対象
- 個別の導入支援体制をご案内したお客様
- Access Control を利用するお客様
目的
- Access Control でアクセスポリシーグループとアクセスポリシーテンプレートを作成する手順を説明します。
注意事項
- 本記事は、弊社より個別に連絡をさせていただいた導入体制での導入を実施するお客様向けの導入コンテンツです。
- 本記事の内容は 2025 年 7 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
- 実際の画面確認や、設定の変更には Access Control のグローバル管理者権限が必要です。
- 管理画面へのアクセス方法は以下の記事をご参照ください。
Access Control 管理画面へのアクセス方法 - 変更内容は即時反映されますが、ユーザーのアクセス制御に使用されるのは次回ログイン以降となります。
- アクセスポリシーグループで許可しているサービスごとにアクセス条件を変更するには、HENNGE One Pro または HENNGE IDP Pro のご契約が必要です。
用語説明
-
アクセスポリシーグループ
アクセス制御に関する設定をまとめたグループです。このグループを、同じアクセス制御内容を適用するユーザー単位で割り当てます。 -
アクセスポリシーテンプレート
「アクセス条件式」と呼ばれる、アクセス制御の条件を登録したテンプレートです。アクセスポリシーグループにてアクセス許可条件を設定する際に、このテンプレートを使用します。ユーザー名とパスワードのみで認証を行う「アクセスフリー」の場合を除き、必ずこのテンプレートの登録が必要です。テンプレートは繰り返し利用できるため、多数のアクセスポリシーグループが存在する場合でも、アクセス条件の設定・管理を効率化できます。
手順
アクセスポリシーテンプレートの作成
1. Access Control 管理画面の左メニュー [アクセス設定] - [アクセスポリシーテンプレート] にアクセスします。
2. 画面右上の [テンプレートの追加] をクリックします。
3. [ID] / [表示名] / [アクセスを許可する条件] を設定し、右下の「保存」をクリックします。
一度作成した ID は変更できませんので、誤って作成した場合は一度削除し、再度作成してください。
部署やグループごとにアクセスを許可する条件を分ける場合は、それぞれに対応するアクセスポリシーテンプレートが必要となります。
※ 設定値は「HENNGE One 導入要件ヒアリングページ」で記入した内容によって異なります。設定値は以下のパターンに従ってください。
A. Global IP アドレスのみで制御する場合
| 項目 | 内容 | 備考 |
| ID | 「アクセスポリシーグループ」で使用するアクセスポリシーテンプレートの設定値 |
任意の値を指定してください。 ID の長さは 256 文字以内である必要があります。 |
| 表示名 | アクセスポリシーテンプレートの名称 |
任意の名称を指定してください。 表示名の長さは 256 文字以下である必要があります。 |
| アクセスを許可する条件 | アクセスを許可する条件式 |
以下のフォーマットで Global IP アドレスを入力してください。 ip4:【ここに許可する Global IP アドレスを入力します】 (例) ip4:203.0.113.1
許可する Global IP アドレスが複数にわたる場合は、CIDR 表記を用いるか、複数の IP アドレスを or で繋いで登録してください。 (例1) ip4:203.0.113.0/24 (例2) ip4:203.0.113.1 or ip4:203.0.113.2 or ip4:203.0.113.3 or ip4:203.0.113.4 |
B. デバイス証明書のみで制御する場合
| 項目 | 内容 | 備考 |
| ID | 「アクセスポリシーグループ」で使用するアクセスポリシーテンプレートの設定値 |
任意の値を指定してください。 ID の長さは 256 文字以内である必要があります。 |
| 表示名 | アクセスポリシーテンプレートの名称 |
任意の名称を指定してください。 表示名の長さは 256 文字以下である必要があります。 |
| アクセスを許可する条件 | アクセスを許可する条件式 |
以下の値を入力してください。 device_cert:any |
C. Global IP アドレス または デバイス証明書で制御する場合 (いずれかの条件を満たした場合はアクセスを許可する)
| 項目 | 内容 | 備考 |
| ID | 「アクセスポリシーグループ」で使用するアクセスポリシーテンプレートの設定値 |
任意の値を指定してください。 ID の長さは 256 文字以内である必要があります。 |
| 表示名 | アクセスポリシーテンプレートの名称 | 任意の名称を指定してください。 表示名の長さは 256 文字以下である必要があります。 |
| アクセスを許可する条件 | アクセスを許可する条件式 |
以下のフォーマットで Global IP アドレスを入力してください。 ip4:【ここに許可する Global IP アドレスを入力します】 (例) ip4:203.0.113.1
許可する Global IP アドレスが複数にわたる場合は、CIDR 表記を用いるか、複数の IP アドレスを or で繋いで登録してください。 (例1) ip4:203.0.113.0/24 or device_cert:any (例2) ip4:203.0.113.1 or ip4:203.0.113.2 or ip4:203.0.113.3 or ip4:203.0.113.4 or device_cert:any |
アクセスポリシーグループの作成
1. 作成したアクセスポリシーテンプレートと紐づけるアクセスポリシーグループを作成、または既存のアクセスポリシーグループを編集します。
Access Control 管理画面の左メニュー [アクセス設定] - [アクセスポリシーグループ] へアクセスします。
2. アクセスポリシーグループの ID として 0 が採番されている「DEFAULT」を選択します。
部署やグループごとに異なるアクセス許可条件が必要な場合は、必要な数だけアクセスポリシーグループを作成します。
初回のアクセスポリシーグループの作成が完了したら、画面右上の [追加] をクリックし、手順 5. 以降の作業を繰り返してください。
3. [基本設定] から [HENNGE Secure Browserの設定] までの各項目を設定します。
※ 設定値は「HENNGE One 導入要件ヒアリングページ」で記入した内容によって異なります。設定値は以下のパターンに従ってください。
A. Global IP アドレスのみで制御する場合
| 名称 | 説明と設定値 | 備考 |
| 表示名 | アクセスポリシーグループの名称 |
任意の名称を指定してください。 256 文字まで設定できます。 (例) 一般ユーザアクセス用 (Global IPアドレス) |
| 認証クッキーの有効期限 | ログイン画面で [ログイン状態を保持する] をチェックした場合 : ブラウザにてクッキーによるログイン状態を保持する時間 |
自身でログアウトした場合を除き、ブラウザの再起動などを行っても、設定した時間内はログイン状態が保持されます。 ※ 最大 9600 時間まで設定できます。 |
| ログイン画面で [ログイン状態を保持する] をチェックしていない場合 / 表示していない場合 : ユーザーのログイン セッションにおける最大の保持時間 | 設定された時間を超過して 1 つのページを開き続けていた場合、ページの遷移時に再度ログインが求められます。 ※ [ログイン状態を保持する] をチェック / 表示していない場合、ブラウザを閉じるとログアウトします。 |
|
| セルフパスワードリセットを許可する |
|
「この設定を変更するにはドメイン設定で、セルフパスワードリセットの許可を「アクセスポリシーグループの設定に従う」に変更してください。」と表示された場合は、[ドメイン設定]のリンクから移動し、セルフパスワードリセットの許可設定を「アクセスポリシーグループの設定に従う」に変更してから、本項目の再設定を実施してください。 |
| アクセスを許可する条件 |
|
3.で作成した Global IP アドレスによる制御用のアクセスポリシーテンプレートを選択します。 |
| レガシー認証を許可する条件 |
|
Microsoft 365 との連携時のみ表示されます。 |
| 名称 | 説明と設定値 | 備考 |
| OTPを要求しない条件 |
|
|
| OTP共有鍵の変更を許可する条件 |
|
OTP通知メールアドレスの変更を許可する条件 とこの条件を共に [常に許可しない] に設定した場合、ユーザー画面にて [OTP (ワンタイムパスワード) 設定] が表示されません。 |
| OTP通知メールアドレスの変更を許可する条件 |
|
OTP共有鍵の変更を許可する条件 とこの条件を共に [常に許可しない] に設定した場合、ユーザー画面にて [OTP (ワンタイムパスワード) 設定] が表示されません。 |
| 名称 | 説明と設定値 | 備考 |
| 所有するデバイス証明書を表示する条件 |
|
アクセスが不許可の場合、ユーザーポータル右上に「クライアント証明書」のメニューが表示されません。 |
| デバイス証明書の失効を許可する条件 |
|
当機能の使用には、「所有するデバイス証明書を表示する条件」が許可されている必要があります。 |
| 名称 | 説明と設定値 | 備考 |
| セキュアブラウザ設定画面へのアクセスを許可する条件 |
|
「この設定を変更するにはドメイン設定で、セキュアブラウザ設定画面へのアクセス設定を「アクセスポリシーグループの設定に従う」に変更してください。」と表示された場合は、[ドメイン設定]のリンクから移動し、セキュアブラウザ設定画面へのアクセス設定を「アクセスポリシーグループの設定に従う」に変更してから、本項目の再設定を実施してください。 |
| 未読メールチェック設定画面の表示を許可する条件 |
|
|
| 自動端末認証の設定 |
|
B. デバイス証明書のみで制御する場合
| 名称 | 説明と設定値 | 備考 |
| 表示名 | アクセスポリシーグループの名称 |
任意の名称を指定してください。 256 文字まで設定できます。 (例) 一般ユーザアクセス用 (デバイス証明書) |
| 認証クッキーの有効期限 | ログイン画面で [ログイン状態を保持する] をチェックした場合 : ブラウザにてクッキーによるログイン状態を保持する時間 |
自身でログアウトした場合を除き、ブラウザの再起動などを行っても、設定した時間内はログイン状態が保持されます。 ※ 最大 9600 時間まで設定できます。 |
| ログイン画面で [ログイン状態を保持する] をチェックしていない場合 / 表示していない場合 : ユーザーのログイン セッションにおける最大の保持時間 | 設定された時間を超過して 1 つのページを開き続けていた場合、ページの遷移時に再度ログインが求められます。 ※ [ログイン状態を保持する] をチェック / 表示していない場合、ブラウザを閉じるとログアウトします。 |
|
| セルフパスワードリセットを許可する |
|
「この設定を変更するにはドメイン設定で、セルフパスワードリセットの許可を「アクセスポリシーグループの設定に従う」に変更してください。」と表示された場合は、[ドメイン設定]のリンクから移動し、セルフパスワードリセットの許可設定を「アクセスポリシーグループの設定に従う」に変更してから、本項目の再設定を実施してください。 |
| アクセスを許可する条件 |
|
3.で作成したデバイス証明書による制御用のアクセスポリシーテンプレートを選択します。 |
| レガシー認証を許可する条件 |
|
Microsoft 365 との連携時のみ表示されます。 |
| 名称 | 説明と設定値 | 備考 |
| OTPを要求しない条件 |
|
|
| OTP共有鍵の変更を許可する条件 |
|
OTP通知メールアドレスの変更を許可する条件 とこの条件を共に [常に許可しない] で設定した場合、ユーザー画面にて [OTP (ワンタイムパスワード) 設定] が表示されません。 |
| OTP通知メールアドレスの変更を許可する条件 |
|
OTP共有鍵の変更を許可する条件 とこの条件を共に [常に許可しない] で設定した場合、ユーザー画面にて [OTP (ワンタイムパスワード) 設定] が表示されません。 |
| 名称 | 説明と設定値 | 備考 |
| 所有するデバイス証明書を表示する条件 |
|
アクセスが不許可の場合、ユーザーポータル右上に「クライアント証明書」のメニューが表示されません。 |
| デバイス証明書の失効を許可する条件 |
|
当機能の使用には、「所有するデバイス証明書を表示する条件」が許可されている必要があります。 |
| 名称 | 説明と設定値 | 備考 |
| セキュアブラウザ設定画面へのアクセスを許可する条件 |
|
「この設定を変更するにはドメイン設定で、セキュアブラウザ設定画面へのアクセス設定を「アクセスポリシーグループの設定に従う」に変更してください。」と表示された場合は、[ドメイン設定]のリンクから移動し、セキュアブラウザ設定画面へのアクセス設定を「アクセスポリシーグループの設定に従う」に変更してから、本項目の再設定を実施してください。 |
| 未読メールチェック設定画面の表示を許可する条件 |
|
|
| 自動端末認証の設定 |
|
C. Global IP アドレス または デバイス証明書で制御する場合 (いずれかの条件を満たした場合はアクセスを許可する)
| 名称 | 説明と設定値 | 備考 |
| 表示名 | アクセスポリシーグループの名称 |
任意の名称を指定してください。 256 文字まで設定できます。 (例) 一般ユーザアクセス用 (Global IPアドレス or デバイス証明書) |
| 認証クッキーの有効期限 | ログイン画面で [ログイン状態を保持する] をチェックした場合 : ブラウザにてクッキーによるログイン状態を保持する時間 |
自身でログアウトした場合を除き、ブラウザの再起動などを行っても、設定した時間内はログイン状態が保持されます。 ※ 最大 9600 時間まで設定できます。 |
| ログイン画面で [ログイン状態を保持する] をチェックしていない場合 / 表示していない場合 : ユーザーのログイン セッションにおける最大の保持時間 | 設定された時間を超過して 1 つのページを開き続けていた場合、ページの遷移時に再度ログインが求められます。 ※ [ログイン状態を保持する] をチェック / 表示していない場合、ブラウザを閉じるとログアウトします。 |
|
| セルフパスワードリセットを許可する |
|
「この設定を変更するにはドメイン設定で、セルフパスワードリセットの許可を「アクセスポリシーグループの設定に従う」に変更してください。」と表示された場合は、[ドメイン設定]のリンクから移動し、セルフパスワードリセットの許可設定を「アクセスポリシーグループの設定に従う」に変更してから、本項目の再設定を実施してください。 |
| アクセスを許可する条件 |
|
3.で作成したアクセスポリシーテンプレートを選択します。 |
| レガシー認証を許可する条件 |
|
Microsoft 365 との連携時のみ表示されます。 |
| 名称 | 説明と設定値 | 備考 |
| OTPを要求しない条件 |
|
|
| OTP共有鍵の変更を許可する条件 |
|
OTP通知メールアドレスの変更を許可する条件 とこの条件を共に [常に許可しない] で設定した場合、ユーザー画面にて [OTP (ワンタイムパスワード) 設定] が表示されません。 |
| OTP通知メールアドレスの変更を許可する条件 |
|
OTP共有鍵の変更を許可する条件 とこの条件を共に [常に許可しない] で設定した場合、ユーザー画面にて [OTP (ワンタイムパスワード) 設定] が表示されません。 |
| 名称 | 説明と設定値 | 備考 |
| 所有するデバイス証明書を表示する条件 |
|
アクセスが不許可の場合、ユーザーポータル右上に「クライアント証明書」のメニューが表示されません。 |
| デバイス証明書の失効を許可する条件 |
|
当機能の使用には、「所有するデバイス証明書を表示する条件」が許可されている必要があります。 |
| 名称 | 説明と設定値 | 備考 |
| セキュアブラウザ設定画面へのアクセスを許可する条件 |
|
「この設定を変更するにはドメイン設定で、セキュアブラウザ設定画面へのアクセス設定を「アクセスポリシーグループの設定に従う」に変更してください。」と表示された場合は、[ドメイン設定]のリンクから移動し、セキュアブラウザ設定画面へのアクセス設定を「アクセスポリシーグループの設定に従う」に変更してから、本項目の再設定を実施してください。 |
| 未読メールチェック設定画面の表示を許可する条件 |
|
|
| 自動端末認証の設定 |
|
許可するサービスプロバイダーの設定
1. [許可するサービスプロバイダー] を設定します。
Access Control 管理画面 [システム] - [サービスプロバイダー設定] で連携済みのサービスに対し、アクセスを許可するかどうかを指定できます。
ご契約プランにより、表示される項目や機能が異なります。
HENNGE One Pro または HENNGE IDP Pro 以外のプランをご契約の場合
チェックボックスにチェックを入れることで、連携サービスへのアクセスが許可されます。
※ [アクセスを許可する条件] や [OTPを要求しない条件] のご利用はできません。
HENNGE One Pro または HENNGE IDP Pro をご契約の場合
連携している各クラウドサービス単位で、アクセス制御を行うことが可能です。
アクセス許可を行う場合は、[許可] のスイッチを有効化し、サービスごとに [アクセスを許可する条件] や [OTPを要求しない条件] を指定します。
| 名称 | 説明と設定値 | 備考 |
| アクセスを許可する条件 |
|
連携したクラウドサービスごとにアクセスを許可する条件を設定します。 2025 年 1 月時点では、対応している認証方式は SAML のみです。
【一部のサービスプロバイダーに対しては他と異なるアクセス制御を用いる場合】は例えば、以下のようなケースを指します。
|
| OTPを要求しない条件 |
|
2. ここまでのすべての設定が完了したら、右下の「変更する」または「保存」をクリックします。
アクセスポリシーの設定で「A. Global IP アドレスのみで制御する場合」を選択した場合は、これで作業は終了です。
3. 「B. デバイス証明書のみで制御する場合」または「C. Global IP アドレス または デバイス証明書で制御する場合 (いずれかの条件を満たした場合はアクセスを許可する)」を選択した場合は、デバイス証明書でログインするための設定を実施します。
Access Control 管理画面の左メニュー [システム] - [ドメイン設定] - [ログイン] から [認証方法] - [方法の選択] にて [両方]を選択し、右上の「変更する」を押します。
これで作業は終了です。