翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ユーザーに MFA を求める 次のステップを使用して、ワークフォースユーザーが AWS アクセスポータルにサインインしようとするたびに多要素認証 (MFA) を求められる頻度を決定できます。開始する前に、[IAM Identity Center で使用可能な MFA タイプ](mfa-types.md) を理解することをお勧めします。 **重要** このセクションの手順は [AWS IAM アイデンティティセンター](https://aws.amazon.com/iam/identity-center/) に適用されます。これらは [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM) には適用されません。IAM Identity Center ユーザー、グループ、およびユーザー認証情報は、IAM ユーザー、グループ、IAM ユーザー認証情報とは異なります。IAM ユーザーの MFA を無効化する手順をお探しの場合は、「*AWS Identity and Access Management ユーザーガイド*」の「[MFA デバイスの無効化](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_disable.html)」を参照してください。 **注記** 外部の IdP を使用している場合は、[**多要素認証**] の項目は表示されません。MFA 設定を IAM Identity Center が管理するのではなく、外部の IdP が管理します。 **MFA を設定するには** 1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。 1. 左のナビゲーションペインの [**設定**] を選択します。 1. **[設定]** ページで、**[認証]** タブを選択します。 1. [**多要素認証**] セクションで、[**設定**] を選択します。 1. [**多要素認証を設定**] ページの [**MFA のプロンプトをユーザーに表示**] で、ビジネスに必要なセキュリティのレベルに基づいて、次の認証モードのいずれかを選択します。 + **サインインごと (常時オン)** このモード (デフォルト設定) では、 IAM アイデンティティセンター は、登録された MFA デバイスを持つユーザーがサインインごとにプロンプトを表示することを要求します。これは最も安全な設定であり、 AWS アクセスポータルにサインインするたびに MFA を使用することを要求することで、組織またはコンプライアンスポリシーが適用されます。例えば、PCI DSS は、高リスクの支払取引をサポートするアプリケーションにアクセスする際のすべてのサインイン時に MFA を使用することを強く推奨しています。 + **サインインコンテキストが変更された場合のみ (context-aware)** このモードでは、IAM アイデンティティセンターはサインイン中にデバイスを信頼するオプションをユーザーに提供します。ユーザーがデバイスを信頼することを表明すると、IAM Identity Center はユーザーに MFA の入力を一度要求し、ユーザーが次にサインインする際のサインインコンテキスト (デバイス、ブラウザ、場所など) を分析します。後続のサインインでは、IAM Identity Center は、ユーザーが以前に信頼されたコンテキストでサインインしているかどうかを判断します。ユーザーのサインインコンテキストが変更されると、IAM Identity Center はユーザーに E メールアドレスとパスワードの認証情報に加えて MFA の入力を求めます。 このモードは、職場から頻繁にサインインするが、**常時オン**のオプションよりも安全性が低いユーザーに使いやすさを提供します。ユーザーは、サインインコンテキストが変更された場合にのみ MFA を要求されます。 + **なし (無効)** このモードでは、すべてのユーザーが標準のユーザー名とパスワードのみでサインインします。このオプションを選択すると、IAM アイデンティティセンター MFA を無効するため、お勧めではありません。 ユーザーの Identity Center ディレクトリに対して MFA が無効になっている間は、ユーザーの詳細で MFA デバイスを管理することはできません。また、Identity Center ディレクトリユーザーは AWS アクセスポータルから MFA デバイスを管理できません。 **注記** で既に RADIUS MFA を使用していて Directory Service、デフォルトの MFA タイプとして引き続き使用する場合は、認証モードを無効にしたままにして IAM アイデンティティセンターの MFA 機能をバイパスできます。**Disabled** (無効) モードから **Context-aware** または **Always-on** モードに変更すると、既存の RADIUS MFA 設定が上書きされます。詳細については、「[RADIUS MFA](mfa-types.md#about-radius)」を参照してください。 1. [**変更の保存**] を選択します。 **関連トピック** + [ユーザー認証に MFA タイプを選択する](how-to-configure-mfa-types.md) + [MFA デバイス強制の設定](how-to-configure-mfa-device-enforcement.md) + [ユーザーが自分の MFA デバイスを登録できるようにする](how-to-allow-user-registration.md)