関連付けられている場合は、「MFA 適用対象外グループのメンバー」フィルター基準をポリシーに追加し、このグループのユーザーを MFA の適用から除外するようにポリシー条件を変更できます。
    2. 特定の役割についてMFAの義務をどのように緩和できますか?

      Yokohama リリースでは、空の新しいロール [ MFA 適用対象外ロールあり ] フィルター基準が追加されています。MFA ポリシーには、ロールが免除されたロール基準の一部であるユーザーを MFA の適用から除外するための条件が追加されています。

      緩和された MFA

      特定のロールの MFA を緩和するには、次の手順に従います。

      • MFA コンテキストに移動します。MFA コンテキストレコードに関連付けられたステップアップ MFA ポリシーは、「 非 SSO ログインに MFA を強制する」である必要があります。MFA 適用対象外ロール
      • [ ポリシーの入力 ] 関連リストで、[ MFA 適用対象外ロールフィルター基準あり ] レコードを選択します。ポリシー入力
      • 条件に追加するロールを追加します。OR 演算子を使用して複数のロールを追加できます。
      注:
      MFA コンテキストに関連付けられた別のポリシーがある場合は、[ MFA 適用対象外ロールあり ] フィルター基準をポリシーに追加できます。ポリシー条件を変更して、適用対象外ロールを持つユーザーを MFA の適用から除外します。
    3. 特定のグループに対してMFAの義務を緩和するにはどうすればよいですか?

      Yokohama リリースでは、 ユーザーグループ MFA 適用対象外ユーザーグループ が追加されています。MFA ポリシーに追加されたデフォルトの条件に基づいて、このグループのメンバーであるユーザーまたはグループは MFA で強制されません。

      除外グループ

      特定のグループの MFA を緩和するには、次の手順に従います。

      • MFA コンテキストに移動します。MFA コンテキストレコードに関連付けられたステップアップ MFA ポリシーは、「 非 SSO ログインに MFA を強制する」である必要があります。ポリシー入力
      • [ ポリシーの入力 ] 関連リストで、[ MFA 適用対象外グループのメンバーである] フィルター基準レコードを選択します。
      • MFA 適用対象外ユーザーグループを選択します。グループフィルター基準
      • MFA の適用を除外するグループをこのグループに追加します。グループの追加
    4. 信頼できるネットワークに対するMFAの義務をどのように緩和できますか?
      • 移動先 適応認証 > フィルター基準 > IP フィルター基準.
      • 信頼できるネットワークを指定する基準を作成します。信頼できるネットワークの一部として IP 範囲またはサブネットのリストを指定できます。IP フィルター基準
      • 移動先 適応認証 > 認証ポリシーのコンテキスト > MFA コンテキスト.
      • コンテキストに関連付けられているポリシーを開きます。ポリシーの変更
      • 編集を選択して、作成した IP フィルター基準[ポリシー入力] 関連リストに追加しますポリシーの選択
      • ポリシー条件を変更して、ユーザーが信頼できるネットワークの一部である場合に false と評価されることを確認します。ポリシー入力の変更
      注:
      MFA コンテキストに関連付けられた別のポリシーがある場合は、ステップ 1 の一部として作成された IP フィルター基準をポリシーに追加し、信頼済みネットワークでの MFA の適用を除外するようにポリシー条件を変更できます。
    5. 信頼できる場所に対する MFA の義務をどのように緩和できますか?

      Zero Trust – Location Based Access (追加のサブスクリプションが必要) プラグインで利用可能な場所フィルター基準を使用できます。

    6. 頻繁なMFAの適用を制御する方法は?

      Zero Trust – Location-Based Access プラグインで利用可能な場所のフィルター基準を使用します (追加のサブスクリプションが必要です)。

      MFA 検証ページには、ブラウザーを記憶するためのチェックボックスがあります。記憶されたブラウザーに MFA が適用されない:

      MFA はチャレンジしない
      • このシステムプロパティで指定された期間。 glide.authenticate.multifactor.browser.fingerprint.validity。プロパティのデフォルト値は 8 時間です。この期間は、最大 24 時間延長できます。同様に、 glide.authenticate.multifactor.remember.browser.default システムプロパティを使用して、チェックボックスのデフォルト値を true に設定できます。
      • 移動先 多要素認証 > プロパティ をクリックし、これら 4 つのプロパティを調整して、記憶されたブラウザー機能を制御します。プロパティの変更
    7. ユーザーが共有するアカウントに対して MFA はどのように機能しますか?

      複数のユーザーによって共有される単一のアカウントはセキュリティ上のリスクです。アカウントを複数のユーザーと共有することはお勧めしません。