ユーザーのセキュリティ設定を管理する

1. [パスワード] [パスワードを再設定] をクリックします。
2. [パスワードを自動的に生成する] オプションをオンにするか、手動入力します。

   パスワードの最小文字数は、デフォルトでは 8 文字です。管理者は、必要に応じて組織のパスワード要件を変更できます。

3. （省略可）プレビュー アイコン をクリックしてパスワードを確認します。
4. （省略可）ユーザーにパスワードの変更を要求する場合は、[次回ログイン時にパスワードの変更を要求する] がオン になっていることを確認します。
5. [再設定] をクリックします。
6. （省略可）別の場所（ユーザーとの Google Chat の会話の画面など）にパスワードを貼り付けるには、[クリックしてパスワードをコピー] をクリックします。
7. ユーザーにパスワードをメールで送信するか、[完了] をクリックします。

セキュリティ キーは、2 段階認証プロセスを使って Google アカウントにログインする際に使用する小型デバイスです。セキュリティ キーは、Google がサポートしている 2 段階認証プロセス方式の中で、最も安全です。パソコンの USB ポートに挿入するか、NFC または Bluetooth を利用してモバイル デバイスに接続します。詳細

ユーザーがセキュリティ キーを使用中の場合は、[セキュリティ キー] 欄をクリックして、キーが追加された日時と最後に使用された日時を確認します。

キーを追加する

セキュリティ キーは、管理者がユーザーに代わって追加するか、ユーザーが自分で追加することができます。

• ユーザーが独自の鍵を追加できるようにするには:
  1. ユーザーに対して「パスワードをスキップ」の設定がオフになっていることを確認します。手順については、ユーザーに対してパスワードのスキップ機能を有効または無効にするをご覧ください。
  2. 2 段階認証プロセスにセキュリティ キーを使用するの手順に沿って対応するようユーザーに案内します。
• ユーザーに代わってキーを追加するには:
  1. [セキュリティ キー] [セキュリティ キーを追加] をクリックします。
  2. 画面の指示に沿って操作します。

     注: お使いのパソコンにセキュリティ キーが挿入されている場合は、キーを取り外してからユーザーの新しいキーを登録してください。

  3. [Done] をクリックします。

キーを削除する

セキュリティ キーを削除するのは、キーを紛失した場合のみです。キーを一時的に利用できない場合は、その際の回避策としてバックアップ セキュリティ コードを生成できます。ユーザーのバックアップ確認コードを取得するをご覧ください。

1. [セキュリティ キー] 欄をクリックして鍵情報テーブルを表示します。
2. テーブルを右端までスクロールします。
3. 削除するキーの行にカーソルを合わせ、右側にある削除アイコン をクリックします。
4. 削除アイコン [削除] をクリックします。
5. [完了] をクリックします。

   セキュリティ キーを取り消すたびに、管理ログイベントにエントリが追加されます。

注: ユーザーに対して、2 段階認証プロセスでのセキュリティ キーの使用を必須にすることができます。

管理者は、ユーザーの高度な保護機能の登録ステータスを確認し、必要に応じてユーザーごとに登録を解除できます。

• ステータスが [オン] の場合、現在ユーザーが高度な保護機能に登録されていることを意味します。
• ステータスが [オフ] の場合、ユーザーは高度な保護機能に登録されていません。

ここで高度な保護機能の登録を無効にした場合、再登録できるのは [セキュリティ] [認証] [高度な保護機能プログラム] で [ユーザー登録を有効にする] 設定が有効になっているユーザーのみになります。詳しくは、ユーザーが登録できるようにするをご覧ください。

2 段階認証プロセス（2SV）を有効にできるのは、ユーザーのみです。管理者が行えるのは、ユーザーの 2 段階認証プロセスの現在の設定の確認です。また、ユーザーがロックされた場合はバックアップ コードを取得できます。

[2 段階認証プロセス] 欄では、2 段階認証プロセスがユーザーに対して有効になっているかどうか、2 段階認証プロセスが組織全体に適用されているかどうかを確認できます。

• アカウントにアクセスできないユーザーに対し、2 段階認証プロセスをオフにすることもできますが、おすすめしません。代わりに、ユーザーがログインするためのバックアップ コードを取得します。

  注: アカウントが停止されているユーザーに対し、2 段階認証プロセスを無効にすることはできません。

• 2 段階認証プロセスが組織全体に適用されている場合、ユーザーの 2 段階認証プロセスを個別にオフにするオプションは無効になります。

2 つ目の認証方法に一時的にアクセスできないユーザーは、アカウントにログインできない可能性があります。たとえば、セキュリティ キーを自宅に置いてきた場合や、携帯電話でアクセスコードを受信できない場合などです。そうしたユーザーに対しては、バックアップ確認コードを生成してログインを可能にできます。

1. ユーザーのバックアップ確認コードを表示するには、[2 段階認証プロセス] [バックアップ確認コードを取得] をクリックします。
   注: 新しい確認コードを作成すると、既存のコードは無効になります。たとえば、管理コンソールを使用してユーザーの確認コードを作成し、その確認コードを使用して新しい確認コードを生成すると、以前のコードセットは無効になります。その逆も同様です。
2. 既存のバックアップ コードのいずれか 1 つをコピーするか、新しいコードを生成します。注: 既存のバックアップ コードが盗まれたと思われる場合や、既存のバックアップ コードをすべて使い切った場合は、[新しいコードを生成] を選択します。既存のバックアップ コードは自動的に無効になります。
3. バックアップ コードを使用してログインするの手順に沿ってログインするようユーザーに伝えます。

ユーザーがセキュリティ キーによる 2 段階認証プロセスを使用する必要がある場合:

• ユーザーが自分でバックアップ確認コードを生成することはできません。これらのコードは管理者が生成し、必要に応じてユーザーに提供する必要があります。
• ユーザーのコードを生成すると、そのコードをユーザーが使用できる猶予期間が始まり、ログインにセキュリティ キーが必要になるまでの猶予期間が通知されます。

ユーザーの 2 段階認証プロセスの要件を設定する方法について詳しくは、2 段階認証プロセスを導入するをご覧ください。

ユーザーのパスワードが盗まれた可能性がある場合は、次回のログイン時にパスワードを再設定するようユーザーに要求することができます。

1. [パスワードの変更の要求] をクリックしてオンにします。
2. [完了] をクリックします。

ユーザーがパスワードを再設定すると、この設定は自動的にオフに設定されます。

注: 組織でサードパーティの IdP を介した SSO を使用している場合、ネットワーク マスクを使用して一部のユーザーが直接 Workspace にログインできるようにしない限り、パスワードの変更を要求する設定は使用できません。ネットワーク マスクが設定されているかどうかを確認するには、[セキュリティ][サードパーティの IdP による SSO][組織の SSO プロファイル]を選択してください。

承認されていないユーザーがアカウントにアクセスしようとしている疑いがある場合、アクセスが許可される前にログイン時の本人確認を求める画面が表示されます。ユーザーは、次のいずれかを行う必要があります。

• 再設定用の電話番号または再設定用のメールアドレス（組織ドメイン以外のメールアドレス）に届いた確認コードを入力する
• アカウントのオーナーのみが正解できる本人確認用の質問に答える

ユーザーの再設定用の情報を追加、編集するには:

1. [復元情報] をクリックします。
2. 次の項目を追加または編集します。
   • メールアドレス（組織外のもの）
   • 再設定用の電話番号

     注: 再設定用の電話番号は、各ユーザーがそれぞれ別の番号を使うよう指定します。複数のユーザーが同じ再設定用の電話番号を使用すると、セキュリティ上の理由からその番号は自動的にブロックされます。

3. [保存] をクリックします。

承認されていないユーザーがアカウントにアクセスしようとしている疑いがある場合、アクセスが許可される前にログイン時の本人確認を求める画面が表示されます。ユーザーは、携帯電話に送信された確認コードを入力するか、アカウントのオーナーのみが正解できる別の確認用の質問に答える必要があります。

また、Google Workspace ユーザーが機密情報に関する操作を行うと、そのユーザーに確認用の本人確認メッセージが表示されることがあります。ユーザーがリクエストされた情報を入力できない場合、機密情報に関する操作は拒否されます。

正規のユーザーが本人であることを証明できない場合は、ログインまたは本人確認を 10 分間無効にすることで、ユーザーがログインできるようになります。

ユーザーがパソコンやモバイル デバイスを紛失した場合、管理者は、ログイン Cookie をリセットすることで、そのユーザーの Google アカウントに対する不正アクセスをブロックできます。これにより、すべてのデバイスとブラウザで、Google アカウント（Google Workspace アプリケーションを含む）からユーザーがログアウトされます。

注: ユーザーを停止した場合は、この操作は不要です。ユーザーを停止すると、ユーザーのログイン Cookie がリセットされます。

サードパーティの ID プロバイダ（IdP）を使用してシングル サインオン（SSO）を設定している場合、ユーザーの SSO セッションではログイン Cookie のリセット後でも Google アカウントにアクセスできることがあります。この場合は、SSO セッションを終了してから Google ログイン Cookie をリセットします。SSO の管理に関してサポートが必要な場合は、IdP のサポートチームにお問い合わせください。

ユーザーの Cookie をリセットするには:

1. [ログイン Cookie] [リセット] をクリックします。
2. [完了] をクリックします。

現在の Gmail セッションからユーザーがログアウトされるまでに、1 時間ほどかかる場合があります。時間はアプリケーションによって異なります。

ユーザーが 2 段階認証プロセスを使用していて、確認コードを受け付けないアプリまたはデバイスにログインする必要がある場合は、アプリケーション固有のパスワードが必要になります。詳しくは、アプリ パスワードによるログインについての説明をご覧ください。

ユーザーがアプリ パスワードを作成したアプリは、[アプリケーション固有のパスワード] 欄に表示されます。注: アプリ パスワードを使用していない場合、この欄は操作できません。

アプリ名をクリックすると、そのアプリのパスワードの作成日と最終使用日を確認できます。

ユーザーがデバイスを紛失したり、そのパスワードで認証されるアプリの使用を停止したりした場合は、アプリ パスワードを取り消す必要があります。

1. アプリ パスワードを使用しているアプリを表示するには、[アプリケーション固有のパスワード] 欄をクリックします。
2. アプリ名にカーソルを合わせ、右側の取り消しアイコン をクリックします。
3. [取り消し] をクリックします。
4. [完了] をクリックします。

ユーザーが自分のアプリ パスワードを取り消すこともできます。

[接続済みのアプリケーション] 欄には、ユーザーの Google アカウント データにアクセスできるすべてのサードパーティ製アプリケーション（Google Workspace Marketplace アプリなど）が一覧表示されます。詳しくは、承認済みのアクセスの仕組みをご覧ください。

注: サードパーティ製アプリケーションがインストールされていない場合、この欄は表示されていません。

詳しくは、アプリケーション名をクリックしてください。

• [アクセスレベル] 列には、アプリケーションがアクセスできるユーザーデータが表示されます。ユーザーは Google データへのフルアクセス権限、または部分的なアクセス権限を付与できます。
• [承認日] 列には、アプリケーションにデータアクセスが許可された日時が表示されます。

アプリのデータアクセス権限を一時的に削除するには:

1. アプリ名にカーソルを合わせ、右側の削除アイコン をクリックします。
2. [削除] をクリックします。
3. [Done] をクリックします。

注: アプリのデータアクセス権限を削除しても、ユーザーが将来そのアプリを使用できなくなることはありません（ユーザーに必要な権限がある場合）。ユーザーがアプリに再度ログインすると、データアクセス権限が復元されます。アプリケーションへのユーザー アクセスを完全に制限するには、該当するアプリケーション スコープへのアクセスをブロックし、組織で承認されているアプリの許可リストを設定します。