翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ユーザーに MFA を求める
次のステップを使用して、ワークフォースユーザーが AWS アクセスポータルにサインインしようとするたびに多要素認証 (MFA) を求められる頻度を決定できます。開始する前に、IAM Identity Center で使用可能な MFA タイプ を理解することをお勧めします。
重要
このセクションの手順は AWS IAM Identity Center
注記
外部の IdP を使用している場合は、[多要素認証] の項目は表示されません。MFA 設定を IAM Identity Center が管理するのではなく、外部の IdP が管理します。
MFA を設定するには
-
左のナビゲーションペインの [設定] を選択します。
-
[設定] ページで、[認証] タブを選択します。
-
[多要素認証] セクションで、[設定] を選択します。
-
[多要素認証を設定] ページの [MFA のプロンプトをユーザーに表示] で、ビジネスに必要なセキュリティのレベルに基づいて、次の認証モードのいずれかを選択します。
-
サインインごと (常時オン)
このモード (デフォルト設定) では、IAM Identity Center では、登録された MFA デバイスを持つユーザーがサインインするたびにプロンプトが表示される必要があります。これは最も安全な設定であり、 AWS アクセスポータルにサインインするたびに MFA を使用することを要求することで、組織またはコンプライアンスポリシーが適用されます。例えば、PCI DSS は、高リスクの支払取引をサポートするアプリケーションにアクセスする際のすべてのサインイン時に MFA を使用することを強く推奨しています。
-
サインインコンテキストが変更された場合のみ (context-aware)
このモードでは、IAM Identity Center はサインイン中にデバイスを信頼するオプションをユーザーに提供します。ユーザーがデバイスを信頼することを表明すると、IAM Identity Center はユーザーに MFA の入力を一度要求し、ユーザーが次にサインインする際のサインインコンテキスト (デバイス、ブラウザ、場所など) を分析します。後続のサインインでは、IAM Identity Center は、ユーザーが以前に信頼されたコンテキストでサインインしているかどうかを判断します。ユーザーのサインインコンテキストが変更されると、IAM Identity Center はユーザーに E メールアドレスとパスワードの認証情報に加えて MFA の入力を求めます。
このモードは、職場から頻繁にサインインするが、常時オンのオプションよりも安全性が低いユーザーに使いやすさを提供します。ユーザーは、サインインコンテキストが変更された場合にのみ MFA の入力を求められます。
-
なし (無効)
このモードでは、すべてのユーザーが標準のユーザー名とパスワードのみでサインインします。このオプションを選択すると、IAM Identity Center MFA が無効になるため、推奨されません。
ユーザーの Identity Center ディレクトリに対して MFA が無効になっている間は、ユーザーの詳細で MFA デバイスを管理することはできません。また、Identity Center ディレクトリユーザーは AWS アクセスポータルから MFA デバイスを管理できません。
注記
で既に RADIUS MFA を使用していて AWS Directory Service、デフォルトの MFA タイプとして引き続き使用する場合は、認証モードを無効のままにして IAM アイデンティティセンターの MFA 機能をバイパスできます。Disabled (無効) モードから Context-aware または Always-on モードに変更すると、既存の RADIUS MFA 設定が上書きされます。詳細については、「RADIUS MFA」を参照してください。
-
-
[変更の保存] を選択します。
関連トピック
