高度な保護機能プログラムのユーザー登録を有効にする

1. 高度な保護機能プログラムの対象とするべき攻撃を受けやすいユーザーを特定します。
   多くの攻撃は、組織内における影響が少ないと見なされるユーザーに対する不正侵害から始まり、そこから被害が拡散します。今後、より多くのロールとユーザーを登録対象に含めることをご検討ください。保護対象として優先度の高いユーザーの例を以下に示します。ただし、それ以外のユーザーから攻撃が始まり、そこから被害が拡散する可能性もあります。このリストは順次拡張できます。
   • 特権管理者は多くの権限を持っているため、頻繁に攻撃を受ける可能性があります。
   • 請求部門や生産部門のユーザーも多くの権限を持っている場合があり、攻撃対象になる可能性があります。
   • 経営幹部や上級役員も攻撃対象になることがあります。
   • 過去に標的にされた可能性があったり、国家主導型のサイバー攻撃の対象となったりしたユーザー グループが存在するかどうかについても確認します。また、攻撃に対して脆弱な可能性があるユーザーに関する通知を過去に受け取っているかもしれません。組織全体を確認してください。
2. 組織部門単位でユーザーをグループ化します。

高度な保護機能プログラムに登録するユーザーには、セキュリティ キーが必要です。スマートフォンの組み込みのセキュリティ キーとバックアップ用の物理的なキーを使用できます。ご使用のスマートフォンにセキュリティ キーが組み込まれていない場合は、物理的なセキュリティ キーを 2 つ使用できます。

セキュリティ キーについて詳しくは、セキュリティ キーを注文するをご覧ください。

高度な保護機能で信頼できるアプリのリストを設定し、ユーザーのデータなど組織のデータの扱いに際し信頼できるアプリを指定します。信頼できるアプリのリストは組織全体に適用されます。デフォルトでは、Google ネイティブ アプリ、Apple iOS ネイティブ アプリ、Mozilla Thunderbird が、高度な保護機能を設定したユーザーに信頼できるアプリとして示されます。業務に必要なその他のアプリは、信頼できるアプリのリストに明示的に追加する必要があります。

1. Google 管理コンソールにログインします。

   特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。

2. 管理コンソールで、メニュー アイコン  [セキュリティ][アクセスとデータ管理][API の制御][サードパーティ製アプリのアクセスを管理] の順に移動します。
   この操作を行うには、特権管理者としてログインする必要があります。

3. サードパーティ製アプリへのアクセスを管理する手順について詳しくは、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。

高度な保護機能プログラムでは、2 段階認証プロセスを使用します。Google 管理コンソールで、2 段階認証プロセスの有効化をユーザーに許可する設定を選択する必要があります。この設定は最上位階層の組織全体（複数のドメインで構成されている場合も含む）に適用されます。

1. 2 段階認証プロセスを導入するの「手順 2: 基本の 2 段階認証プロセスをセットアップする（必須）」を参照してください。
2. 手順に沿って、組織全体（すべてのドメイン）で 2 段階認証プロセスを有効にします。

デフォルトでは、ユーザーは自分で高度な保護機能プログラムに登録できます。このユーザー機能は必要に応じて無効にできます。

1. Google 管理コンソールにログインします。

   特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [認証] [高度な保護機能プログラム] にアクセスします。
3. 登録を有効にする対象ユーザーを含む組織部門を選択します。
4. [ユーザー登録を有効にする] がデフォルト設定です。選択されていない場合は選択します。
5. ユーザーが生成できるセキュリティ コードのタイプを指定します。セキュリティ コードを使用するとセキュリティ強度が低くなるため、セキュリティ コードの生成を許可するのは、ユーザーがセキュリティ コードを使用する必要がある場合のみにしてください。セキュリティ ポリシーについて詳しくは、高度な保護機能プログラムでユーザーを保護するをご覧ください。

   ユーザー用に次のいずれかのセキュリティ コード オプションを選択します。

   • ユーザーがセキュリティ コードを生成できないようにする - ユーザーはセキュリティ コードを生成できません。このオプションを使用した場合、セキュリティ強度は最も高くなります。すべてのユーザーが Google Chrome と最新のアプリケーションを使用している場合は、このオプションを使用します。
   • リモート アクセス以外で使用するセキュリティ コードの生成を許可する - ユーザーはセキュリティ コードを生成し、そのコードを同じデバイスまたはローカル ネットワーク（NAT または LAN）で使用できます。この設定がデフォルトです。このオプションは、セキュリティ コードを使用しない場合よりセキュリティ強度は低くなりますが、以下に説明するとおり、リモート アクセスでセキュリティ コードを使用する場合よりもセキュリティ強度は高くなります。このオプションは次のアプリやブラウザで動作します。
     • iOS アプリ
     • Mac アプリケーション
     • Internet Explorer
     • Safari
     • 従来型のデスクトップ アプリケーションとモバイルアプリ（認証に Chrome ではなく WebView を使用するもの）
   • リモート アクセスで使用するセキュリティ コードの生成を許可する - ユーザーはセキュリティ コードを生成し、そのコードを他のデバイスまたはネットワークで使用できます（リモート サーバーや仮想マシンにアクセスするときなど）。

詳しくは、Google Workspace アップデート ブログをご覧ください。

高度な保護機能への登録を有効にすると、ユーザーは自分で登録できるようになります。ユーザーはウェブページにアクセスしてセキュリティ キーを設定します。また、高度な保護機能を有効にした場合の変更に関する情報も提供されます。

次のような会社としての計画をユーザーに伝えます。

• 高度な保護機能の内容と、この機能を会社で使用する理由を説明します。
• 高度な保護機能の使用が必須かどうかを説明します。
• 必要に応じて、ユーザーが自分で高度な保護機能に登録できる期限を指定します。
• 登録後、ユーザーはすべてのデバイスとサードパーティ製アプリからログアウトされるので、ログインし直す必要があることを説明します。
• ユーザーにセキュリティ キーを配布します。
• 自己登録用ウェブページへのリンク: 高度な保護機能プログラム