UTokyo Accountにおける多要素認証の利用について
目次
はじめに
東京大学の情報システムのセキュリティ向上を目的として,2021年9月27日からUTokyo Accountに多要素認証を導入しています.
UTokyo Accountにおける多要素認証に関する情報はこのページで提供します.随時新しい情報をお知らせしていきますので,必要に応じてご確認ください.
多要素認証とは
多要素認証 (Multi-Factor Authentication, MFA) とは,アカウントへのサインイン時に,パスワードに加えて,SMSや専用のアプリなどで本人確認を行う認証方法です.多要素認証を利用すると,なんらかの事情でパスワードが他人に知られた場合でも,アカウントにサインインされる可能性を低くすることができ,セキュリティを向上することができます.
UTokyo Accountにおける多要素認証の運用
多要素認証の開始日以降に,利用者が各自で設定することにより,UTokyo Accountで多要素認証が利用できるようになります.
多要素認証を設定すると,それ以降UTokyo Accountにサインインする際,毎回,設定したSMSや専用のアプリなどで本人確認することが求められるようになります.
セキュリティの観点からは多要素認証を設定することを推奨しますが,現時点においては多要素認証の設定は必須ではなく,以下の例外を除き,多要素認証を設定しなくてもこれまで通りUTokyo Accountを利用することができます.
- UTokyo VPNを利用するには多要素認証を設定する必要があります(UTokyo VPNについての詳細は,UTokyo VPNのページを参照してください).
- 教職員向けの「職員メール」(@mail.u-tokyo.ac.jpのメールアドレス)をOutlook以外のメールソフトで利用している場合,多要素認証を設定するとOAuth認証が必要になるため,適宜メールソフトの設定変更を行ってください(なお,職員メールでは,UTokyo Portalのページ(教職員専用)にも記載している通りOutlookの利用を推奨しているため,それ以外のメールソフトでの設定方法はご自身でマニュアルなどを確認するようお願いします).
多要素認証の初期設定手順
多要素認証の初期設定手順を,手順1から手順4までに分けて説明します.手順1から順に,手順4までのすべての作業を行ってください.
なお,手順1から手順3は準備の作業で,最後の手順4がお使いのUTokyo Accountのアカウント全体で多要素認証の利用を開始するための作業です(手順4の作業を行うまでは,これまで通りパスワードのみでUTokyo Accountにサインインできます).
手順1:1個目の本人確認方法を設定する
まず,多要素認証で使う本人確認方法(SMSや専用の認証アプリ)を設定します.ここではまず1個目の本人確認方法を設定し,この後の手順2で2個目以降を設定します.なお,ここで設定する1個目の本人確認方法がデフォルト(自動で選ばれる方法)になるので,最もよく使う本人確認方法を登録するのがいいでしょう.
- 多要素認証の設定ページにアクセスしてください.
- (サインイン済みでなければ)サインイン画面が表示されるので,UTokyo Accountのユーザ名(10桁の数字)とパスワードを入力してください.
- 「詳細情報が必要」という画面が表示されるので,「次へ」を押してください.
-
多要素認証の本人確認方法を設定する画面になります.設定の手順は本人確認方法の種類によって異なります.
-
「Microsoft Authenticator」アプリを使う方法:「Microsoft Authenticator」は,Microsoftが提供している多要素認証のための専用のアプリです.UTokyo Accountの多要素認証はMicrosoftのシステムを利用しているため,このアプリを本人確認方法として使うのが便利です.
設定手順
- スマホに「Microsoft Authenticator」アプリをインストールしてください.Androidの人はGoogle Playから,iPhoneの人はApp Storeからダウンロードできます.
- アプリのインストールを終えたら元の画面に戻って作業を続けます.デフォルトでMicrosoft Authenticatorの設定をする画面になっているので,そのまま「次へ」を押してください.
- 以降の手順はこの作業をスマホ(Microsoft Authenticatorアプリをインストールしたもの)でしているかそれ以外(パソコンなど)でしているかによって異なります.
-
スマホでこの作業をしている場合:「このリンクをクリックして、アカウントをアプリにペアリングします。」を押してください.Microsoft Authenticatorアプリに移動し,自分のUTokyo Accountが表示されればOKです.
- スマホ以外(パソコンなど)でこの作業をしている場合
- 画面の指示に従ってQRコードを表示してください.
- スマホでMicrosoft Authenticatorアプリを開き,画面右上の「+」を押してから,「職場または学校アカウント」「QRコードをスキャン」の順に選択してください.
- QRコードを読み取ってください.
- アプリ上に自分のUTokyo Accountが表示されればOKです.
- 画面の指示に従ってQRコードを表示してください.
-
スマホでこの作業をしている場合:「このリンクをクリックして、アカウントをアプリにペアリングします。」を押してください.Microsoft Authenticatorアプリに移動し,自分のUTokyo Accountが表示されればOKです.
-
「Microsoft Authenticator」以外の認証アプリを使う方法:もし既に「Google Authenticator」などの「Microsoft Authenticator」以外の認証アプリを利用していれば,それを使うこともできます.
設定手順
- 画面の中ほどにある「別の認証アプリを使用します」というリンクを探して押してください.
- 画面の指示に従って進むとQRコードが表示されるので,お使いの認証アプリでQRコードを読み取り,設定を行ってください.
- 画面の中ほどにある「別の認証アプリを使用します」というリンクを探して押してください.
-
電話番号を使う方法:電話番号を登録しておき,その電話番号でSMSまたは音声通話(自動音声ガイダンス)の着信を受け取って本人確認を行う方法です.
設定手順
- 画面の下の方にある「別の方法を設定します」というリンクを探して押してください.
- 「どの方法を使用しますか?」欄で「電話」を選び,「確認」を押してください.
- 「どの電話番号を使用しますか?」欄は,適切な国番号(日本の場合は「Japan (+81)」)を選択してから,自分の電話番号を入力してください.また,この電話番号を使って本人確認を行う方法として,「コードをSMSで送信する」と「電話する」のうちから好みの方を選んでください.
- 「次へ」を押してください.
- 電話番号の確認が行われます.「コードをSMSで送信する」を選んだ場合は,SMSに確認コード(6桁の数字)が届き,それを画面に入力するよう求められるので,そのようにしてください.「電話する」を選んだ場合は,音声通話が着信し,自動音声ガイダンスで「#」ボタンを押すように言われるので,そのようにしてください(スマホで通話中に「#」ボタンを表示するには,画面に表示されている「キーパッド」ボタンを押します).
- 画面の下の方にある「別の方法を設定します」というリンクを探して押してください.
-
「Microsoft Authenticator」アプリを使う方法:「Microsoft Authenticator」は,Microsoftが提供している多要素認証のための専用のアプリです.UTokyo Accountの多要素認証はMicrosoftのシステムを利用しているため,このアプリを本人確認方法として使うのが便利です.
- (既に登録しているのでなければ)メールアドレスの入力を求められます.なるべくECCSクラウドメール以外のメールアドレスを入力してください.続いてそのメールアドレスに送られてくる「コード」(6桁の数字)を入力するよう求められるので,そのようにしてください.
- 画面上に「成功」と表示されたらOKです.
手順2:追加の本人確認方法を設定する
続いて,多要素認証の設定ページから,追加の(2個目以降の)本人確認方法を設定します.
本人確認方法を1個しか設定していなくても多要素認証を利用することはできますが,(故障や機種変更などで)設定した本人確認方法が使えなくなった場合,UTokyo Accountにサインインできなくなってしまいます.このような事態を防ぐため,複数の本人確認方法を設定することを強く推奨します.
-
「Microsoft Authenticator」アプリを使う方法:「Microsoft Authenticator」は,Microsoftが提供している多要素認証のための専用のアプリです.UTokyo Accountの多要素認証はMicrosoftのシステムを利用しているため,このアプリを本人確認方法として使うのが便利です.2台以上のスマホを持っている場合は,2台目以降のスマホを追加で設定することもできます.
設定手順
- (まだしていなければ)スマホに「Microsoft Authenticator」アプリをインストールしてください.Androidの人はGoogle Playから,iPhoneの人はApp Storeからダウンロードできます.
- 多要素認証の設定ページで,「方法の追加」を押してください.
- 「どの方法を使用しますか?」欄で「認証アプリ」を選び,「追加」を押してください.
- Microsoft Authenticatorの設定をする画面が出るので,そのまま「次へ」を押してください.
- 以降の手順はこの作業をスマホ(Microsoft Authenticatorアプリをインストールしたもの)でしているかそれ以外(パソコンなど)でしているかによって異なります.
- スマホでこの作業をしている場合:「このリンクをクリックして、アカウントをアプリにペアリングします。」を押してください.Microsoft Authenticatorアプリに移動し,自分のUTokyo Accountが表示されればOKです.
- スマホ以外(パソコンなど)でこの作業をしている場合
- 画面の指示に従って進み,QRコードを表示してください.
- スマホでMicrosoft Authenticatorアプリを開き,「アカウントを追加」「職場または学校アカウント」「QRコードをスキャン」の順に選択してください.
- QRコードを読み取ってください.
- アプリ上に自分のUTokyo Accountが表示されればOKです.
- 画面の指示に従って進み,QRコードを表示してください.
- スマホでこの作業をしている場合:「このリンクをクリックして、アカウントをアプリにペアリングします。」を押してください.Microsoft Authenticatorアプリに移動し,自分のUTokyo Accountが表示されればOKです.
-
「Microsoft Authenticator」以外の認証アプリを使う方法:もし既に「Google Authenticator」などの「Microsoft Authenticator」以外の認証アプリを利用していれば,それを使うこともできます.2台以上のスマホを持っている場合は,2台目以降のスマホを追加で設定することもできます.
設定手順
- 多要素認証の設定ページで,「方法の追加」を押してください.
- 「どの方法を使用しますか?」欄で「認証アプリ」を選び,「追加」を押してください.
- 「別の認証アプリを使用します」というリンクを探して押してください.
- 画面の指示に従って進むとQRコードが表示されるので,お使いの認証アプリでQRコードを読み取り,設定を行ってください.
- 多要素認証の設定ページで,「方法の追加」を押してください.
-
電話番号を使う方法:電話番号を登録しておき,その電話番号でSMSまたは音声通話(自動音声ガイダンス)の着信を受け取って本人確認を行う方法です.「電話」「代替の電話」「会社電話」の3種類をそれぞれ1つまで(合計3つまで)設定することができ,それぞれの違いは次の通りです.
- 電話:主に使う電話(携帯電話)を登録するものです.本人確認時の方法としてSMSと音声通話の両方が選べます.初期設定時に電話番号で設定を行った場合は「電話」として登録されています.
- 代替の電話:予備の電話(自宅の固定電話など)を登録するものです.本人確認時の方法は音声通話のみで,SMSを選ぶことができません.
- 会社電話:予備の電話として会社(大学)の電話を登録するものです.本人確認時の方法は音声通話のみで,SMSを選ぶことができません.他の種類の電話と違って内線番号(直通番号ではなく代表番号に繋がってから追加の番号を入力する必要のある内線)を設定できます.
設定手順
- 多要素認証の設定ページで,「方法の追加」を押してください.
- 「どの方法を使用しますか?」欄で設定したい種類の電話番号を選び,「追加」を押してください.
- 「どの電話番号を使用しますか?」欄は,適切な国番号(日本の場合は「Japan (+81)」)を選択してから,自分の電話番号を入力してください.また,電話番号の種類として「電話」を選んだ場合は,この電話番号を使って本人確認を行う方法として「コードをSMSで送信する」と「電話する」のうちから好みの方を選んでください.
- 電話番号の確認が行われます.SMSの場合は,SMSに確認コード(6桁の数字)が届き,それを画面に入力するよう求められるので,そのようにしてください.音声通話の場合は,電話が着信し,音声ガイダンスで「#」ボタンを押すように言われるので,そのようにしてください(スマホで通話中に「#」ボタンを表示するには,画面に表示されている「キーパッド」ボタンを押します).
なお,「方法の追加」を押した後に表示される「どの方法を使用しますか?」欄で,上記の他に「電子メール」と「アプリ パスワード」を選ぶことができますが,これらは多要素認証の本人確認方法とは異なる用途のためのもので,サインイン時の本人確認に使うことはできません.
手順3:サインインできるか確認する
次に,ここまでに設定した本人確認方法を利用してUTokyo Accountにサインインすることができるか確認します.
- UTokyo Accountのサインアウトページにアクセスしてください.
- 「サインアウトしました」という画面が表示されるまでしばらく待ってください.
- 多要素認証の設定ページへアクセスしてください.
- サインイン画面が表示されたら,UTokyo Accountのユーザ名(10桁の数字)とパスワードを入力してください.
- 続いて多要素認証の本人確認が行われます.本人確認方法により手順が異なりますので,画面の指示に従って操作してください.
- 「Microsoft Authenticator」アプリの場合:スマホに通知が送られ,アプリ上でサインインを承認するように求められるので,そのようにしてください.
※「Microsoft Autheticator アプリを現在使用できません」の表示について
画面に「Microsoft Authenticator アプリを現在使用できません」との表示が現れますが,これは,もしあなたがMicrosoft Authenticatorを使用できない状態にある場合にはここを押してくださいという旨のヘルプメッセージであり,システムがMicrosoft Authenticatorを使用できない状態にある旨のエラーメッセージではありません.
- 「Microsoft Authenticator」以外の認証アプリの場合:アプリに表示されるコード(6桁の数字)を入力するように求められるので,そのようにしてください.
- 電話番号でSMSを使う場合:SMSにコード(6桁の数字)が送られ,それを入力するように求められるので,そのようにしてください.
- 電話番号で音声通話を使う場合:電話が着信し,音声ガイダンスで「#」ボタンを押すように言われるので,そのようにしてください(スマホで通話中に「#」ボタンを表示するには,画面に表示されている「キーパッド」ボタンを押します).
- 「Microsoft Authenticator」アプリの場合:スマホに通知が送られ,アプリ上でサインインを承認するように求められるので,そのようにしてください.
- 「セキュリティ情報」と書かれた多要素認証の設定ページが表示されればOKです.
なお,サインイン時の本人確認方法は,設定した方法のいずれか(通常,最初に設定したもの)がデフォルトとして自動的に選ばれます.他の本人確認方法を使いたい場合は,画面上の「別の確認オプションを使用する」(あるいは「問題がありますか? 別の方法でサインインする」「Microsoft Authenticator アプリを現在使用できません」)というリンクを押してください.
また,デフォルトの方法を変更したい場合は,下の「既定(デフォルト)の本人確認方法を変更する」の説明に従って作業してください.
手順4:多要素認証の利用を申請する
最後に,多要素認証の利用申請を行います.この申請を行うと,以降,UTokyo Accountにサインインする際に毎回,上の手順3と同様の手順による本人確認が求められるようになります.
なお,事務業務端末(職員向け)のリモートアクセスが接続中の場合,多要素認証の利用申請を行うと接続が強制的に切断されるため,あらかじめ接続を終了(サインアウト)してから以下の手順を行ってください.
- UTokyo Account利用者メニューにアクセスしてください.
- サインインを求められたら,UTokyo Accountのユーザ名(10桁の数字)とパスワードを入力してください.
- 左のメニューにある「多要素認証利用申請」を押してください.
- 表示される多要素認証に関する説明をよく読んでから,下の方にある「多要素認証を利用する」を「はい」にして,「保存」を押してください.
なお,UTokyo VPNを利用したい場合は,UTokyo VPNのページに記載されている作業も必要です.多要素認証の設定がシステムに反映されるまで約40分かかるのでそれまで待ってから,引き続き作業を行うようお願いします.
多要素認証の設定変更手順
以下では,多要素認証の本人確認方法の設定を変更する手順について説明します.
機種変更などで登録されている本人確認方法を使えなくなる場合,あらかじめ代わりの本人確認方法を追加で登録しておくようにしてください.スマホを処分すると認証アプリによる本人確認はできなくなりますし,電話番号が変わると電話番号による本人確認はできなくなります.設定変更をする際にもサインイン時の本人確認は必要となるので,本人確認できずにUTokyo Accountにサインインできないという事態にならないよう,必ず事前に設定変更を行うことが重要です.
多要素認証の設定ページにアクセスすると,本人確認方法の設定を変更することができます.
本人確認方法を追加する
多要素認証の設定ページにアクセスすると,上に書かれている初期設定手順の中の「手順2:追加の本人確認方法を設定する」と同じ要領で本人確認方法を追加することができます.
既定(デフォルト)の本人確認方法を変更する
本人確認方法を複数設定した場合は,そのうちいずれか(通常,最初に設定したもの)が「既定」(デフォルト)の本人確認方法として扱われ,サインイン時の本人確認ではその方法が自動的に選ばれます.この「既定」の本人確認方法は,次の手順で変更することができます.
- 多要素認証の設定ページの上の方にある「既定のサインイン方法:」という欄を探してください.
- その欄の右の方にある「変更」を押してください.
- 「どの方法を使用してサインインしますか?」の欄で,既定(デフォルト)にしたい本人確認方法を選び,「確認」を押してください.
設定済みの本人確認方法を変更する
本人確認方法のうち,「電話」「代替の電話」「会社電話」の3種類の電話番号については,次の手順で変更することができます.
- 多要素認証の設定ページに表示されている本人確認方法の一覧から変更したいものを探し,その右の方にある「変更」を押してください.
- 新しい電話番号を入力する画面が表示されるので,入力してください.
- 電話番号の確認(SMSまたは音声通話)が行われます.追加(新規に設定)する場合と同様の要領で作業してください.
なお,Microsoft AuthenticatorやGoogle Authenticatorなどの認証アプリには「変更」画面がありません.認証アプリの設定を変更したい場合は,代わりに新しい設定を追加してから古い設定を削除するという操作を行ってください.
本人確認方法を削除する
次の手順で,不要になった本人確認方法を削除することができます.
- 多要素認証の設定ページに表示されている本人確認方法の一覧から削除したいものを探し,その右の方にある「削除」を押してください.
- 「ご使用のアカウントでこの方法を削除しますか?」と表示されるので,「OK」を押してください.
なお,本人確認方法として利用できる項目(認証アプリと電話)をすべて削除してしまうと,次にサインインするときに本人確認方法の初期設定を求められますので,注意してください(「メールアドレス」と「アプリ パスワード」の項目は多要素認証の本人確認方法としては利用できません).
多要素認証の本人確認ができずサインインできなくなった場合
故障や機種変更などで本人確認方法が使えなくなったため多要素認証によるサインインができなくなった,という場合の対処法を説明します.
なお,対処を済ませサインインできるようになったら,設定を変更して複数の本人確認方法を使える状態にしておくことを強く推奨します.上の「多要素認証の設定変更手順」で説明しているとおり,多要素認証の設定ページから設定を変更してください.
他の本人確認方法を使う
設定済みの他の本人確認方法が使える状態であれば,それを使ってサインインすることができますので,まずはそれを試してください.
サインイン時(パスワード入力後)に表示される本人確認を行う画面で,「問題がありますか? 別の方法でサインインする」あるいは「別の確認オプションを使用する」というリンクを探して押してください.
デフォルト(自動的に選ばれるもの)以外のものも含め,設定済みの本人確認方法が一覧で表示されます.
- この中に使える状態の本人確認方法があれば,それを選んでその方法で本人確認を行うことで,UTokyo Accountにサインインすることができます.
- 表示された本人確認方法がすべて使えない状態であれば,多要素認証をリセットする必要があります.次の「多要素認証をリセットする」の説明に進んでください.
多要素認証をリセットする
設定済みの本人確認方法がすべて使えない状態となってしまった場合は,多要素認証をリセットする必要があります.所属の学部・研究科等の窓口(学生は学務・教務担当,教職員は人事担当)に多要素認証をリセットしたい旨を申し出てください.※学部・研究科等の窓口担当者の方はこちらをご覧ください(教職員限定ページ).
リセットが行われると,そのあと初めてUTokyo Accountにサインインする際に,あらためて本人確認方法の初期設定を行うよう求められます.上の「多要素認証の初期設定方法」の「手順1:1個目の本人確認方法を設定する」および「手順2:追加の本人確認方法を設定する」の手順で新しい本人確認方法を設定し,今後はそれを利用してUTokyo Accountにサインインしてください.
その他
多要素認証の申請を取り消したい・多要素認証の利用を終了したい
セキュリティの観点から多要素認証を設定することを推奨しておりますが,どうしてもやむを得ない事情で多要素認証の利用を終了したい場合は,所属の学部・研究科等の窓口(学生は学務・教務担当,教職員は人事担当)へその旨を申し出てください.※学部・研究科等の窓口担当者の方はこちらをご覧ください(教職員限定ページ).
なお,多要素認証の本人確認方法が利用できずサインインできなくなったという場合は,上の「多要素認証の本人確認ができずサインインできなくなった場合」で説明しているとおり,多要素認証を「リセット」することによりサインインできるようになりますので,多要素認証の「利用を終了」する必要はありません.
サインイン時の本人確認の挙動について
通常,多要素認証を利用している場合のサインインは,まずパスワードを入力し,次いで多要素認証の本人確認を行う,という手順になります.
しかし,これと異なる次のような挙動が起きることがあります.
- 多要素認証の本人確認を続けて2回求められる
- パスワードの入力が求められない(スキップする)のに,多要素認証の本人確認だけが求められる
- パスワードを入力したのにその後に多要素認証の本人確認が求められない
これらの挙動は,UTokyo Accountに関するシステム間の連携処理の都合により発生するものですので,お手数ですが,画面の指示に従って操作し,サインインするようお願いいたします.
「不明なエラーが発生しました」エラーについて
多要素認証の設定の状態によって,UTokyo Accountにサインインする際に「不明なエラーが発生しました」という上の画像のような内容のエラーが表示される場合があります.これは,多要素認証の本人確認方法の設定(手順1・手順2)を行う前に多要素認証の利用申請(手順4)を行った際に起きることがあるものです.「手順1:1個目の本人確認方法を設定する」および「手順2:追加の本人確認方法を設定する」の手順で本人確認方法の設定をしてください.