二要素認証

概要

二要素認証は追加のセキュリティ層を提供します。 ユーザーのセッションへのアクセスを防ぎます、たとえ誰かが彼らのパスワードを知っていても。 .

2つの異なる要素の組み合わせが、より高いレベルのセキュリティを達成するために使用されます。

1. 彼らが知っている何か、 パスワード .
2. 彼らが持っている何か、a 認証アプリがインストールされたデバイス - スマートフォンなど。 .

次の認証アプリのいずれかを使用して進めることができます。これらのアプリは、さまざまなプラットフォームで利用可能です。

• Authy
• Google Authenticator
• マイクロソフト認証システム

ユーザーがリモートセッションにサインインするたびに、パスワードと携帯電話から入手可能な認証コードが必要です。設定が完了すると、認証アプリがログインを許可するための認証コードを表示します。デバイスがオフラインであっても機能します。

または 確認コードを受け取る方法を決定できます。 SMS この場合、無料アカウントを作成する必要があります。 Twilio .

要件

二要素認証はTSplus Remote Accessを必要とします モバイルウェブ または エンタープライズ エディション。

二要素認証は次のものをサポートしています：

• TSplus Remote Access ウェブポータル HTML5およびRemoteapp接続の両方用
• TSplus接続クライアント、バージョン15.30.3.15以降に生成されたクライアント用で、2FAサポートが明示的に有効になっています。ご覧ください ポータブルクライアントジェネレーターのサポート（2ファクタ認証用）
• 2FAはWindowsユーザーに関連しており、Web認証情報には関連していません。

この認証モードは、標準のMicrosoft Remote Desktopクライアント（mstsc.exe）を通じたログインをサポートしていません。

より安全なソリューションを提供するために、2FAが有効なユーザーのRDP接続は拒否されます。

前提条件として、TSplusサーバーとデバイスは時間通りでなければなりません。ご覧ください。 時間同期 そして 設定 設定情報の詳細については、セクションをご覧ください。

二要素認証アドオンライセンスの有効化

Two-Factor Authentication機能はAdminToolのAdd-Onタブにあります。

10ユーザー向けの30日間のトライアルとして利用可能です。ライセンスを有効にするには、ホームタイルの下部にあるシリアル番号をコピーしてください。

次に、私たちのに接続します ライセンスポータル 注文番号、メールアドレス、シリアル番号を入力し、下のドロップダウンリストから「Two-Factor Authentication」を選択してください。

ライセンス.licファイルを取得します。その後、[に移動します。] ライセンス タブをクリックして「ライセンスをアクティブ化」ボタンを押してください:

### 二要素認証を有効にする

次の手順に従って、TSplusサーバーまたはデプロイメントの二要素認証を有効にします。複数のサーバーを使用するように構成されているTSplusデプロイメントの場合、ユーザーのための単一のエントリーポイントとして公開されているTSplusサーバーまたはリバースプロキシの役割を持つサーバーでこの作業を行ってください。

1. 二要素認証管理アプリケーションを開いてください。二要素認証のステータスとライセンスのステータスが表示されます。

デフォルトでは、2FAはTSplusゲートウェイおよびスタンドアロンアプリケーションサーバーに対して有効になっています。

TSplusアプリケーションサーバーのみで有効にするには、認証サーバーのURLを入力してください:

無効にするには:

ユーザーとグループを追加

二要素認証が有効になると、ユーザーを二要素認証に設定できます。

1. 二要素認証管理アプリケーションから、[クリックしてください] ユーザーを管理する タブ。

次に、クリックしてください 追加 ユーザーおよび/またはユーザーグループを選択するための。 ユーザーまたはグループを選択 ボックスが開きます。

3) 必要に応じてユーザーとグループを追加し、その後クリックしてください OK ユーザーとグループがリストに追加され、二要素認証が有効になります。

ユーザーの編集

同じタイルで、ユーザーを選択して「編集」ボタンをクリックすることで、ユーザーが検証コードを受け取る方法を編集できます。

ユーザーはデフォルトで認証アプリに確認コードを受け取ります。オプションを選択し、下のフィールドにユーザーの電話番号を追加することで、SMSで受け取るように選択できます。

ユーザーとグループを削除

ユーザーまたはグループを削除するには、ユーザーまたはグループを選択し、次にクリックします。 削除 確認メッセージが表示されます。

クリック はい ユーザーまたはグループはリストから削除され、二要素認証を使用して接続できなくなります。

ユーザーの設定をリセット

ユーザーの認証デバイスを紛失した場合、またはユーザーが秘密のQRコードを再表示する必要がある場合は、ユーザーの認証設定をリセットする必要があります。

1. 二要素認証管理アプリケーションから、[クリックしてください] ユーザーを管理する タブ。

2. アクティブなユーザーを1人以上選択し、次にクリックしてください リセット 確認メッセージが表示されます。

3) クリック はい 選択されたユーザーは、次回のログイン時に新しいQRコードが表示され、そのデバイスの認証アプリでスキャンする必要があります。また、ユーザーの電話番号を変更することもできるため、新しいデバイスで確認コードを受け取ることができます。

ユーザーを二要素認証に登録する

ユーザーが二要素認証の使用を有効にすると、次回TSplus Webポータルからの成功したログオン時にアクティベーションメッセージが表示されます。

必要な手順を完了するために、2つの選択肢があります：認証アプリを介してコードを生成するか、ユーザーにSMSでコードを受信させるかのいずれかです。

認証アプリケーションでコードを受け取る

ユーザーは、スマートフォンなどのポータブルデバイスに認証アプリをインストールする必要があります。

次の認証アプリのいずれかを使用して進めることができます。これらのアプリは、さまざまなプラットフォームで利用可能です。

• Authy
• Google Authenticator
• マイクロソフト認証システム

各アプリのドキュメントを使用して、TSplusアカウントを追加する方法の詳細を確認してください。

SMSを設定する

ユーザーがSMSで確認コードを受け取るには、まずそれを有効にする必要があります。[クリックして] SMSを設定する タブ:

TSplusは、SMSで認証コードを送信するためにTwilioを活用しています。Twilioは、TSplusとは提携していないサードパーティのクラウドプラットフォームです。

1. 無料アカウントを作成してください Twilio 以下の「Twilioで無料トライアルを開始する」ボタンをクリックしてください。

あなたの2) Twilioアカウントダッシュボード トライアル番号をアクティブにする必要があります。

3. 次のステップは、トライアル版にのみ必要です。これにより、TwilioはSMSが送信される実際の電話番号を確認できます。この番号を以下に入力してください。 「電話番号」メニュー - 「確認済みの発信者ID」 タブ :

4) その後、アカウントのSID、認証トークンを入力できるようになります。 試用番号 電話番号としての SMSを設定する TSplusのタブ:

次に、保存をクリックします。次のメッセージが表示されます：

Twilioのサブスクリプションは、で管理できます。 Twilioのサブスクリプションを管理する セクション、の下部に SMSを設定する アカウントを管理し、サービスのステータスを確認するか、該当するボタンをクリックするだけでTwilioサポートセンターにアクセスできます。

二要素認証を使用してログイン

ユーザーが認証アプリでTSplusアカウントを設定すると、パスワードと認証アプリまたはSMSで提供されたコードを使用して接続できるようになります。

TSplus Remote Access Webポータルから:

TSplusが生成したクライアントから:

### 時間同期

TSplus アプリケーションサーバーとクライアントデバイスは、同じ時間を共有する必要があります。これは、サーバーの時間と日付がタイムサーバーと同期されている必要があることを意味します。クライアントデバイスも、設定されているタイムゾーンに関係なく、時間の同期が必要です。

デバイスの日時が同期されていない場合、またはサーバーの日時が同期されていない場合、認証リクエストは拒否される可能性があります。

デバイスとサーバー間の情報の検証はUTC時間に関連しています。 設定 セクション、ディスクリペンシーパラメータは、コードの有効期間を30秒の間隔で管理するために使用されます。

認証の検証または有効な認証の例：

• サーバーはタイムサーバーと同期しており、タイムゾーンはUTC + 2で、午後2時30分です。
• デバイスはタイムサーバーと同期しており、タイムゾーンはUTC + 1で、午後1時30分です。
• 不一致パラメータは60に設定されており、すなわちコードの有効期限は30分です。
• UTC時間を参照すると、デバイスの時間とサーバーの時間は同一です。

認証の有効または無効の例:

• サーバーはタイムサーバーと同期しており、タイムゾーンはUTC + 2で、午後2時30分です。
• デバイスはタイムサーバーと同期しておらず、タイムゾーンはUTC-1で、時間は手動で午後1時30分に設定されています。
• 不一致パラメータは60に設定されており、すなわちコードの有効期限は30分です。
• サーバー時間はUTC時間の午前12時30分を指します。
• デバイスによって通知された時間は、UTC時間で午後2時30分です。
• 差は120分であるため、検証コードは拒否されます。

設定

設定タブでは、あなたが ユーザーをホワイトリストに登録し、RDPクライアントを使用して接続できるようにし、二要素認証コードを入力する必要をなくします。

「ユーザーを追加するには「追加」ボタンをクリックし、ユーザーを選択して「削除」ボタンをクリックすることでユーザーを削除します。」

詳細タブでは、二要素認証の詳細設定を構成できます。

不一致

不一致値を変更することができ、これにより検証コードの検証時間を設定できます。 不一致が3の場合、同じ検証コードは元の30秒の有効期間の前後90秒間有効です。 デフォルトは480で、これは480 x 30秒= 4時間を意味します。

発行者

二要素認証サービスの名前を示す文字列。発行者はクライアントのモバイルアプリに表示され、生成された検証コードに関連付けられたサービスを特定します。デフォルトでは、サーバーの名前にTSplusが含まれています。

初回セッション後の有効性

ユーザーが以前の二要素認証コードを再検証することなくセッションを開くことができる期間。この設定により、ユーザーはWebアプリケーションポータルからアプリケーションを連続して開くことができます。デフォルトは480分です。

初回セッション前の有効性

ユーザーがWebポータルまたはモバイルアプリから二要素認証コードを検証した後にセッションを開くことができる期間（秒単位）。デフォルトは3600秒です。

数字

ユーザーに表示する桁数。この設定は認証アプリによってサポートされていない場合があります。この数は4以上12以下でなければなりません。デフォルトは6です。

SMS認証コードメッセージ

ユーザーにSMSで受信するように設定されている場合、確認コードを要求するメッセージが送信されます。このメッセージには、実際の確認コードに置き換えられる%CODE%プレースホルダーが含まれている必要があります。デフォルトは次のとおりです: あなたの%ISSUER%確認コードは: %CODE%です。