翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # MFA デバイス強制の設定 以下の手順で、ユーザーが AWS アクセスポータルにサインインする際に、登録済みの MFA デバイスが必要かどうかを判断します。 IAM での MFA の詳細については、「[AWS Multi-factor authentication in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)」を参照してください。 **ユーザーの MFA デバイスの強制を設定するには** 1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。 1. 左のナビゲーションペインの [**設定**] を選択します。 1. **[設定]** ページで、**[認証]** タブを選択します。 1. [**多要素認証**] セクションで、[**設定**] を選択します。 1. [**多要素認証の設定**] ページでは、[**ユーザーがまだ登録された MFA デバイスを持っていない場合**] で、ビジネスニーズに応じて次のいずれかの選択肢を選択します。 + **サインイン時に MFA デバイスの登録を必須とする** これは、IAM Identity Center の MFA を初めて設定するときのデフォルト設定です。このオプションは、まだ登録済みの MFA デバイスを持っていないユーザーに対して、パスワード認証に成功した後のサインイン時にデバイスの自己登録を要求する場合に使用します。これにより、認証デバイスを個別に登録してユーザーに配布することなく、組織の AWS 環境を MFA で保護できます。自己登録の際、ユーザーは事前に登録した [IAM Identity Center で使用可能な MFA タイプ](mfa-types.md) の中から任意のデバイスを登録することができます。登録完了後、ユーザーは新しく登録した MFA デバイスに親しみのある名前を付けることができ、その後、IAM Identity Center はユーザーを元の場所にリダイレクトします。ユーザーのデバイスが紛失または盗難にあった場合、そのデバイスをユーザーのアカウントから削除するだけで、IAM Identity Center は次回のサインイン時に新しいデバイスを自己登録することが必須となります。 + **E メールで送られてくるワンタイムパスワードを入力してサインインすることを必須とする** 確認コードをユーザーに E メールで送信したい場合は、このオプションを使用します。E メールは特定のデバイスに限定されないため、このオプションは業界標準の多要素認証の基準を満たしません。ですが、パスワードだけを使用するよりもセキュリティが向上します。E メール認証は、ユーザーが MFA デバイスを登録していない場合にのみ求められます。**Context-aware** (コンテキスト認識) の認証方法が有効になっている場合、ユーザーは E メールを受信したデバイスを信頼済みとしてマークすることができます。その後、そのデバイス、ブラウザ、IP アドレスの組み合わせでログインする際に、E メールコードを確認する必要がなくなります。 **注記** IAM Identity Center 対応の ID ソースとして Active Directory を使用している場合、E メールアドレスは常に Active Directory `email` 属性に基づいて設定されます。カスタムのアクティブディレクトリ属性のマッピングは、この動作を上書きしません。 + **[Block their sign-in]** (サインインをブロックする) すべてのユーザーが AWSにサインインする前に MFA の使用を強制したい場合は、**[Block Their Sign-In]** (サインインをブロックする) オプションを使用します。 **重要** 認証方法に **Context-aware** (コンテキストアウェア) に設定されている場合、ユーザーはサインインページで **[This is a trusted device]** (信頼できるデバイス) チェックボックスを選択します。この場合、[**Block their sign in**] (サインインをブロックする) 設定を有効でも、そのユーザーには MFA の入力が求められません。これらのユーザーにプロンプトを表示させたい場合は、認証方法を **Always On** (常時オン) に変更してください。 + **Allow them to sign in** (サインインを許可する) このオプションを使用して、ユーザーが AWS アクセスポータルにサインインするために MFA デバイスが不要であることを示します。MFA デバイスの登録を選択したユーザーは、MFA の入力を求められます。 1. [**変更の保存**] を選択します。