概要
Access Control 管理者のログインにワンタイムパスワード (OTP) を設定する管理者向けに、 ID とパスワードに加えて OTP (ワンタイムパスワード) を要求する設定方法を説明します。
注意事項
- 本記事の内容は 2026 年 7 月時点での製品仕様に基づき作成しており、予告なく変更される場合があります。
- 本手順を実施すると、設定したアクセスポリシーグループに所属するすべてのユーザーは、ログイン時に OTP が必要になります。必ず、対象となる全ユーザーで OTP の設定をしてから運用を開始してください。
- 携帯端末の紛失など、 OTP が入力できなくなった場合に備えて、非常用 OTP トークンの保管を推奨します。
※ 非常用 OTP の発行については、下記記事の「非常用 OTP トークンを利用する」の項を参照してください。
[Access Control]OTP 発行方法と有効期限 - 管理者とユーザーのアクセスポリシーが同一の場合、 OTP を設定すると対象のポリシーが適用されているすべてのユーザーのログインに OTP が必要となります。
要件に応じて管理者のアクセスポリシーを変更してください。
[Access Control]アクセスポリシーグループの作成 / 編集
[Access Control]ユーザーへのアクセスポリシーグループの割り当て - 管理者権限を持つユーザーへの OTP 必須化は、ユーザーに割り当てられているアクセスポリシーグループの OTP 設定(有効 / 無効)に関わらず、強制的に適用されます。
手順
-
管理画面から[アクセス設定]-[アクセスポリシーグループ]へアクセスします。
-
対象のポリシーを確認し、管理者用ポリシーの有無によって、下記のいずれかの手順を実施します。
※ ポリシーの設定で、[OTPを要求しない条件]が[常にOTPを要求する]または[下記の条件でOTPを要求しない]である場合、すでに OTP 設定が行われているため、本手順は不要です。管理者用のアクセスポリシーグループが存在する場合
既存のアクセスポリシーを修正する手順です。初期設定が完了している場合に実施します。管理者用のアクセスポリシーグループが存在しない場合
新たにアクセスポリシーを設定する手順です。初期設定が未実施である場合に実施します。
管理者用アクセスポリシーグループが存在する場合
-
管理者用アクセスポリシーグループを開き、[OTP共有鍵の変更を許可する条件]・[OTP通知メールアドレスの変更を許可する条件]の設定が、以下のどちらかであることを確認します。
- [常に許可する]
- [下記の条件で許可する]かつ現在のアクセス元 IP が許可されている
※ [常に拒否する]となっている場合は[常に許可する]に変更し、[変更する]をクリックしてください。
※ お客様のセキュリティポリシーで、 OTP の設定が OTP アプリかメールの一方に限定されている場合、対応する片方の設定のみを許可してください。
[OTP共有鍵の変更を許可する条件]: OTP アプリでの OTP 設定の許可
[OTP通知メールアドレスの変更を許可する条件]: メール通知での OTP 設定の許可 -
管理画面右上のメニューから[ユーザーポータル]を選択します。
-
ポータル画面右上のメニューから[OTP(ワンタイムパスワード)設定]をクリックして、 OTP の設定を実施します。
※ 設定手順の詳細は、下記の記事を参照してください。 -
管理画面に戻り、ユーザー編集画面で管理者アカウント用の非常用 OTP トークンを発行します。
※ OTP の設定に失敗していると、非常用 OTP でのログインが必須になります。
必ず発行して控えてください。- [OTP]-[非常用OTPトークン]: 「新規追加」
※ 非常用 OTP については、下記記事の「非常用 OTP トークンを利用する」を参照してください。
[Access Control]OTP 発行方法と有効期限
- [OTP]-[非常用OTPトークン]: 「新規追加」
-
管理者用アクセスポリシーグループを編集します。
※ 編集手順の詳細は、下記の記事を参照してください。
[Access Control]アクセスポリシーグループの作成 / 編集
設定値は下記の通りです。- [OTPを要求しない条件]: 常に OTP を要求する
- Access Control ポータル画面からログアウトします。
- Access Control 管理画面へ管理者アカウントで OTP を使用してログインできることを確認します。
※ ログインイメージは、下記の記事を参照してください。
[Access Control]ワンタイムパスワードを利用したログインイメージ
管理者用アクセスポリシーグループが存在しない場合
-
Access Control 管理画面にて、管理者用のアクセスポリシーグループを新規作成します。
※ 作成手順の詳細は、下記の記事を参照してください。
[Access Control]アクセスポリシーグループの作成 / 編集
下記のとおり設定し、[保存]をクリックします。- [表示名]: 「管理者用アクセスルール」など
※ 任意の表示名を設定します。 - [アクセスを許可する条件]: お客様のセキュリティポリシーに沿ってアクセスポリシーテンプレートを設定してください。
-
[Access Control]IPアドレスグループの作成 / 編集
※ IP 制御を行う場合のみ、この手順でアクセスを許可する IP をまとめたグループを作成します。 - [Access Control]アクセスポリシーテンプレートの作成 / 編集
- [Access Control]アクセスポリシーグループの作成 / 編集
-
[Access Control]ユーザーへのアクセスポリシーグループの割り当て
アクセステンプレート設定の例
※ 社内 IP アドレスをまとめて、事前に「internal-ip」の IP アドレスグループを作成していると仮定します。
・ IP アドレスのみでアクセス許可: @internal-ip@
・社内→ IP アドレス、社外→証明書でのログイン許可: @internal-ip@ or cert:any
・社内→ IP アドレス、社外→セキュアブラウザでのログイン許可: @internal-ip@ or hsb:true
-
[Access Control]IPアドレスグループの作成 / 編集
- [OTPを要求しない条件]: 常に OTP を要求しない
※ OTP を設定する前に要求を必須としてしまうとログインできなくなります。ご注意ください。 - [OTP共有鍵の変更を許可する条件]: 常に許可する
- [OTP通知メールアドレスの変更を許可する条件]: 常に許可する
- [許可するサービスプロバイダー]: すべてにチェックを入れる
※ お客様のセキュリティポリシーで、 OTP の設定が OTP アプリかメールの一方に限定されている場合、対応する設定のみ許可してください。
- [表示名]: 「管理者用アクセスルール」など
-
作成したアクセスポリシーグループを管理者に割り当てます。
※ 割り当て手順の詳細は、下記の記事を参照してください。
[Access Control]ユーザーへのアクセスポリシーグループの割り当て
ユーザー編集画面で、以下の項目を設定します。- [アクセスポリシー]-[アクセスポリシーグループ]: 手順 1 で作成したアクセスポリシーグループを選択します。
- [OTP]-[非常用OTPトークン]: 「新規追加」
※ OTP の設定に失敗するとログインできなくなるため、必ず発行して控えてください。
※ 非常用 OTP については、下記記事の「非常用 OTP トークンを利用する」を参照してください。
[Access Control]OTP 発行方法と有効期限
-
管理画面右上のメニューから[ユーザーポータル]を選択します。
-
Access Control ポータル画面右上のメニューから[OTP(ワンタイムパスワード)設定]をクリックして、 OTP の設定を実施します。
※ 設定手順の詳細は、下記の記事を参照してください。 -
管理画面に戻り、管理者用のアクセスポリシーグループに OTP を設定します。
※ 作成手順の詳細は、下記の記事を参照してください。
[Access Control]アクセスポリシーグループの作成 / 編集
下記のとおり設定し、[変更する]をクリックします。- [OTPを要求しない条件]: 常に OTP を要求しない → 常に OTP を要求する
- Access Control ポータル画面からログアウトします。
- Access Control 管理画面へ管理者アカウントで OTP を使用してログインできることを確認します。
※ ログインイメージは、下記の記事を参照してください。
[Access Control]ワンタイムパスワードを利用したログインイメージ