はじめに
多要素認証 (Multi-Factor Authentication, MFA) とは,アカウントへのサインイン時に,パスワードに加えて,SMSや専用のアプリなどで本人確認を行う認証方法です.多要素認証を利用すると,なんらかの事情でパスワードが他人に知られた場合でも,アカウントにサインインされる可能性を低くすることができ,セキュリティを向上することができます.
このページでは,多要素認証の利用を有効化するための初期設定手順について説明します.全体の流れは以下のようになります.
- 手順1:1個目の本人確認方法を登録する
- 手順2:追加の本人確認方法を登録する
- 手順3:サインインできるか確認する
- 手順4:多要素認証の利用を申請する
登録する本人確認方法により,手順1,2での作業が異なります. 最初に,以下の表から,手順1,2のそれぞれで使用する本人確認方法を選んでください.このページの以下では,選択した本人確認方法に対応する設定手順が表示されます.
なお,手順1で登録する「1個目の本人確認方法」がデフォルト(自動で選ばれる方法)になるので,最もよく使う本人確認方法を「1個目の本人確認方法」として登録するのが良いでしょう. また,2台以上のスマホを持っている場合に2台目以降のスマホにインストールした同じ認証アプリを登録する,携帯電話と固定電話の両方を登録するなど,手順1,2で同じ本人確認方法を使用することも可能です.
手順1
手順2
Microsoft Authenticator
「Microsoft Authenticator」は,Microsoftが提供している多要素認証のための専用のアプリです.UTokyo Accountの多要素認証はMicrosoftのシステムを利用しているため,他の認証アプリよりスムーズに利用できます.2台以上のスマホを持っている場合は,2台目以降のスマホにインストールした「Microsoft Authenticator」を追加の本人確認方法として,手順2で登録することもできます.
その他の認証アプリ
「Google Authenticator」など,「Microsoft Authenticator」以外の認証アプリを使うこともできます.スマホアプリだけでなく,セキュリティキーと呼ばれる専用の機器と連携させて利用するパソコンのアプリもあります(一例としては,「YubiKey」というセキュリティキー製品と連携して使う「Yubico Authenticator」というアプリがあります).
電話番号
電話番号を登録しておき,その電話番号でSMSまたは音声通話(自動音声ガイダンス)の着信を受け取って本人確認を行う方法です.「電話」「代替の電話」「会社電話」の3種類をそれぞれ1つまで(合計3つまで)登録することができます.
FIDO セキュリティキー
FIDOセキュリティキーと呼ばれる専用の機器を用いて本人確認を行う方法です.一部のシステムでは対応していないため,他の本人確認方法を登録した上で,2個目以降の本人確認方法として利用してください.詳細は「UTokyo Account多要素認証におけるFIDOセキュリティキーの利用方法」をご覧ください.
これから,手順1から順に,手順4までのすべての作業を行ってください.なお,手順を終えると,その後UTokyo Accountにサインインする際,毎回,設定したSMSや専用のアプリなどで本人確認することが求められます.本人確認方法(スマホのアプリや電話番号)が利用できない状態ではUTokyo Accountにサインインすることができなくなりますので,十分ご注意ください.
初期設定手順の動画
このページで説明している初期設定手順を動画でも説明しています.
手順1:1個目の本人確認方法を登録する
まず,多要素認証で使う本人確認方法(SMSや専用の認証アプリ)を設定します.ここではまず1個目の本人確認方法を設定し,この後の手順2で2個目以降を設定します.
選択した本人確認方法によって,手順1での作業が異なります.(表示する本人確認方法の設定手順は,以下のパネルで選択・切り替えができます.)
以下から登録したい本人確認方法を選んでください.
スマホに以下のアイコンの「Microsoft Authenticator」アプリをインストールしてください.Androidの人はGoogle Playから,iPhoneの人はApp Storeからダウンロードできます.
- 多要素認証の設定ページにアクセスしてください.
- (サインイン済みでなければ)サインイン画面が表示されるので,UTokyo Accountのユーザ名(10桁の数字)とパスワードを入力してください.
- 「詳細情報が必要」という画面が表示されるので,「次へ」を押してください.
多要素認証の本人確認方法を設定する画面になります.デフォルトでMicrosoft Authenticatorの設定をする画面になっているので,そのまま「次へ」を押してください.
以降の手順はこの作業をスマホ(Microsoft Authenticatorアプリをインストールしたもの)でしているかそれ以外(パソコンなど)でしているかによって異なります.
- スマホでこの作業をしている場合:「このリンクをクリックして、アカウントをアプリにペアリングします。」を押してください.Microsoft Authenticatorアプリに移動し,自分のUTokyo Accountが表示されればOKです.元の画面に戻って「次へ」を押してください.
- スマホ以外(パソコンなど)でこの作業をしている場合
- 「アカウントのセットアップ」という画面が表示されるので,さらに「次へ」を押してください.QRコードが表示されます.
- スマホでMicrosoft Authenticatorアプリを起動してください.なおこの際,インストール後初めてアプリを起動したという場合は,プライバシーに関する事項の同意やデータ収集に関する設定の確認が求められますので,順に進めてください.
- 「デジタル ライフを保護する」という画像1枚目のような画面が表示されている場合は,「QRコードをスキャンします」という項目を押してください.そうではなく画像2枚目または3枚目のような画面が表示されている場合は,画面右上の「+」を押してから,「職場または学校アカウント」「QRコードをスキャン」の順に選択してください.いずれの場合もカメラの利用を許可するか尋ねられることがありますが,その際は許可してください.
- QRコードを読み取ってください.この際,通知の送信を許可するか尋ねられることがありますが,許可してください.
- 読み取りに成功し,アプリ上に自分のUTokyo Accountが表示されればOKです.QRコードの表示された画面に戻って「次へ」を押してください.
「試してみましょう」という画面に2桁の数字が表示され,同時にスマホのMicrosoft Authenticatorアプリ上に数字を入力する欄が表示されます.この2桁の数字を入力欄に入力し,「はい」を押してください.
「通知が承認されました」という表示に切り替わるので,「次へ」を押してください.
- (既に登録しているのでなければ)メールアドレスの入力を求められます.受信できるメールアドレスであれば何でもかまいませんが,なるべくECCSクラウドメール・職員メール以外のメールアドレスを入力してください.続いてそのメールアドレスに送られてくる「コード」(6桁の数字)を入力するよう求められるので,そのようにしてください.
- 画面上に「成功」と表示されたらOKです.
- 多要素認証の設定ページにアクセスしてください.
- (サインイン済みでなければ)サインイン画面が表示されるので,UTokyo Accountのユーザ名(10桁の数字)とパスワードを入力してください.
- 「詳細情報が必要」という画面が表示されるので,「次へ」を押してください.
画面の中ほどにある「別の認証アプリを使用します」というリンクを探して押してください.
画面の指示に従って進むとQRコードが表示されるので,お使いの認証アプリでQRコードを読み取り,設定を行ってください.
※「YubiKey」と「Yubico Authenticator」アプリを使う場合の設定手順については,「UTokyo Account多要素認証におけるYubico Authenticatorアプリの利用方法」をご覧ください.
- (既に登録しているのでなければ)メールアドレスの入力を求められます.受信できるメールアドレスであれば何でもかまいませんが,なるべくECCSクラウドメール・職員メール以外のメールアドレスを入力してください.続いてそのメールアドレスに送られてくる「コード」(6桁の数字)を入力するよう求められるので,そのようにしてください.
- 画面上に「成功」と表示されたらOKです.
- 多要素認証の設定ページにアクセスしてください.
- (サインイン済みでなければ)サインイン画面が表示されるので,UTokyo Accountのユーザ名(10桁の数字)とパスワードを入力してください.
- 「詳細情報が必要」という画面が表示されるので,「次へ」を押してください.
画面の下の方にある「別の方法を設定します」というリンクを探して押してください.
「どの方法を使用しますか?」欄で「電話」を選び,「確認」を押してください.
「どの電話番号を使用しますか?」欄は,適切な国番号(日本の場合は「Japan (+81)」)を選択してから,自分の電話番号を入力してください.また,この電話番号を使って本人確認を行う方法として,「コードをSMSで送信する」と「電話する」のうちから好みの方を選んでください.
- 「次へ」を押してください.
電話番号の確認が行われます.SMSの場合は,SMSに確認コード(6桁の数字)が届き,それを画面に入力するよう求められるので,そのようにしてください.音声通話の場合は,電話が着信し,音声ガイダンスで「#」ボタンを押すように言われるので,そのようにしてください(スマホで通話中に「#」ボタンを表示するには,画面に表示されている「キーパッド」ボタンを押します).
- (既に登録しているのでなければ)メールアドレスの入力を求められます.受信できるメールアドレスであれば何でもかまいませんが,なるべくECCSクラウドメール・職員メール以外のメールアドレスを入力してください.続いてそのメールアドレスに送られてくる「コード」(6桁の数字)を入力するよう求められるので,そのようにしてください.
- 画面上に「成功」と表示されたらOKです.
手順2:追加の本人確認方法を登録する
続いて,多要素認証の設定ページから,追加の(2個目以降の)本人確認方法を登録します.
本人確認方法を1個しか登録していなくても多要素認証を利用することはできますが,故障や機種変更などで登録されている本人確認方法が使えなくなった場合,UTokyo Accountにサインインできなくなってしまいます.このような事態を防ぐため,必ず複数の本人確認方法を登録してください.
選択した本人確認方法によって,手順2での作業が異なります.(表示する本人確認方法の設定手順は,以下のパネルで選択・切り替えができます.)
以下から登録したい本人確認方法を選んでください.
(まだしていなければ)スマホに以下のアイコンの「Microsoft Authenticator」アプリをインストールしてください.Androidの人はGoogle Playから,iPhoneの人はApp Storeからダウンロードできます.
多要素認証の設定ページにアクセスしてください.
「方法の追加」を押してください.
「どの方法を使用しますか?」欄で「認証アプリ」を選び,「追加」を押してください.
Microsoft Authenticatorの設定をする画面が表示されるので,そのまま「次へ」を押してください.
以降の手順はこの作業をスマホ(Microsoft Authenticatorアプリをインストールしたもの)でしているかそれ以外(パソコンなど)でしているかによって異なります.
- スマホでこの作業をしている場合:「このリンクをクリックして、アカウントをアプリにペアリングします。」を押してください.Microsoft Authenticatorアプリに移動し,自分のUTokyo Accountが表示されればOKです.元の画面に戻って「次へ」を押してください.
- スマホ以外(パソコンなど)でこの作業をしている場合
- 「アカウントのセットアップ」という画面が表示されるので,さらに「次へ」を押してください.QRコードが表示されます.
- スマホでMicrosoft Authenticatorアプリを起動してください.なおこの際,インストール後初めてアプリを起動したという場合は,プライバシーに関する事項の同意やデータ収集に関する設定の確認が求められますので,順に進めてください.
- 「デジタル ライフを保護する」という画像1枚目のような画面が表示されている場合は,「QRコードをスキャンします」という項目を押してください.そうではなく画像2枚目または3枚目のような画面が表示されている場合は,画面右上の「+」を押してから,「職場または学校アカウント」「QRコードをスキャン」の順に選択してください.いずれの場合もカメラの利用を許可するか尋ねられることがありますが,その際は許可してください.
- QRコードを読み取ってください.この際,通知の送信を許可するか尋ねられることがありますが,許可してください.
- 読み取りに成功し,アプリ上に自分のUTokyo Accountが表示されればOKです.QRコードの表示された画面に戻って「次へ」を押してください.
「試してみましょう」という画面に2桁の数字が表示され,同時にスマホのMicrosoft Authenticatorアプリ上に数字を入力する欄が表示されます.この2桁の数字を入力欄に入力し,「はい」を押してください.
「通知が承認されました」という表示に切り替わるので,「次へ」を押してください.
多要素認証の設定ページにアクセスしてください.
「方法の追加」を押してください.
「どの方法を使用しますか?」欄で「認証アプリ」を選び,「追加」を押してください.
「別の認証アプリを使用します」というリンクを探して押してください.
画面の指示に従って進むとQRコードが表示されるので,お使いの認証アプリでQRコードを読み取り,設定を行ってください.
※「YubiKey」と「Yubico Authenticator」アプリを使う場合の設定手順については,「UTokyo Account多要素認証におけるYubico Authenticatorアプリの利用方法」をご覧ください.
多要素認証の設定ページにアクセスしてください.
「方法の追加」を押してください.
「どの方法を使用しますか?」欄で登録したい種類の電話番号を選び,「追加」を押してください.
ここでの「方法」としては,「電話」「代替の電話」「会社電話」の3種類から選択でき,それぞれ1つ(合計3つまで)の電話番号を登録可能です.方法による違いは次の通りです.- 電話:主に使う電話(携帯電話)を登録するものです.本人確認時の方法としてSMSと音声通話の両方が選べます.初期設定時に電話番号で設定を行った場合は「電話」として登録されています.
- 代替の電話:予備の電話(自宅の固定電話など)を登録するものです.本人確認時の方法は音声通話のみで,SMSを選ぶことができません.
- 会社電話:予備の電話として会社(大学)の電話を登録するものです.本人確認時の方法は音声通話のみで,SMSを選ぶことができません.他の種類の電話と違って内線番号(直通番号ではなく代表番号に繋がってから追加の番号を入力する必要のある内線)を設定できます.
「どの電話番号を使用しますか?」欄は,適切な国番号(日本の場合は「Japan (+81)」)を選択してから,自分の電話番号を入力してください.また,電話番号の種類として「電話」を選んだ場合は,この電話番号を使って本人確認を行う方法として,「コードをSMSで送信する」と「電話する」のうちから好みの方を選んでください.
電話番号の確認が行われます.SMSの場合は,SMSに確認コード(6桁の数字)が届き,それを画面に入力するよう求められるので,そのようにしてください.音声通話の場合は,電話が着信し,音声ガイダンスで「#」ボタンを押すように言われるので,そのようにしてください(スマホで通話中に「#」ボタンを表示するには,画面に表示されている「キーパッド」ボタンを押します).
FIDOセキュリティキーの登録手順は,UTokyo Account多要素認証におけるFIDOセキュリティキーの利用方法のページを参照してください.
なお,「方法の追加」を押した後に表示される「どの方法を使用しますか?」欄で,上記の他に「電子メール」と「アプリ パスワード」を選ぶことができますが,これらは多要素認証の本人確認方法とは異なる用途のためのもので,サインイン時の本人確認に使うことはできません.
手順3:サインインできるか確認する
次に,ここまでに登録した本人確認方法を利用してUTokyo Accountにサインインすることができるか確認します.
- UTokyo Accountのサインアウトページにアクセスしてください.
- 「サインアウトしました」という画面が表示されるまでしばらく待ってください.
- 多要素認証の設定ページへアクセスしてください.
- サインイン画面が表示されたら,UTokyo Accountのユーザ名(10桁の数字)とパスワードを入力してください.
- 続いて多要素認証の本人確認が行われます.本人確認方法により手順が異なりますので,画面の指示に従って操作してください.
- Microsoft Authenticatorの場合:スマホに通知が送られ,サインイン画面に表示されている2桁の数字を入力するように求められるので,そのようにしてください.
※「Microsoft Autheticator アプリを現在使用できません」の表示について
画面に「Microsoft Authenticator アプリを現在使用できません」との表示が現れますが,これは,もしあなたがMicrosoft Authenticatorを使用できない状態にある場合にはここを押してくださいという旨のヘルプメッセージであり,システムがMicrosoft Authenticatorを使用できない状態にある旨のエラーメッセージではありません. - その他の認証アプリの場合:アプリに表示されるコード(6桁の数字)を入力するように求められるので,そのようにしてください.
- 電話番号でSMSを使う場合:SMSにコード(6桁の数字)が送られ,それを入力するように求められるので,そのようにしてください.
- 電話番号で音声通話を使う場合:電話が着信し,音声ガイダンスで「#」ボタンを押すように言われるので,そのようにしてください(スマホで通話中に「#」ボタンを表示するには,画面に表示されている「キーパッド」ボタンを押します).
表示されているもの以外の本人確認方法を使いたい場合
サインイン時の本人確認方法は,登録されている方法のいずれか(通常,最初に登録したもの)がデフォルトとして自動的に選ばれます.他の本人確認方法を使いたい場合は,画面上の「別の確認オプションを使用する」あるいは「Microsoft Authenticator アプリを現在使用できません」というリンクを押してください. また,デフォルトの方法を変更したい場合は,下の「既定(デフォルト)の本人確認方法を変更する」の説明に従って作業してください. - Microsoft Authenticatorの場合:スマホに通知が送られ,サインイン画面に表示されている2桁の数字を入力するように求められるので,そのようにしてください.
- 「セキュリティ情報」と書かれた多要素認証の設定ページが表示されればOKです.
初期設定はまだ完了していません.引き続き手順4を行ってください.
※この手順3がうまくいかなかった場合は,次の手順4へ進まず,サポート窓口に問い合わせてください.
手順4:多要素認証の利用を申請する
最後に,多要素認証の利用申請を行います.この申請を行うと,以降,UTokyo Accountにサインインする際に毎回,上の手順3と同様の手順による本人確認が求められるようになります.
なお,事務業務端末(職員向け)のリモートアクセス (Citrix Workspace) が接続中の場合,多要素認証の利用申請を行うと接続が強制的に切断されるため,あらかじめ接続を終了(サインアウト)してから以下の手順を行ってください.
- UTokyo Account利用者メニューにアクセスしてください.
- UTokyo Accountのユーザ名(10桁の数字)とパスワードを入力してログインしてください.
- 左のメニューにある「多要素認証利用申請」を押してください.
- 表示される多要素認証に関する説明をよく読んでから,下の方にある「多要素認証を利用する」を「はい」にして,「保存」を押してください.
以上で多要素認証の初期設定手順は完了ですが,設定がシステム全体に反映されるまで最大約40分かかります.多要素認証の設定が完了していないとサインインできないようなシステムを利用したい場合は,それまでしばらくお待ちください.
おわりに
手順を終えると,その後UTokyo Accountにサインインする際,毎回,設定したSMSや専用のアプリなどで本人確認することが求められます.登録した本人確認方法(スマホのアプリや電話番号)が利用できない状態ではUTokyo Accountにサインインすることができなくなりますので,十分ご注意ください.
特に,機種変更の際は,古いスマホが利用できるうちに,「UTokyo Account多要素認証の本人確認方法の登録変更手順」に従って新しいスマホを追加登録してください.スマホを処分すると認証アプリによる本人確認はできなくなりますし,電話番号が変わると電話番号による本人確認はできなくなります.登録の変更をする際にもサインイン時の本人確認は必要となるので,本人確認できずにUTokyo Accountにサインインできないという事態にならないよう,必ず事前に変更を行うことが重要です.
また,多要素認証の有効化は,自身の操作では元に戻すことができません.多要素認証の利用をやめてパスワードだけでサインインできる状態に戻したい場合,「多要素認証の利用終了」という手続きが必要ですので,「UTokyo Account多要素認証の本人確認方法再登録および利用終了について」を参照してください.