翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ユーザーに MFA を求める
次のステップを使用して、ワークフォースユーザーが AWS アクセスポータルにサインインしようとするたびに多要素認証 (MFA) を求められる頻度を決定できます。開始する前に、IAM Identity Center で使用可能な MFA タイプ を理解することをお勧めします。
重要
このセクションの手順は AWS IAM アイデンティティセンター
注記
外部の IdP を使用している場合は、[多要素認証] の項目は表示されません。MFA 設定を IAM Identity Center が管理するのではなく、外部の IdP が管理します。
MFA を設定するには
-
IAM アイデンティティセンターコンソール
を開きます。 -
左のナビゲーションペインの [設定] を選択します。
-
[設定] ページで、[認証] タブを選択します。
-
[多要素認証] セクションで、[設定] を選択します。
-
[多要素認証を設定] ページの [MFA のプロンプトをユーザーに表示] で、ビジネスに必要なセキュリティのレベルに基づいて、次の認証モードのいずれかを選択します。
-
サインインごと (常時オン)
このモード (デフォルト設定) では、 IAM アイデンティティセンター は、登録された MFA デバイスを持つユーザーがサインインごとにプロンプトを表示することを要求します。これは最も安全な設定であり、 AWS アクセスポータルにサインインするたびに MFA を使用することを要求することで、組織またはコンプライアンスポリシーが適用されます。例えば、PCI DSS は、高リスクの支払取引をサポートするアプリケーションにアクセスする際のすべてのサインイン時に MFA を使用することを強く推奨しています。
-
サインインコンテキストが変更された場合のみ (context-aware)
このモードでは、IAM アイデンティティセンターはサインイン中にデバイスを信頼するオプションをユーザーに提供します。ユーザーがデバイスを信頼することを表明すると、IAM Identity Center はユーザーに MFA の入力を一度要求し、ユーザーが次にサインインする際のサインインコンテキスト (デバイス、ブラウザ、場所など) を分析します。後続のサインインでは、IAM Identity Center は、ユーザーが以前に信頼されたコンテキストでサインインしているかどうかを判断します。ユーザーのサインインコンテキストが変更されると、IAM Identity Center はユーザーに E メールアドレスとパスワードの認証情報に加えて MFA の入力を求めます。
このモードは、職場から頻繁にサインインするが、常時オンのオプションよりも安全性が低いユーザーに使いやすさを提供します。ユーザーは、サインインコンテキストが変更された場合にのみ MFA を要求されます。
-
なし (無効)
このモードでは、すべてのユーザーが標準のユーザー名とパスワードのみでサインインします。このオプションを選択すると、IAM アイデンティティセンター MFA を無効するため、お勧めではありません。
ユーザーのアイデンティティセンターディレクトリでは MFA が無効になっていますが、ユーザー詳細で MFA デバイスを管理することはできません。また、アイデンティティセンターディレクトリのユーザーは AWS アクセスポータルから MFA デバイスを管理できません。
注記
既に Directory Service で RADIUS MFA を使用しており、今後もデフォルトの MFA タイプとして使用したい場合は、認証モードを無効のままにしておくと、IAM Identity Center の MFA 機能をバイパスできます。Disabled (無効) モードから Context-aware または Always-on モードに変更すると、既存の RADIUS MFA 設定が上書きされます。詳細については、「RADIUS MFA」を参照してください。
-
-
[変更の保存] を選択します。
関連トピック
