MFAポリシーの並び替え

MFAポリシーの並び替え

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

条件付きアクセス ポリシーでは、allowdenyallow with MFA の 3 種類の処理を設定できます。

ユーザーがサインインを試行すると、まずそのユーザーが allow ポリシーに含まれているかどうかが確認されます。含まれていて、かつ現在のサインイン試行がその allow ポリシーの条件に一致する場合、サインインが許可されます。

ユーザーが allow ポリシーに含まれていない場合、または所属している allow ポリシーの条件を満たさない場合は、次に allow with MFA ポリシーが適用できるかどうかが確認されます。ここにも該当しない場合は、deny ポリシーが確認されます。いずれのポリシーにも該当しない場合は、初期設定ポリシーが適用されます。

これらのうち、allowdeny ポリシー の動作は分かりやすく、ユーザーはいずれか 1 つの所属ポリシーの条件を満たせば、そのポリシーに対応する操作が適用されます。例えば、ユーザーが 3 つの allow ポリシー に含まれていて、そのうち 1 つの条件を満たし、2 つの条件を満たさなかった場合でも、サインインは許可されます。それ以上の確認は行われません。

一方、MFA ポリシーは、ユーザーがどのポリシーの条件を満たしたかも考慮される点が異なります。MFA ポリシーには追加の設定があり、ユーザーに許可する MFA 要素、ブラウザー セッションを信頼できる期間、MFA をバイパスするためのバックアップ コードを使用できるかどうかを指定できます。

例を考えてみましょう。あるユーザーが 2 つの MFA ポリシー に含まれており、両方の条件を満たしているとします。MFA ポリシー 1 では OneAuth のみ使用可能で、MFA ポリシー 2 ではハードウェア セキュリティ キーのみ使用可能だとします。サインイン時には、そのユーザーに対して OneAuth とハードウェア セキュリティ キーのどちらの MFA 要素を許可するかを決定する必要があります。

このようなケースを解決するため、ポリシーを追加する際に MFA ポリシー の優先度を設定できます。ポリシーは順番に評価され、ユーザーが最初に条件を満たしたポリシーの MFA 設定がそのユーザーに適用されます。先ほどの例では、MFA ポリシー 1 の優先度が高い場合、ユーザーはサインイン時に OneAuth のみを使用できるようになります。

追加済みの MFA ポリシーの並び順を変更するには:

  1. Zoho Directory にサインインし、左側メニューで Admin Panel をクリックします。
  2. Security タブに移動し、Conditional Access Policies に進みます。
  3. Reorder Conditional Policies をクリックします。
  4. ドラッグ&ドロップでポリシーを並べ替えます。最初のポリシーが最高優先度、最後のポリシーが最低優先度になります。
  5. 並べ替えが完了したら Reorder をクリックして、変更内容を保存します。