二要素認証

Last updated
Save as PDF

このドキュメントは原文を 2025年08月15日付けで翻訳したものです。
最新の情報は原文をご確認ください。

二要素認証のご紹介

二要素認証（二要素認証、二要素認証、2段階認証、多要素認証、MFA とも呼ばれます）は、Meraki ダッシュボードへのログイン時やクライアント VPN ユーザーの認証時に、ユーザー認証のセキュリティレベルをさらに高める手法です。これは、ユーザー名とパスワードに加えてセキュリティ識別子を利用することで実現します。多くの場合、これは実際の利用者しか持ち得ないものであり、もとのログイン方法とは独立しています。例えば、スマートフォンアプリ、SMS 認証、キーフォブなどがあります。

二要素認証が有効化されていない場合、ユーザーには「現在、Meraki ダッシュボードアカウントで二要素認証が有効になっていません。追加のセキュリティレイヤーのために、お早めに有効化することをおすすめします。」というバナーが表示されます。[x] ボタンをクリックしても、このバナーは恒久的に非表示にはなりません。

ダッシュボードでの Duo Mobile を利用した二要素認証

iOS や Android デバイスで Duo Mobile を利用することで、SMS サービスの有無にかかわらず二要素認証を行うことができます。また、Duo に保護されたアカウントのバックアップ機能を使って、同一デバイスや新しいデバイスへの復元も可能です。

設定手順

スマートフォンのアプリストアから Duo Mobile アプリをダウンロードします。

Due mobile application

アプリをダウンロードしたら、ダッシュボードにログインし、右上のマイプロフィールページに移動します。

Dashboard user profile

二要素認証セクションまでスクロールします。
二要素認証のセットアップをクリックします。
次のページのアプリのセットアップの下に表示される手順に従って、ダッシュボードアカウントを Duo Mobile にトークンとして追加します。
ダッシュボードのデバイスの確認のコード欄に、現在表示されているトークンを入力し、トークンが動作していることを確認します。

トークンは30秒ごとに変化します。

例（iOS）：

スマートフォン	ダッシュボード

認証が完了したら、続行を選択し、OKをクリックして二要素認証を有効化します。

注意：OKをクリックすると、ダッシュボードアカウントは一度ログアウトされます。

次回以降のログイン時は、認証アプリで発行される有効な認証コードの入力が求められます。

推奨：Duo Mobile ユーザーは Duo Restore（iOS、Android）を有効化することをおすすめします。これにより、同じデバイスや新しいデバイスへのアカウント復元が容易になります。

認証アプリを変更する場合は、まず二要素認証を無効化し、再度設定を行ってください。

ワンタイムバックアップコード

二要素認証を設定した後は、提供される8つのバックアップコードを必ず控えてください。これらのコードは、認証方法が利用できない場合（例：携帯電話の紛失や故障時）にアカウントへアクセスするために使用できます。安全な場所に保管してください。

有効なユーザー名とパスワードでダッシュボードにログインします。
ログイン後、画面右上のマイプロフィールオプションを見つけます。
マイプロフィールをクリックします。
ページの二要素認証セクションまでスクロールし、ワンタイムコード（1～8の番号付きリスト）を確認します。

これらのコードは1回のみ使用できます。新しいワンタイムコードを生成をクリックすると、いつでも新しい8個のコードに更新できます。以前の未使用コードは無効になります。

SMS を利用した二要素認証

この機能は現在アメリカ国内のみで正式にサポートされています。他国では SMS 認証はベータ機能であり、動作の保証はできません。設定ページでご自身の電話番号でのテストをお試しください。

設定手順

ダッシュボードで二要素認証用の電話番号を設定するには、以下の手順に従ってください：

有効なユーザー名とパスワードでダッシュボードにログインします。
ログイン後、画面右上のマイプロフィールオプションを見つけます。
マイプロフィールをクリックします。
ページの二要素認証セクションまでスクロールします。
二要素認証のセットアップ（または認証アプリが既に設定されている場合はSMS 認証を有効にする）をクリックします。
次のページで、代わりに SMS 認証を使用までスクロールします。
電話番号の登録セクションで、指示に従い電話番号欄に番号を入力します。
電話のテストで、コードを送信するボタンをクリックします。前のステップで入力した電話番号にコードが送信されます。
受信したコードをコード欄に入力し、確認ボタンをクリックします。
電話番号の設定が完了したら、次へをクリックします。
オプション：バックアップ用電話番号も入力できます。バックアップを設定をクリックします。
次へをクリックします。
内容を確認し、SMS 認証を有効化をクリックします。
最終確認のため、パスワードの再入力が求められます。

電話番号の変更/更新

ダッシュボードで二要素認証用の電話番号を変更するには、以下の手順に従ってください：

有効なユーザー名とパスワードでダッシュボードにログインします。
ログイン後、画面右上のマイプロフィールオプションを見つけます。
マイプロフィールをクリックします。
ページの二要素認証セクションまでスクロールします。
登録済みの電話番号（主またはバックアップ）の隣に表示される編集をクリックします。
電話番号の登録セクションで、新しい電話番号欄に番号を入力します。
電話のテストで、コード送信ボタンをクリックします。新しい番号にコードが送信されます。
受信したコードをコード欄に入力し、確認ボタンをクリックします。
次へをクリックします。
オプション：バックアップ用電話番号の入力も推奨されます。バックアップを設定をクリックします。
次へをクリックします。
内容を確認し、変更を保存をクリックします。
最終確認のため、パスワードの再入力が求められます。

Meraki サポートは登録済み電話番号の更新を行うことができません。元の番号にアクセスできない場合は、こちらの手順で二要素認証を無効化した後、再設定を行ってください。

クライアント VPN での二要素認証利用

Cisco Meraki クライアント VPN では、ネットワークアクセス前にユーザー認証のための複数の方式が利用可能です。管理者がさらに高いセキュリティを望む場合、クライアント VPN でもサードパーティの二要素認証ソリューションを利用し、追加認証ステップを要求できます。

クライアント VPN には二要素認証のネイティブサポートはありません。この構成にはサードパーティソリューションが必要です。詳細やトラブルシューティングはご利用の二要素認証ソリューションのドキュメントをご参照ください。

二要素認証は以下の2つの方法で導入できます：

認証の一部として実施。ユーザーは通常通りユーザー名とパスワードを入力し、サードパーティソリューションで要求される追加情報（例：パスワードへのキー追加）を入力します。
プッシュ通知。RADIUS サーバー上のエージェントが「承認」ボタン等の操作をユーザーが行うまで accept メッセージを保持します。Meraki プラットフォームのデフォルトでは RADIUS セッションが短時間でタイムアウトします。時間延長が必要な場合は Meraki サポートまでご連絡ください。

上記2つの方法はどちらもリモートアクセス用の PCI DSS 3.0 標準に準拠しています。

クライアント VPN では xauth を利用した二要素認証ソリューションはサポートされていません。

追加リソース

クライアント VPN で利用可能な二要素認証の例は、以下のサイトでご覧いただけます：

DuoSecurity: https://www.duosecurity.com/docs/radius
RSA SecurID: https://www.rsa.com/products/securid/

二要素認証の無効化

有効なユーザー名とパスワードでダッシュボードにログインします。
ログイン後、画面右上のマイプロフィールオプションを見つけます。
マイプロフィールをクリックします。
ページの二要素認証セクションまでスクロールします。
二要素認証を無効にするをクリックします。
最終確認のため、パスワードの再入力が求められます。
また、以前登録した電話番号の横にある削除を選択することで、今後の設定時に保存されなくなります。

オーガナイゼーション全体のセキュリティ設定「ユーザーに二要素認証の設定および利用を強制する」が有効な場合、個人の二要素認証無効化権限は上書きされます。

注意：このオーガナイゼーション全体のセキュリティ設定を無効化しても、既存ユーザーの二要素認証は無効化されません。同様に、再度有効化すると、全管理者（新規・一時的に二要素認証を無効化した既存管理者含む）にポリシーが再適用されます。

元の電話番号にアクセスできず二要素認証を無効化できない場合は、こちらの手順に従って Meraki サポートの支援を受けてください。

二要素認証保護アカウントのアクセス復旧

Meraki では、二要素認証保護アカウントのアクセス喪失防止策として、バックアップ用電話番号の設定（SMS 認証の場合）、およびワンタイムコード（SMS認証と Duo Mobile 両方で利用可能）を提供しています。この2つの方法が、二要素認証を一時的に回避してアカウントアクセスを回復する基本手順です。

推奨：Duo Mobile ユーザーは Duo Restore（iOS、Android）を有効化してください。これにより、同じデバイスや新しいデバイスへの復元が簡単になります。

上記の方法が利用できない場合、Meraki サポートがアカウントの二要素認証設定を無効化する以外に回復手段はありません。二要素認証は重要なセキュリティ機能のため、Meraki サポートは必ずアカウント所有者の正当性を確認してから無効化します。

二要素認証無効化リクエストは電話では対応できませんのでご注意ください。

セキュリティ上、二要素認証無効化リクエストはMeraki サポートホームページの「No dashboard Access?」セクションからケースを作成してください。

オーガナイゼーション全体のセキュリティ設定で「ユーザーに二要素認証の設定および利用を強制する」が有効な場合、Meraki サポートによる個別ユーザーの二要素認証無効化はできません。全組織でこの設定を無効化した後に対応可能です。

注意：このオーガナイゼーション全体のセキュリティ設定を無効化しても、既存ユーザーの二要素認証は無効化されませんが、ロックアウトされたアカウントの二要素認証を手動で無効化できるようになります。

アカウント回復プロセスでアカウント所有者を確認するには、以下の2つの方法があります：

方法1

サポートホームページからケースを作成します。
- このメールは、二要素認証を無効化する対象アカウントのメールアドレスである必要があります。
- ケースにはアカウントが所属する組織名を必ず含めてください。
二人目の組織管理者がダッシュボードからケースにコメントし、二要素認証無効化の承認を与える必要があります。
- メールや電話での承認は不可です。必ずケースコメントで承認してください。
- この権限は、フルアクセス権を持つオーガナイゼーション管理者またはフルアクセスの SAML 管理者のみが持ちます。ネットワーク管理者や読み取り専用管理者による承認は不可です。

以上のことから、ダッシュボード組織には必ずフル権限を持つオーガナイゼーション管理者が2名以上存在することが推奨されます。アカウントロックアウトやメールアドレス喪失時のためのベストプラクティスです。

方法2

フルアクセスの二人目のオーガナイゼーション管理者がいない、もしくは利用できない場合は、この方法で本人確認を行ってください。

サポートホームページからケースを作成します。
- このメールは、二要素認証を無効化する対象アカウントのメールアドレスである必要があります。
- ケースにはアカウントが所属する組織名を必ず含めてください。
サポートオペレーションスペシャリストが、組織やその内容・設定に関する追加情報を求め、正当な依頼であるか確認します。
サポートオペレーションスペシャリストが、アカウント・組織および内容の所有権を証明する書類の提出を求めます。
本人確認が完了したら、サポートオペレーションスペシャリストが電子署名用の Docusign ドキュメントを提供します。内容を入力し電子署名した上で、サポートケースに添付して返送してください。

いずれかの方法が完了後、二要素認証の無効化が可能となります。