アカウントでMFAを有効にする

IAM Identity Service またはすべての IAM アカウント管理サービスの管理者は、アカウント内のすべてのユーザー、シングル・サインオン (SSO) を使用しない IBMid を持つユーザー、または個々のユーザーに対して多要素認証 (MFA) を要求することを選択できます。

2023 年 5 月 3 日以降、MFA が 「なし」 に設定されているすべてのユーザーに対して、ユーザー名とパスワードのみを使用した CLI ログインがデフォルトで無効になります。これは、新規および既存のアカウントのユーザーに適用されます。管理者は、 IBM Cloud コンソールでその日付より前にオプトアウトできます。詳しくは、パスワードのみを使用した CLI ログインの無効化を参照してください。

アカウント内の各ユーザーの MFA 要件を表示して、それらのユーザーが MFA 状況レポートを生成することによって要件を満たしているかどうかを判別します。詳しくは、ユーザーの MFA 状況の識別を参照してください。

開始前に

アカウントの MFA を有効にする前に、アカウント内のすべてのユーザーにどのように影響するかを把握するために、以下の情報を考慮すると役立ちます。

アカウントの全ユーザに対してMFAを有効にすると、アカウントの全メンバーに影響します。アカウント内のユーザーが複数の IBM Cloud アカウントのメンバーである場合、MFA が有効になっているアカウント内のリソースを使用する予定がなくても、次回のログイン時に MFA に登録する必要があります。
ユーザーおよびサービス ID 用の API キーは、MFA が有効にされた後も引き続き機能します。
アカウントに対する MFA は、ユーザーのログインに適用されますが、API 呼び出しには適用されません。アカウント内のリソースへの API 呼び出しを行う許可を持つユーザーは、MFA を実行せずにこれを行うことができます。ユーザーは、他のアカウントに属している場合、MFA を必要としないアカウントからの API キーを使用して、アカウント内のリソースへの API 呼び出しを行うことができます。
アカウント内のユーザーに対する通知方法およびサポート対策を計画してください。
- MFA を有効にする予定の日時を、ビジネスへの影響が最も少なくなるように選択してください。
- MFAを有効にした後、アカウント内のユーザーに設定方法を通知します。

アカウントのデフォルト MFA を設定すると、ログイン時に、アカウント内のすべての IBMid ユーザーに対して IBMid MFA 認証のプロンプトが出されます。アカウントのいずれかの IBMid ユーザーに対して他の MFA 要素をセットアップしていた場合、それらの MFA 要素についてのプロンプトはそのユーザーに表示されなくなります。たとえば、クラシック・インフラストラクチャ・リソースのカスタマー・ポータルでセキュリティ質問を有効にしている場合、MFAアカウント設定はセキュリティ質問オプションよりも優先されます。

また、「アカウントを表示」＞「自分のアカウントを管理」をクリックし、「検証方法と認証要素」ページでアカウントのMFAを有効／無効にすることもできます。

MFA の有効化

MFA はログイン時にのみ有効になるため、MFA を有効にしても、既にログインしているユーザーには影響しません。アカウント・ユーザーに MFA が有効になったことを通知し、次回ログイン時のユーザーへの影響を説明してください。

MFA 設定の更新後に初めてアカウントにログインするときは、2 つの異なる検証方式を使用して ID を検証する必要があります。検証の方式には、E メール、テキスト・メッセージ、電話があります。これらのオプションの任意の組み合わせを使用して ID を検証することができます。 ID を検証したら、認証要素をセットアップします。検証方法や認証要素を後で更新する必要がある場合は、検証方法とMFA要素の管理を参照してください。

アカウントのMFAを有効にする

IBM Cloud コンソールで**「管理」** > 「アクセス (IAM)」 > **「設定」**に移動します。
「認証」 をクリックします。
アカウントで有効にしたいMFAのタイプを選択します。 MFA オプションについて詳しくは、 MFA オプションを参照してください。

個々のユーザーに対する MFA の有効化

IBM Cloudコンソールで、管理>アクセス（IAM）>ユーザーと進み、MFAを更新したいユーザーを選択します。
「MFA」 セクションに移動し、 「編集」 アイコンをクリックします。
ユーザーに対して有効にする MFA のタイプを選択します。

デフォルトでは、 「アカウントのデフォルトを使用」 が選択されています。アカウントのデフォルトは、アカウント・レベルで有効になっている MFA オプションです。アカウントのデフォルトを表示するには、 「管理」>「アクセス (IAM)」>「設定」>「認証」 に移動します。
保存をクリックします。

アカウントのデフォルトとは異なる MFA 要件を持つアカウント内のユーザーのリストを表示するには、 「管理」>「アクセス (IAM)」>「設定」>「認証」 に移動します。次に、 「ユーザー固有の MFA」 セクションを表示します。

MFA の無効化

MFA の無効化は、既にログイン済みのユーザーには影響しません。このアクションは、すべての新規ログインに影響します。

アカウントの MFA の無効化

IBM Cloudコンソールの Manage>Access (IAM)>Settings>Authentication に進みます。
**「なし」**を選択します。

個々のユーザーに対する MFA の無効化

IBM Cloudコンソールで、管理>アクセス（IAM）>ユーザーと進み、MFAを更新したいユーザーを選択します。
「MFA」 セクションに移動し、 「編集」 アイコンをクリックします。
**「なし」**を選択します。
保存をクリックします。

パスワードのみでのCLIログインを無効にする

新規

ユーザーまたはアカウントのパスワードのみを使用して CLI ログインを無効にすることで、多要素認証を完了する必要がないユーザーのセキュリティー・レベルを向上させます。この方法では、CLI にログインするために API キーが必要になります。あるいは、ユーザーがログインするたびに MFA を完了する必要なしに、 --sso を使用してログインできます。

パスワードのみを使用して CLI ログインを無効にするには、以下の手順を実行します。

IBM Cloudコンソールで、管理>アクセス（IAM）に進みます
- これを個々のユーザーに適用するには、 「ユーザー」 をクリックし、MFA を更新するユーザーを選択します。
  1. 「MFA」 セクションに移動し、 「編集」 アイコンをクリックします。
- これをアカウントに適用するには、 「設定」 > 「認証」 をクリックします。
**「なし」**を選択します。
パスワードのみでのCLIログインを無効にする選択する。
個々のユーザーの 「保存」 をクリックします。

ユーザーが新しいデバイスまたはブラウザーにログインしていることを IBMid が検出した場合、ユーザーには追加要素の入力を求めるプロンプトが 1 回だけ出されます。ユーザーが新しいデバイスで追加の要素を使用してログインすると、その要素の入力を求めるプロンプトが再度表示されることはありません。これにより、特定のプログラマチック攻撃ベクトルが防止され、ユーザーがログインするたびにユーザーにプロンプトを出すことなく、ユーザーのアカウントのセキュリティーが強化されます。

認証要素のリセット

IBM Cloud コンソールへの認証に使用する E メール・アドレスまたは電話番号が変わったり利用できなくなったりした場合、認証方式を更新またはリセットすることができます。

「検証方法と認証要素」のページに移動します。
2 つの異なる検証方式で身元を検証します。
**「アカウントの表示 (Show accounts)」**をクリックします。
各アカウントの認証設定をメモします。
1. アカウントが IBMid ユーザー に対してMFAを使用している場合は、 IBMid のヘルプデスクと協力して認証要素をリセットしてください。
2. アカウントですべてのユーザーに対して MFA を使用している場合、検証方式と認証要素のページで認証要素をリセットできます。
  1. リセットする MFA 方式の横にあるチェック・ボックスをクリックし、「削除」をクリックします。
  2. 次回 IBM Cloud®にログインするときに、新しい MFA 要素をセットアップします。

詳しくは、 MFA 要素を使用してログインできないのはなぜですか? を参照してください。