管理者には、組織内のユーザーを管理する権限があります。ただし、ユーザーのパスワードやMFAのリセット、およびその他いくつかの操作については、管理者に一定の制限が課されます。これらの制限は、ユーザーのメールアドレスのドメインによって異なります。
ドメイン名とは
ドメイン名とは、Webサイトのアドレスを指します。簡単に言えば、家をWebサイトとすると、その住所がドメインです。ドメインを購入した人は、そのドメインの所有者になります。所有者は本人確認のため、Zoho Directoryでドメインを認証することが重要です。
ドメインは大きく、認証済みドメインと未認証ドメインに分類できます。
認証済みドメインと未認証ドメイン
これらのドメインの違いを、あるシナリオで説明します。
Walterが会社用にドメイン名
ジルカー.comを購入したとします。次に、会社で従業員を雇用し、各従業員には
ジルカー.comドメインのメールアドレス(
megan@ジルカー.com や
james@ジルカー.comなど)が付与されます。Walterはそのドメイン名を所有しているため、Zoho Directoryでそのドメインを
認証できます。認証が完了すると、Walterは任意の従業員のパスワードをリセットできます。
次に、追加業務のためにWalterが外部コンサルタントを雇用したとします。これらの外部コンサルタントは、たとえば
leonard@zohomail.comや
antony@gmail.comのように、それぞれ自社または個人のメールアドレスを持っています。WalterがZoho Directoryの組織にこれらのユーザーを追加しても、Walterはどちらのドメインも所有していないため、それらのメールアドレスのドメインをZoho Directoryで認証することはできません。このような場合、Walterはそれらのユーザーのパスワードをリセットできません。
ドメイン認証の制限が必要な理由
ドメイン認証による制限を設けることで、ユーザーに関する操作を実行できる権限はドメイン所有者のみに与えられます。ドメインを所有し、Zoho Oneで認証している場合、そのドメイン配下のユーザーに対するすべての操作を実行できます。一方、外部ユーザーや個人用メールアドレスのユーザーの場合は、本人確認とセキュリティ上の理由から、パスワードのリセットやバックアップコードの生成をユーザー自身で行う必要があります。
管理者がリセットできるパスワード
管理者は、認証済みドメインのメールアドレスを持つユーザーのパスワードをリセットできます。
- ユーザーが未認証ドメインのメールアドレスのみを持っている場合、または認証済みドメインの確認済みメールアドレスを持っていない場合:ユーザーはZoho Accountsにサインインして、自分でパスワードをリセットする必要があります。
- 新しいメールアドレスの追加:認証済みドメインのメールアドレスをユーザーのプロフィールに追加した場合、ユーザーが承認するまでは「未認証」のままです。同意メールがユーザーのメインのメールアドレスに送信されます。ユーザーが招待を確認して承認すると、そのメールアドレスは認証済みになります。
アカウントのセキュリティを強化し、ユーザー管理設定を保護するため、一部の管理者操作に対してドメインに基づく制限を適用しています。ユーザーのメールドメインが認証され、確認されるまで、管理者は次の操作を実行できません。
- MFAのリセット
- MFAの有効化/無効化
- ユーザーのバックアップコードの生成
- メールボックスの作成
これは、これらの操作を信頼できる認証済みドメインに属するユーザーに限定し、不正な復旧やアクセスの試行を防ぐためです。