コンピュータまたはサーバーの MFA を構成する

Logon app を使用すると、ユーザーがコンピュータやサーバーにログインする際に認証を要求することができます。これには RDP と RD Gateway の保護が含まれます。

Logon app には次の 2 つの部分があります。

コンピュータまたはサーバーの MFA を構成するには、AuthPoint management UI で Logon app のリソースを構成し、続いて保護する各コンピュータまたはサーバーに Logon app をインストールします。リモート デスクトップと RDS 接続の場合は、ユーザーが認証を受けるホストに Logon app をインストールします。RD Gateway サーバー自体を保護するには、そのサーバーに Logon app をインストールします。RD Gateway の背後のホストを保護するには、そのホストに Logon app をインストールします。

Logon app をインストールすると、ログインには認証が必要になります。ログイン画面で、ユーザーはパスワードを入力し、許可されたいずれか 1 つの認証方法 (プッシュ通知、ワンタイム パスワードまたは QR code) を選択する必要があります。

Logon app へのユーザーの初回ログインでは、パスワード認証のみがサポートされています。ユーザーがタッチ ID や Windows Hello などの生体認証機能をサポートしているコンピュータに Logon app をインストールした場合でも、それらの機能を使ってログインすることはできません。ユーザーは、パスワードと AuthPoint MFA を使ってログインする必要があります。初回ログイン後は、生体認証を使用することができます。

ユーザーはドメインまたはローカル ユーザー アカウントを使ってログオンできますが、Logon app の認証ポリシーを含む有効な AuthPoint ユーザー アカウントを持っている必要があります。Logon app の認証ポリシーを含む AuthPoint ユーザー アカウントを持っていないユーザーは、特定の非 AuthPoint ユーザーが MFA を使わずにログインできるように許可するオプションを有効にしない限り、Logon app がインストールされたコンピュータでの認証とログインができません。

AuthPoint ライセンスの有効期限が切れた場合、または Logon app リソースを削除した場合、ユーザーはパスワードだけを使ってコンピュータにログインできます。

Logon app は AuthPoint management UI の ダウンロード ページからダウンロードできます。

要件

Logon app をセットアップして配備する際には、以下の要件にご注意ください。

  • Logon app を使って認証とログインをするには、すべてのドメインとローカル ユーザーが有効な AuthPoint ユーザー アカウントを持っており、認証ポリシーを含む AuthPoint グループのメンバーでなければなりません

    AuthPoint ユーザー アカウントを持っていないユーザーに対して、特定の非 AuthPoint ユーザーが MFA を使わずにログインできるように許可するオプションを有効にすることができます。

  • ローカルおよびドメイン ユーザーのユーザー名は AuthPoint のユーザー名と同じでなければなりません
  • ローカル ユーザーとして (ドメインの一部ではなく) ログインするには、アクティブなトークンを持つ AuthPoint ユーザー アカウントを持っている必要があります
  • ローカル ユーザーがドメイン ユーザーと同じユーザー名を持っている場合は、同じ AuthPoint ユーザーを使って両方のアカウントへの認証とログインをすることができます
  • ローカル ユーザー名がドメイン ユーザー名と異なる場合、各ユーザー アカウントに別々の AuthPoint ユーザーがいる必要があります (ドメイン ユーザーに 1 人、ローカル ユーザーに 1 人)
  • Logon app をインストールする際には、初めてログインをする前にコンピュータがインターネットに接続されている必要があります
  • Active Directory ドメインのコンピュータに Logon app をインストールする場合は、ドメイン ユーザーがローカルで認証 (ログオン) できるようにグループ ポリシーを構成する必要があります。
  • ユーザーがタッチ ID や Windows Hello などの生体認証機能をサポートしているコンピュータに Logon app をインストールした場合でも、それらの機能を使ってログインすることはできません
AuthPoint コンポーネント Windows 8.1 および 10 Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2016 R2 Windows Server 2019
Windows 用 Logon App (64-bit)  
Windows 用 Logon App (32-bit)    
AuthPoint コンポーネント El Capitan (10.11) Sierra (10.12) High Sierra (10.13) Mojave (10.14) Catalina(10.15)
macOS 用 Logon App

Windows 7 かそれよりも古い Windows、または Windows 2008 R2 かそれよりも古いサーバーを実行しているコンピュータに Logon app をインストールしないでください。

Logon app リソースを追加する

開始するには、その Logon app のリソースを追加する必要があります。Logon app がインストールされているそれぞれのコンピュータに別々の Logon app リソースは必要とされません。OS に関係なく、1 つの Logon app リソースをすべての認証ポリシーに使用することができます。

AuthPoint で Logon app のリソースを追加したら、既存の認証ポリシーにそのリソースを追加するか、コンピュータにログインするのに認証が求められるユーザー グループを含む Logon app リソース用に新しい認証ポリシーを追加する必要があります。

Logon app リソースを追加するには、以下の手順を実行します。

  1. リソース を選択します。
  2. リソースの種類の選択 ドロップダウン リストから、Logon App を選択します。リソースを追加する をクリックします。

  1. Logon App ページの 名前 テキスト ボックスに、このリソースの名前を入力します。
  2. (任意) サポート メッセージ テキスト ボックスに、ログオン画面に表示するメッセージを入力します。
  3. AuthPoint ユーザー アカウントを持っていない特定のユーザーが MFA を使わずにログインできるようにするには、特定のユーザーが MFA を使わずにログインすることを許可する トグルを有効にします。

    非 AuthPoint ユーザーが MFA を使わずにログインできるのは、ユーザー名が同じ AuthPoint アカウントが存在しない場合に限られます。

  1. ユーザー名の追加 テキスト ボックスに、MFA を使わずにログインできるそれぞれの非 AuthPoint ユーザーのユーザー名を入力します。MFA を使わずにログインできる非 AuthPoint ユーザーは、最大 50 人まで指定できます。

  1. 保存 をクリックします。
  2. Logon app リソースを既存の認証ポリシーに追加するか、Logon app リソース用の新しい認証ポリシーを追加します。(詳細については AuthPoint 認証ポリシーについて を参照してください)。ユーザーがインターネットに接続されていなくても認証できるように、Logon app の認証ポリシーに QR code か OTP 認証オプションを含めることをお勧めします。

Logon App をダウンロードしてインストールする

Windows コマンド プロンプトを使用して、Logon app をインストールすることができます。コマンド ライン オプションを使用して、Active Directory グループ ポリシー オブジェクト (GPO) 経由で配備することもできます。Windows コマンド プロンプトから Logon app をインストールするには、Logon app の .MSI インストーラ ファイルと構成ファイルをダウンロードする必要があります。

Logon app をインストールする際には、ユーザーが初めてログオンをする前に Logon app をインストールするコンピュータがインターネットに接続されている必要があります。これは、Logon app が AuthPoint と通信して認証ポリシーを確認するために必要です。

Logon app では、認証ポリシーのコピーはコンピュータ上にローカルに保存されます。このローカル ポリシーは、ユーザーがオフラインで認証する際に Logon app によって使用され、コンピュータが次にインターネットに接続された際に更新されます。

Logon app のインストーラと構成ファイルのダウンロード

Logon app のインストーラと構成ファイルをダウンロードするには、以下の手順を実行します。

  1. ナビゲーション メニューから ダウンロード を選択します。
    ダウンロード ページが表示されます。
  2. Logon App セクションのオペレーティング システムの横で インストーラをダウンロードする をクリックします。
  3. Logon app の構成ファイルをダウンロードするには、構成をダウンロード をクリックします。オペレーティング システムに関係なく、インストールされたそれぞれの Logon app に対し同一の構成ファイルを使用することができます。

Logon app を手動でインストールする

Logon app を手動でインストールするには、コンピュータ上で、ダウンロードした構成ファイルを Logon app のインストーラ (.MSI ファイル) と同じディレクトリに移動します。Logon app のインストーラを実行して、保護したいコンピュータまたはサーバーに Logon app をインストールします。

Windows コマンド プロンプトから Logon app をインストールする

Windows コマンド プロンプトから Logon app をインストールするには、以下の手順を実行します。

  1. Windows スタート メニューで、コマンド プロンプト を右クリックして、管理者として実行 を選択します。
    Windows コマンド プロンプト ウィンドウが開きます。
  2. .MSI ファイルの場所にディレクトリを変更します。
  3. Logon app インストーラを実行するには、これらのコマンドのいずれかを実行します。
    • 構成ファイルへのパスを渡すには、以下のコマンドを実行します。
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_PATH="C:/wlconfig.cfg"
    • 構成ファイルの内容を渡すには、以下のコマンドを実行します。
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi CONFIG_CONTENT="config_file_content_without_spaces"
    • インストーラと構成ファイルが同じ場所にある場合は、以下のコマンドを実行します。
      msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi

    実行するインストーラのバージョンが一致するように、コマンドを必ず更新してください。

    ユーザーの介入なしに Logon app をサイレントにインストールするには、コマンドに /q または /qn を追加します。インストールの完了時にコンピュータが再起動されるのを防ぐには、コマンドに /norestart を追加します。詳細については、msiexec コマンドに関する Microsoft のドキュメント を参照してください。

Active Directory GPO を使用して Logon app をインストールする

前の手順で説明されているコマンドを使用して、Active Directory グループ ポリシー オブジェクト (GPO) 経由で、複数のコンピュータに Logon app をリモートでインストールすることができます。コマンド ライン パラメータがサポートされているインストール方法を使用する必要があります。

コマンド ライン パラメータを使用して、.MSI ファイルからインストールするように GPO を構成する 2 つの方法があります。

Logon app をインストールするバッチ ファイルを実行する起動スクリプトまたはログオン スクリプトの GPO を構成します。バッチ ファイルには、.MSI ファイルへのネットワーク パスを指定する 1 行のみが含まれています。その他のパラメータについては、Windows コマンド プロンプトからのインストールの手順に説明されている方法と同じです。

  • 構成ファイルへのパスを渡すには、以下のコマンドを実行します。
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_PATH="C:/wlconfig.cfg"
  • 構成ファイルの内容を渡すには、以下のコマンドを実行します。
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi" CONFIG_CONTENT="config_file_content_without_spaces"
  • インストーラと構成ファイルが同じ場所にある場合は、以下のコマンドを実行します。
    msiexec -i "[path]\AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi"

実行するインストーラのバージョンが一致するように、コマンドを必ず更新してください。

必要なコマンド ライン パラメータが含まれている変換ファイル (.MST) を作成します。.MST ファイルを作成する Orca ツールは Windows SDK にあります。これは、Microsoft から入手することができます。

Orca で .MST ファイルを作成するには、以下の手順を実行します。

  1. Orca を開きます。
  2. ファイル > 開く を選択してから、ダウンロードした .MSI ファイルを選択します。
  3. 新しい変換を開始するには、変換 > 新しい変換 の順に選択します。
  4. プロパティ リストで、次のようにプロパティを追加します。
    • 構成ファイルへのパスを渡すには、構成ファイルへのパスと共に CONFIG_PATH プロパティを追加します。
    • 構成ファイルの内容を渡すには、構成ファイルの内容と共に CONFIG_CONTENT プロパティを追加します (スペースなし)。
    • インストーラと構成ファイルが同じ場所にある場合は、プロパティを追加する必要はありません。
  5. 変換ファイルを生成するには、変換 >変換を生成する の順に選択します。
  6. 変換ファイルを保存するには、ファイル > 名前を付けて保存 を選択します。
  7. 元の .MSI ファイルを、.MSI ファイルが含まれるディレクトリにコピーします。
  8. インストールを手動でテストするには、以下のコマンドを入力します。
    install: msiexec -i AuthPoint_Agent_for_Windows_x64-2.1.0.218.msi -q TRANSFORMS=[Logon app mst file]

    実行するインストーラのバージョンが一致するように、コマンドを必ず更新してください。

.MST ファイルを作成したら、.MSI ファイルと .MST ファイルの両方が含まれているソフトウェア インストール GPO を作成します。

ソフトウェア インストール GPO を作成するには、以下の手順を実行します。

  1. グループ ポリシー管理エディタを開きます。
  2. ソフトウェア インストール設定に移動します。
  3. 右クリックして、新規 > パッケージ の順に選択します。
  4. .MSI ファイルへのネットワーク パスを指定します。
  5. 詳細 を選択します。
  6. 変更 タブを選択します。
  7. 追加 をクリックします。
  8. .MST ファイルへのネットワーク パスを指定します。
  9. OK をクリックします。
  10. Windows スタート メニューで、コマンド プロンプト を右クリックして、管理者として実行 を選択します。
    Windows コマンド プロンプト ウィンドウが開きます。
  11. gpupdate を使用して、グループ ポリシー設定を更新します。
  12. GPO をテストするには、ドメイン のコンピュータを再起動します。

Logon App を更新する

Logon app は自動的に最新バージョンにアップグレードしません。Logon app をアップグレードするには、Agent for Windows の更新版か、Agent for macOS をダウンロードしてインストールする必要があります。最新バージョンの エージェントは ダウンロード ページで入手できます。

エージェントの更新されたバージョンをインストールする際に Logon app をアンインストールしたり新しい構成ファイルをダウンロードする必要はありません。

Agent for Windows を更新するには、以下の手順を実行します。

  1. AuthPoint management UI で ダウンロード を選択します。
  2. Logon App セクションのオペレーティング システムの横で インストーラをダウンロードする をクリックします。構成ファイルをダウンロードする必要はありません。

  1. ダウンロードした Logon app インストーラをコンピュータ上で実行するか、前のセクションの手順に従って、コマンド ラインまたは GPO を使用してエージェントをインストールします。

Logon app をアンインストールする

AuthPoint MFA でコンピュータやサーバーを保護する必要がなくなった際に、Logon app をアンインストールするすることができます。

AuthPoint ライセンスの有効期限が切れたり、Logon app がインストールされていると、ユーザーはパスワードだけを使ってコンピュータにログインできます。

  1. Windows のスタート メニューを開いて、設定 を選択します。
  2. アプリと機能 に移動します。
  3. AuthPoint Agent for Windows を選択します。
  4. アンインストール をクリックします。
  5. Logon app がアンインストールされたら、コンピュータを再起動します。

バージョン 1.5.21 以降の macOS 用 Logon App をアンインストールするには、Logon_App_for_Mac_uninstall.pkg パッケージ ファイルを実行する必要があります。

  1. /Users/$USER/Applications/WatchGuard に移動します。
  2. Logon_App_for_Mac_uninstall.pkg パッケージ ファイルを実行します。
  3. ウィザードの手順に従います。完了後は、コンピュータを再起動する必要があります。

バージョン 1.5.20 以前の macOS 用 Logon App をアンインストールするには、ターミナル アプリを使用して uninstall.sh スクリプトを実行する必要があります。uninstall.sh スクリプトは、アプリケーション フォルダ (/Users/$USER/Applications/WatchGuard/uninstall.sh) にあります。

  1. コンピュータの起動時に、Command + S を押してシングル ユーザー モードにします。
  2. ディスクを readwrite に設定するには、コマンド mount -o update / を入力します。
  3. アンインストール スクリプトを実行するには、コマンド sudo sh /Applications/WatchGuard/Logon\ App\ for\ Mac/uninstall.sh を入力します。
  4. Logon app がアンインストールされたら、コンピュータを再起動します。

ユーザー ログインに失敗した場合でも、コンピュータのセーフ モードで Logon app をアンインストールすることができます。

Windows Installer (msiserver) は、デフォルトではセーフ モードで動作しません。セーフ モードで Windows Installer を有効にするには、レジストリ キーを変更する必要があります。

  1. コンピュータをセーフ モードで起動します。
  2. ログインしたら、Cortana の検索ボックスに cmd と入力します。
  3. コマンド プロンプト アプリを右クリックして、管理者として実行 を選択します。
    ユーザー アカウント コントロール ダイアログ ボックスが表示されます。
  4. はい をクリックします。
  5. コマンド プロンプト ダイアログ ボックスに、以下のいずれかのコマンドを入力して Enter を押します。
    • セーフ モードのコンピュータの場合は、reg add "hklm\system\currentcontrolset\control\safeboot\minimal\msiserver" /ve /t reg_sz /f /d "service" と入力します。
    • セーフ モードのネットワークありのコンピュータの場合は、reg add "hklm\system\currentcontrolset\control\safeboot\network\msiserver" /ve /t reg_sz /f /d "service" と入力します。
  6. msiserver を起動するには、コマンド プロンプト ダイアログ ボックスに、net start msiserver と入力します。Enter を押します。
  7. これで、次のように Logon app をセーフ モードでアンインストールすることができます。
    1. Windows のスタート メニューを開いて、設定 を選択します。
    2. アプリと機能 に移動します。
    3. AuthPoint Agent for Windows を選択します。
    4. アンインストール をクリックします。
  8. Logon app がアンインストールされたら、コンピュータを再起動します。
  1. コンピュータが起動したら、即座に Shift キーを長押しします。
    Apple のロゴが表示されます。
  2. ログイン ページが表示されたら、Shift を離します。
  3. ターミナル ウィンドウを開きます。
  4. ターミナル ウィンドウに、コマンド cd /Volumes/Macintosh\ HD/Applications/WatchGuard/Logon\ App\ for\ Mac/ を入力します。
  5. コマンド sh .recovery.sh を入力します。
  6. reboot と入力します。
  7. Logon app をアンインストールするには、/Users/$USER/Applications/WatchGuard に移動します。
  8. Logon_App_for_Mac_uninstall.pkg パッケージ ファイルを実行します。
  9. ウィザードの手順に従います。完了後は、コンピュータを再起動する必要があります。

Logon App による認証

Logon app がコンピュータにインストールされると、ログインには認証が必要になります。ログイン画面で、ユーザーはパスワードを入力し、許可されたいずれか 1 つの認証方法を選択する必要があります。どの認証方法が使用可能かは、Logon app リソースとユーザーのグループを含む最も上位の認証ポリシーによって決まります。

プッシュ認証を有効にしている場合、ユーザーは ログイン時にプッシュ通知を自動的に送信する チェック ボックスを選択することで、認証処理をより簡単に行うことができます。このオプションを選択すると、ユーザーがユーザー名とパスワードを入力した後、Logon app からユーザーに自動的にプッシュ通知が送信されます。

Logon app は、Windows の自動ログオンに対応していません。

Logon app がインストールされたコンピュータにログインするには、以下の手順を実行します。

  1. ユーザー名 テキスト ボックスに、ドメイン ユーザーのユーザー名を入力します。ローカル ユーザーとしてログオンするには、<ホスト名>\<ユーザー名> の形式でユーザー名を入力します。
  2. パスワード テキスト ボックスに Windows か Mac のパスワードを入力します。Active Directory ユーザー アカウントの場合は AD パスワードを入力します。
  3. 次へ をクリックします。
    MFA が必要な場合は、認証画面が表示されます。グループの認証ポリシーでパスワードのみが必要とされる場合は、ログインされます。
  4. MFA が必要な場合は、以下の サインインのオプション で認証オプションを選択します。プッシュが既定の認証方法です。異なる認証オプションを選択すると、それが既定の認証方法になります。

    コンピュータにインターネット接続がないときに MFA が求められる場合は、ワンタイム パスワードか QR code の認証オプションを選択して認証をオフラインで行う必要があります。

  5. Enter または Return を押して認証します。
    • プッシュ — モバイル デバイスに送信されるプッシュ通知を承認します。
    • QR code — AuthPoint モバイル アプリを使って QR code をスキャンし、アプリに表示された検証コードを入力します。
    • ワンタイム パスワード — トークンのワンタイム パスワードを入力します。

トークンを持っていない場合は、トークンを忘れた場合機能を使って、インストールされている Logon app を使ってコンピュータにログオンします。詳細については、次を参照してください:モバイル デバイスを使わない認証

関連情報:

MFA を構成する

AuthPoint 認証ポリシーについて

認証について