組織管理者は、組織ユーザー(または組織ユーザーのアカウント)に対してさまざまな権限を持ちます。組織ユーザーに対して組織管理者が持つ主な権限は、以下のとおりです。
- 組織ユーザーが行える操作と同様の操作を行う権限(例:パスワードの変更)
- 組織ユーザーに対する特定のポリシーや制限の適用(例:多要素認証やIPアドレスの制限の適用)
- 特定の管理操作の実施(例:セッションの削除、組織ユーザーのアカウントの無効化)
以下では、組織ユーザーに対して組織管理者が持つ主な権限について説明します。
組織ユーザーのアカウントの無効化/削除
組織管理者は、必要に応じて組織ユーザーのアカウントを無効にしたり、削除したりできます。アカウントが無効になった組織ユーザーは、利用していたアプリにアクセスできなくなります。アカウントが削除された場合、組織ユーザーのアカウント内のデータはすべて削除されます。
パスワード/多要素認証のリセット
組織管理者は、組織ユーザーのパスワードをリセットできます。組織ユーザーがパスワードを忘れてしまった場合や、自身でパスワードをリセットできない場合、組織管理者を通じてパスワードをリセットすることが可能です。
組織ユーザーのアカウントで多要素認証が有効になっている場合、組織管理者は多要素認証をリセットできます。組織ユーザーが多要素認証を通じてアカウントを認証できず、バックアップ認証コードがない場合でも、組織管理者を通じて多要素認証をリセットすることが可能です。多要素認証がリセットされた後、組織ユーザーはアカウントにサインインし、多要素認証を再設定することができます。
独自のシングルサインオン認証の適用
外部サービスのアカウントによるサインイン(フェデレーションサインイン)の制限
Zohoでは、外部サービスのアカウントを用いたサインイン(フェデレーションサインイン)が可能です。Google、Facebook、LinkedInなどの外部サービスのアカウントをZohoアカウントに関連付けて、外部サービスのアカウントの認証情報を使用してZohoアカウントにサインインできます。組織管理者は、組織ユーザーに対して、これらの外部サービスのアカウントとZohoアカウントの関連付けを制限することができます。
特定のIPアドレスからのみのアクセスの適用
組織管理者は、組織ユーザーに対して特定のIPアドレスからのみZohoアカウントにアクセスが可能なようにポリシーを設定し、他のIPアドレスからのアクセスを制限することができます。組織のポリシーでIPアドレスの制限が適用されている場合、組織ユーザーは、許可されていないIPアドレスからはZohoアカウントにアクセスできなくなります。
IPアドレスの制限に関する詳細については、こちらをご参照ください。多要素認証の適用
多要素認証とは、ユーザー名とパスワードによる認証方法に、別の認証方法を加えてセキュリティを強化する認証方法です。組織ユーザーは自身で多要素認証を設定することができますが、組織管理者は、多要素認証を適用していない組織ユーザーに対して多要素認証を適用し、セキュリティを強化することが可能です。
多要素認証を適用するにあたって、組織管理者は以下の内容を設定できます。
- 多要素認証の認証方法
多要素認証の認証方法には、Zoho OneAuth、ワンタイムパスワード(モバイル)、ワンタイムパスワード認証アプリ、認証用デバイス(YubiKey/セキュリティキー)の4種類が用意されています。組織管理者は、これらのいずれかの認証方法を指定し、組織ユーザーに対して適用することが可能です。組織管理者によって認証方法が1つのみ指定されている場合、組織ユーザーは該当の認証方法を通じてアカウントにサインインする必要があります。組織管理者によって認証方法が複数指定されている場合、組織ユーザーは認証方法を選択することができます。
- 多要素認証による認証の有効期限
同じデバイスから特定のブラウザーを通じてサインインする頻度が多い場合、組織ユーザーは、該当のブラウザーを信頼するブラウザーとして設定することで、サインイン時の多要素認証をスキップできます。組織管理者は、この多要素認証のスキップ可能な期間を指定することが可能です。また、組織管理者は、信頼するブラウザーの設定を制限し、多要素認証を必須に指定することもできます。
- バックアップ認証コードの利用の許可/制限
バックアップ認証コードとは、多要素認証を通じてアカウントを認証できなくなった際にアカウントを復元するためのコードです。組織ユーザーは、Zohoアカウントの管理ページ(accounts.zoho.com)でバックアップ認証コードを生成できます。組織管理者は、組織ユーザーに対してバックアップ認証コードの生成/使用を制限することができます。組織管理者によってバックアップ認証コードの使用が制限されている場合、組織ユーザーが多要素認証を通じてアカウントを認証できなくなった際には、組織管理者に連絡する必要があります。
パスワードポリシーの設定/適用
組織管理者は、パスワードポリシーを設定し、組織ユーザーに対して適用できます。パスワードポリシーでは、パスワードに使用する文字やパスワードの有効期限を指定することが可能です。
- パスワードの複雑さ
パスワードの長さを指定したり、パスワードに使用する文字(大文字小文字のアルファベット、特殊文字、数字)を指定したりできます。
- パスワードの最短使用期間
パスワードを変更できるようになるまでの期間を指定できます。たとえば、組織管理者によって最短使用期間が1日に設定されている場合、パスワードを変更してから1日経過すると、組織ユーザーは新しいパスワードに変更できるようになります。
- パスワードの最長使用期間
パスワードを使用できる最長期間を指定できます。たとえば、組織管理者によって最長使用期間が3か月に設定されている場合、組織ユーザーは3か月ごとにパスワードを変更する必要があります。
セッションポリシーの適用
組織管理者は、セッションポリシーを設定し、組織ユーザーに対して適用できます。セッションポリシーを通じて適用可能な内容は、以下のとおりです。
- セッションの期限
有効なセッションにおいて、自動でサインアウトされるまでの期間(期限)を設定できます。初期設定では、セッションの期限は30日に設定されています。組織管理者は、1日から30日の間で期限を指定することが可能です。
- 無操作状態のセッションの期限
操作が行われていないセッションにおいて、自動でサインアウトされるまでの期間(期限)を設定できます。組織管理者は、1分から30分の間で期限を指定することが可能です。
- 同時セッションの上限
同時に利用できる有効なセッション数の上限を設定できます。初期設定では、同時セッション数の上限は50件に設定されています。組織管理者は、1件から50件の間で上限を指定することが可能です。