# バーチャル MFA
仮想 MFA は広く使われているセキュリティ検証手段で、ユーザーはアカウントにログインする際、通常の「ユーザー名+パスワード」を入力するほか、仮想 MFA が提供する動的コードを入力する必要がある。仮想 MFA を使用すると、パスワード漏洩によるアカウントリスクを効果的に回避し、アカウントセキュリティを大幅に向上させることができます。ログインに加えて、任意のアカウントセンシティブ操作は仮想 MFA によって保護されます。
一般的に、仮想 MFA はユーザーが事前に携帯電話アプリケーションにアカウントの MFA キーをバインドし、使用するたびにアプリケーションを開き、このときの動的コードを入力すると MFA 検証が完了する。
この章では、TA システムにおける仮想 MFA のサポートについて詳しく説明します。
# 一、個人が MFA をオン/オフする
# 1.1 個人で MFA を開く
個人アカウントのセキュリティに対する要求が高いユーザーは、web ページの右上メニューの「個人センター」ページにアクセスして、個人アカウントに仮想 MFA
「アカウントセキュリティ」セクションで、「仮想 MFA」エントリの「バインド」ボタンをクリックして、バインド MFA プロセスに入ります
「バインド」をクリックすると、パスワードを入力して認証する必要があります
バインドに入るには、認証アプリケーションをダウンロードするか、WeChat アプレットを使用する必要があります。該当するプログラムを開いた後、画面中央の二次元コードをスキャンして関連情報を取得し、コードをスキャンできない場合は、「コードをスキャンできませんか?」手動入力モードに切り替えます。
スキャンコードまたはキー入力操作が完了すると、認証アプリケーションはシーンを作成します(アプリケーションによっては、シーンを手動で保存する必要がある場合があります)。このとき、シーンが示す 6 ビットの認証コードを見て、ページの対応する場所に入力し、チェックを完了すると MFA にバインドできます。
バインドが完了したら、再ログインが必要で、再ログインの過程でバインドしたばかりの仮想 MFA を使用する必要があります。具体的な詳細は第三章「MFA をオンにした後のログインプロセス」を参照してください。
# 1.2 個人による MFA 閉鎖
MFA を閉じる必要がある場合は、「アカウントセキュリティ」の下にある「仮想 MFA」エントリで、「バインド解除」をクリックして MFA を閉じるプロセスに入ります
「結合解除」をクリックすると、MFA の動的コード認証認証を入力し、完了すると MFA を閉じることができます。この場合、認証アプリケーションでバインドされた MFA 情報を削除することもできます
# II。仮想 MFA 管理
システム管理者は、Web ページの右上隅のメニューにある[システム管理]ページにアクセスして、[システムセキュリティ]の[仮想 MFA]タブでクラスターの仮想 MFA を管理できます。これには、全員で MFA を強制的に有効にしたり、ユーザーの MFA を解放したりすることが含まれます。
# 2.1 オン/オフ強制 MFA 有効化
システム全体のセキュリティ要件が高い場合は、すべてのユーザーに MFA のバインドを強制するグローバル管理機能も提供しています。システム管理者は、MFA の強制有効化をオンまたはオフにすることができます。
強制 MFA を有効にすると、MFA を有効にしていないすべてのユーザーは、ログイン時に仮想 MFA をバインドする必要があり、仮想 MFA をバインドした後にアカウントログインを完了できます。バインド後にバインドを解除する場合は、次のログイン時に MFA をバインドする必要があります。
MFA の強制有効化をオフにすると、仮想 MFA のバインドはユーザーに要求されなくなりますが、バインドされた仮想 MFA は解除されません。
# 2.2 指定されたユーザー用の仮想 MFA
ユーザーが仮想 MFA の動的コードを取得できない場合、例えば、デバイスを紛失したり、認証アプリケーションを誤って削除したりすると、システム管理者は仮想 MFA 管理ページで、指定されたユーザーのために仮想 MFA を解放することができる。
TIP
システム管理者が MFA 動的コードを取得できない場合は、TA スタッフに連絡して解凍することができます。
# 三、MFA をオンにした後のログインプロセス
仮想 MFA をオンにした後、ユーザーがパスワードチェックを完了すると、MFA チェックに入り、この時点で以前にバインドされた MFA の認証アプリケーションを開き、この時点でアプリケーションが示す動的コードを入力し、認証に成功すると TA バックグラウンドに正常にログインできる。
サードパーティのログインが採用されている場合、MFA チェックは行われません。
← アドレス管理を報告する ユーザー識別ルール →