Webメール 二要素認証設定マニュアル

令和06年02月15日 京都教育大学 情報処理センター

二要素認証とはパスワードの他にもう一つ認証を追加して、セキュリティを強化する仕組みです。Webメールでは二要素認証に対応しています。二要素認証を設定していないアカウントは学外でログインできません。詳細は「Webメール 学外利用の二要素認証必須化について」を確認してください。

この設定は学外でWebメールを使用したい場合にのみ必要です。学外でメールを送受信したい場合、通常は大学Gmailの使用で十分であり、ほとんどの人は設定する必要はありません。学内にいる限り、設定はいつでもできます。設定が必要かわからない場合は、設定しないことを推奨します。

1. 二要素認証設定前の確認

1.1. Webメール以外のメールの注意事項と事前作業

二要素認証を設定後は、Webメール以外のメールサービスへユーザー名とパスワードでのログインができなくなります。Webメール以外を利用したい場合は後述するアプリ用パスコードの発行が必要です。

影響があるサービス

  • 簡易メール (Roundcube)

  • 事務局グループウェアのメール機能 (サイボウズ)

  • POP/IMAP接続するメールソフトウェア (OutlookやThunderbird等)

上記サービスを利用している場合は、後述の事前作業を必ず実施してください。設定開始前に事前作業を実施していなかった場合、多数のログイン失敗によるロックアウトが発生し、ログインできなくなります。

大学Gmailは影響ありません。メールシステムと大学Gmailの認証システムは独立しているため、パスワードと二要素認証は同期されません。
メール以外のサービス(端末利用、ネットワーク利用、その他学内の認証システム)には影響ありません。

1.1.1. 簡易メールの事前作業

ログインしている場合は、ログアウトしておいてください。

1.1.2. 事務局グループウェアでメール利用時の事前作業

事務局グループウェアでメールを利用している場合は、事務局グループウェアでメール利用時作業編に記載の事前作業を実施してください。

1.1.3. メールソフトウェア(OutlookやThunderbird等)の事前作業

メールソフトウェアを起動している場合は、終了しておいてください。

1.2. 二要素認証のデバイスとソフトウェアの準備

二要素認証には認証アプリ(TOTPアプリ)が必要です。下記の一つで、普段から大学で持ち歩ているものをひとつ用意してください。

  • スマートフォン (iPhone、 Android)

  • タブレット (iPad、 Android)

  • パソコン (Windows、Mac、Linux)

ここでのデバイスはWebメールにログインするデバイスのことではありません。二要素目の認証に使用するデバイスのことです。Webメールへのログインはパソコンを利用し、二要素目の認証のみスマートフォンを利用する等が可能です。

それぞれの場合について、ソフトウェアをひとつのみインストールしておいてください。

フィーチャーフォンは未対応です。また、Androidベースであっても独自OSが搭載されたスマートフォン(ファーウェイなど)やタブレット(AmazonのFireシリーズなど)は対応していない場合があります。
大学に持ってくることを忘れると、Webメールにログインできなくなります。
機種変更、故障、紛失・盗難等でデバイスが使用できなくなった場合、二要素認証が使用できなくなります。認証アプリのバックアップやワンタイムコード保管等を実施しておいてください。
原則、認証情報を登録できるのは一つの認証アプリのみです。いずれか一台にいずれかの一つの認証アプリをインストールしてください。

1.2.1. スマートフォンやタブレット(iPhone、iPad、Android)の場合 (推奨)

対応アプリケーションをインストール可能なスマートフォンまたはタブレットをお持ちの場合は、この方法が一番簡単であり、強く推奨します。

Google 認証システム(Google Authenticator) または Microsoft Authenticator をインストールしてください。

Google WorkspaceやMicrosoft 365の二要素認証で既にインストールしている場合は、そちらをそのまま使用することができます。
Google 認証システムに Google アカウント(個人用 gmail も 大学 Google アカウントどちらも可)でログイン、または、Microsoft Authenticatornに個人用 Microsoft アカウント(大学 Microsoft カウントは不可)でログインするとバックアップ機能が使えます。ただし、iPhone/iPad の Microsoft Authenticator は同じ Apple アカウントを使用しているiPhone/iPadでのみ復元できます。別の Apple アカウントや Android の場合は、相互に復元することはできません。
登録できる認証デバイスの認証アプリは原則一つだけです。複数のデバイスで使用したい場合は、Google 認証システムを使用してください。同じ Google アカウントにログインし、クラウド同期を行うことで、認証情報を複数のデバイスで共有することができます。Google 認証システムでアカウント認証情報をデバイス間で共有する方法を参照してください。

1.2.2. パソコン(Windows、Mac、Linux)のみを使用したい場合

KeePass 互換アプリの中には TOTP を管理できるソフトウェアがあります。TOTP の認証情報をファイルとして保存することができます。認証情報が記録されたファイルを用いて、スマートフォン等を使わず、パソコンのみで二要素目の認証をすることができます。

  • KeeWeb (サポート中)

  • KeePassXC (サポート予定、動作未確認)

  • AuthPass (サポート予定、動作未確認)

  • KeePass (サポート予定、動作未確認)

現在、上記のうち「KeeWeb」についてのみ動作確認します。詳しい利用方法はKeeWeb で TOTP を管理する方法を参照してください。

同じ KeePass 互換アプリをインストールしてある別のパソコンで、認証情報が記録されたファイルを開くこともできます。複数のパソコンで共有したい場合は、ファイルを共有してください。

認証情報が記録されたファイル(kdbxファイル)をコピーすることで、他のパソコンでも使用できます。他者との共有も可能ですが、パスワード共に漏洩するとメールアカウントが乗っ取られます。共有の際は厳重に管理していください。
KeePass 互換アプリとは、パスワードマネージャーである KeePass が扱う KeePass データベースファイル(kdbxファイル)を扱えるソフトウェアです。パスワードデータベースの拡張領域を用いて TOTP を管理できます。
KeePass 互換アプリ間で、パスワードの記憶形式は互換性がありますが、TOTP 情報の記憶形式には互換性がない場合があります。常に同じアプリケーションを使用してください。

1.2.3. その他の認証アプリ

下記リンク先にその他の認証アプリが紹介されています。参考にしてみてください。

https://wiki.zimbra.com/wiki/TOTPApps

情報処理センターでは、Google 認証システム(Google Authenticator)、Microsoft Authenticator、Twilio Authy、KeeWebのみサポートします。それ以外のアプリについてはサポートを行いませんので、自己責任で使用してください。
Microsoft Authenticator の Windows 対応はモバイル向けのみです。モバイル向け Windows は全てサポート終了しており、現在使用できる環境はありません。
Twilio Authy の Windows と MacOS のサポートは2024年3月19日終了します。Windows または MacOS で Twilio Authy を使用している場合は、モバイル版に移行してください。

2. 二要素認証設定方法

Webメール(Zimbra)で二要素認証を設定します。設定はWebメール上で行いますので、まずWebメールにログインしてください。また、認証アプリインストール済みのデバイスを用意しておいてください。特定の環境に限定されますが、 画像付きの簡易マニュアルも参考にしてください。

  1. Webメールにログインします。

  2. 歯車 > 歯車設定 > アカウントを開きます。

  3. DEFAULT アカウント名@kyokyo-u.ac.jp (プライマリ)をクリックすると、設定が展開されます。

  4. 「2要素認証」の2要素認証をセットアップをクリックします。

  5. パスワードの入力が求められますので、パスワードを入力し、次へをクリックします。

  6. 用意したデバイスに認証アプリをインストールしていることを確認して、次へをクリックします。

  7. 16桁のキーとQRコードが表示されます。以下の説明は、Zimbraログイン中のデバイスとは異なるデバイスで各アプリを起動することを想定しています。

    • Google Authenticator は+を押してQR コードをスキャンを押し、カメラでQRコードを読み取ります。

    • Microsoft Authenticator は+押してその他 (Google、Facebook など)を押し、カメラでQRコードを読み取ります。

    • モバイル版の Twilio Authy はAdd AccountまたはAccounts+を押してScan QR Codeを押し、カメラでQRコードを読み取ります。Logo選択画面でそのままContinue、Nicknameは必要に応じて変更してからSaveを押します。

    • KeeWeb はQRコードが表示されているウインドウに対し、Alt+PrintScreenを押します(Macの場合は、Command+Shift+4を押してQRコードの部分を選択します)。登録したいエントリーに対してその他…ワンタイムパスワードを押し、Ctrl+V(Macの場合はCommand+V)を押して、先ほどのQRコードを貼り付けます。正常に読み込まれた後、左下のデータベース名を押し、保存から認証情報を保存しておきます。

  8. 認証アプリで6桁の数字が表示されるようになったら、次へをクリックします。

  9. コードの入力が求められるため、先ほどの6桁の数字を入力し、検証をクリックします。

  10. コードに問題がなければ、設定が完了です。(保存を押さなくても設定は保存されています。)

続けて、ワンタイムコードを入手し、保管しておいてください。ワンタイムコードは1回しか使用できませんが、認証アプリが使えないときの代替としてログイン時に使用できるコードです。デバイスの紛失や故障などに備えて、保管しておいてください。

  1. ワンタイムコードをクリックします。

  2. 表示されるコードを保管しておいてください。(保管先は認証アプリを入れたデバイスとは別物にしてください。同じデバイスに保管した場合、デバイス紛失時に利用することはできません。)

次回ログインから2要素目が求められるようになります。二要素認証を解除したい場合は、2要素認証を解除をクリックしてください。

既に登録されている場合、一旦解除しないと新しいデバイスは登録できません。デバイス間の移行や共有をしたい場合は、Q/Aを確認してください。

3. Webメール以外のメールサービスの利用

二要素認証を設定後は、Webメール以外のメールにユーザー名とパスワードでログインできなくなり、「2要素認証をサポートしていないアプリ用のパスコード」を使用する必要があります。

事務局グループウェアでメールを利用している場合は、事務局グループウェアでメール利用時作業編に記載の事後作業を実施してください。

他のアプリを使用の場合は、次の手順で、アプリ用パスコードを入手してください。

  1. 歯車 > 歯車設定 > アカウント

  2. DEFAULT アカウント名@kyokyo-u.ac.jp (プライマリ)をクリックすると、設定が展開されます。

  3. 「2要素認証」の「2要素認証をサポートしていないアプリ用のパスコード」にあるプラスパスコードを追加をクリックします。

  4. 「アプリケーション名」に使用するシステム名やソフトウェア名を入力し、次へをクリックします。

  5. 英大文字16桁のパスコードが表示されます。使用するシステムやソフトウェアでの認証設定を次のように設定します。

    • ユーザー名: アカウント名 (@マークの前の名前、以前と変更なし)

    • パスワード: 取得したパスコード

  6. メールの送受信やログインができることを確認後、完了をクリックします。

完了を押した後、生成されたパスコードを確認することはできません。完了を押す前に、メール送受信やログインが正しく行われるかを確認してください。

アプリ用パスコードが不要になった場合は、✕ボタンから削除するようにお願いします。

アプリ用パスコードはWebメール以外のアプリ用であるため、Webメールのログインに使用することはできません。

4. その他のノウハウ

4.1. Google 認証システムでアカウント認証情報をデバイス間で共有する方法

Google 認証システムでは同じ Google アカウントでログインすることでアカウント認証情報を同期させることができます。複数デバイスで共有したい場合は、下記手順を参考にしてください。

  1. 最初のデバイスに、Google 認証システムをインストールします。

  2. 最初のデバイスで、Google 認証システムを起動し、Google アカウントでログインします。個人用 gmail でも大学 Google アカウントでもどちらも利用可能です。

  3. 最初のデバイスで、Webメールの二要素認証のアカウントを登録します。

  4. 最初のデバイスで、クラウド同期を有効にします。画面右上の雲のマークをクリックすることで、同期が成功すれば、雲の中にチェックマークがつき、緑になります。

  5. 次のデバイスに、Google 認証システムをインストールします。

  6. 次のデバイスで、Google 認証システムを起動し、最初のデバイスと同じGoogle アカウントでログインします。

  7. 次のデバイスで、クラウド同期を有効にします。画面右上の雲のマークをクリックすることで、同期が成功すれば、雲の中にチェックマークがつき、緑になります。

  8. これで、次のデバイスにも最初のデバイスの二要素認証のコードが表示されるようになります。他のデバイスも同様の方法で追加できます。

学内認証ネットワーク(KUENET)では、セキュリティの制限により同期に失敗します。モバイル回線やKUE WiFi等を使用してください。
使用する Google アカウントは同じでなければなりません。個人の大学 Google アカウントを他人のデバイスに登録しないようにしてください。組織で共有したい場合は、組織の個人用 gmail アカウントを作成し、ログインに利用してください。

4.2. KeeWeb で TOTP を管理する方法

KeeWeb は KeePass データベースファイル(以下、kdbxファイル)を用いるパスワード等の認証情報を管理ソフトウェアです。kdbxファイルをコピーすることで複数の端末で利用することも可能です。

4.2.1. KeeWeb の準備

インストールと日本語化について説明します。KeeWeb には三つのバージョンがあります。

  • デスクトップアプリケーション (推奨)

  • Webアプリケーション

  • ブラウザーWebアプリケーション

ここでは、デスクトップアプリケーションについてのみ説明しますが、インストール後の日本語化はどのアプリケーションでも同じです。

  1. 初めに、アプリケーションのインストールを行います。KeeWeb は Windows、Mac、Linuxに対応しています。

    1. https://keeweb.info/ をアクセスします。

    2. 「Download KeeWeb」からインストーラー(またはパッケージ)をダウンロードします。

    3. インストーラーを実行(またはパッケージをインストール)します。

  2. 次に、日本語化を行います。KeeWeb は日本語化されていますが、インストーラーには日本語化ファイルが含まれていないため、インストールする必要があります。

    1. インストールした KeeWeb を起動します。

    2. 一番右側の Moreをクリックします。

    3. アイコンがさらに表示されますので、一番右下の Settingsをクリックします。

    4. 左メニューの Pluginsをクリックします。Plugins の画面になります。

    5. Plugins の画面でLoad plugin gallaryをクリックします。プラグインの一覧が表示されます。

    6. 「Serch for plugin」に japanese と入力して、「language-japanese」を探します。

    7. 「language-japanese」のInstallをクリックします。プラグインがインストールされます。

    8. 左メニューの上から二番目のAppearanceをクリックします。Appearance の画面になります。

    9. Appearance の画面の「Language」の所のEnglishをクリックして、日本語に変更します。

    10. メニューや設定項目が日本語になります。トップに戻るには一番右上のアプリに戻る をクリックしてください。

4.2.2. kdbxファイルの作成

パスワード等の認証情報を保存するkdbxファイルを作成しておく必要があります。(kdbxファイルはパソコン内に保存する以外に、Google Drive や OneDrive 等のクラウドストレージにも保存できますが、現在サポート対象外です。)

  1. KeeWeb を起動します。

  2. 左から二番目の 新規作成をクリックします。

  3. エントリー(パスワードなどの情報を記録する単位)が何もない、空のデータベースが作成されます。このまま、エントリーの追加も可能ですが、まずは、ファイルとして保存し、再び開けることを確認します。

    1. 一番左下の 新規をクリックします。(既に「新規」という名前のデータベースがあった場合、「新規1」「新規2」のように末尾に数字が追加されます。)

    2. 「設定」でこのデータベースを開くための情報を「マスターパスワード」を入力します。この情報を忘れる(紛失する)とデータベースが開けなくなりますので、ご注意ください。「キーファイル」と「YubiKey」はオプションです。

      マスターバスワード

      データベースを開くためのパスワードです。他のパスワードとは異なるパスワードを使用してください。

      キーファイル

      データベースを開くための鍵となるファイルです。キーファイルはkdbxファイルとは別の場所に置いてください。

      YubiKey

      YubiKeyを連携したい場合に使用します。(YubiKeyを持っていない場合は使用できません。)

    3. 「名前」でデータベースの名前を変更できます。

      名前

      データベースの名前です。トップ画面の選択や左側のメニューなどで使用されます。

      デフォルトのユーザー

      エントリーを入力するときに自動的に「ユーザー名」に入る名前です。

    4. 必要に応じて「バックアップ」「履歴」「履歴」「高度な設定」を変更します。

    5. 入力が終わったら...に保存をクリックします。

    6. 保存先一覧が表示されますので、一番左側の ファイルをクリックします。

    7. もし、マスターパスワードを入力していない場合は、空のパスワードに関する警告ができます。他のパスワードも管理する場合は、マスターパスワードを必ず入力してください。(二要素認証情報のみを管理する場合は、マスターパスワードはなくても構いません。)

    8. ファイル保存のダイアログが表示されますので、ファイルを保存します。

  4. ファイルを保存したら、一度開けるか必ず試してください。KeeWeb をいったん閉じて、開き直します。

  5. トップのメニューに戻ります。先ほど作成したkdbxファイルは履歴として残っていますが、ここは通常通り開けるかを確認するために、一番左側の 開くをクリックします。

  6. 先ほど保存したファイルを選択して、開きます。

  7. 中央の入力が「パスワード {データベースの名前}」になっています。ここに、先ほど設定したマスターパスワードを入力し、右端のをクリックするか、Enterキーを押します。

  8. 無事開けることを確認してください。

kdbxファイルを紛失すると認証情報にアクセスできなくなります。適宜にバックアップを取ることを推奨します。
kdbxファイルとマスターパスワードがわかると、誰でも認証情報にアクセスできます。ファイルの管理は厳重に行ってください。

4.2.3. TOTP 認証情報の登録

新しいエントリーまたは既存のエントリーに認証情報を追加します。ここでは、新たにエントリーを作成するところから始めます。

  1. KeeWeb を起動し、kdbxファイルを開きます。

  2. まずはエントリーを新規に作成します。

    1. 中央ペインの上部にあるをクリックし、 エントリーをクリックし、新しいエントリーを作成します。

    2. タイトル部分にエントリーの名前を入れます。わかりやすいように登録するサービスの名前を入れておくことがお勧めです。

  3. 次に TOTP の認証情報を登録します。

    1. 登録したいエントリーを開きます。

    2. その他......をクリックします。

    3. ワンタイムパスワードをクリックします。

    4. 二要素認証設定方法に記載の手順を参考に、Webメールの「2要素認証をセットアップ」を実施して、QRコードを表示します(手順の7番目まで)。

    5. QRコードが表示された画面でAlt+PrintScreenを押します。(Macの場合は、Command+Shift+4を押してQRコードの部分を選択します。)

    6. KeeWeb に戻って、Ctrl+V(Macの場合はCommand+V)を押します。

    7. QRコードが自動的に読み込まれ、登録されます。

  4. エントリーに「ワンタイムパスワード」が追加されます。この時点ではファイルに二要素認証の情報が保存されていません。絶対にアプリを閉じないでください。

  5. 一番左下の {データベースの名前}の所をクリックします。(青いマークがついています。)

  6. データベースの設定画面が表示されますので保存を押します。(左下の名前の {データベースの名前}の所にあった青マークが消えます)

  7. 保存が完了したら、一番右上のアプリに戻る で前の画面に戻ります。

  8. 二要素認証設定方法に記載の手順を参考に、登録したエントリーの「ワンタイムパスワード」に記載されている6桁の数字をWebメールに入力します。(手順の8番目以降)

認証情報が入ったkdbxファイルは大切に保存しておいてください。次回ログオン時に2要素目を求められたときは、KeeWebでkdbxファイルを開いて、登録したエントリーの「ワンタイムパスワード」に表示される6桁の数字を入力します。

kdbxファイルに登録されている TOTP 認証情報は、他のアプリではそのまま読み込むことはできない場合があります。同じアプリを使用してください。

5. トラブル/Q・A

  1. 二要素認証設定後も学内では二要素目無しでログインしたい。

    できません。Webメールを構成するZimbraの二要素認証には、特定のIPアドレスの場合に二要素認証をスキップするという機能がありません。二要素認証を設定した場合は、学内・学外いずれでも二要素目が必要になります。
    二要素認証設定せずに、学外では二要素認証有りで利用したい場合は、大学Gmailの利用メールフォルダーの共有をご利用ください。

  2. 認証アプリを入れたデバイスの紛失・故障等で使用できなくなった。

    二要素認証を解除しますので、情報処理センターまでご連絡ください。ただし、再度二要素認証を行うには、再設定が必要になります。連絡する際は、情報処理センターに直接来ていただくか、内線(附属学校園からの外線も可)電話、または、大学Gmailを使用してください。外線電話や外部のメールでは本人確認できないため、受付できません。

  3. 認証アプリを入れたデバイスを大学に持ってくるのを忘れた。

    二要素認証を解除しますので、情報処理センターまで直接来ていただくか、内線(附属学校園からの外線も可)電話でご連絡ください。ただし、再度二要素認証を行うには、再設定が必要になります。

  4. 認証アプリを入れたデバイスを移行したい(買い換えたい)。

    デバイスを買い替えるときはアカウント認証情報を移行してください。移行方法は下記を参照してください。移行し忘れた場合、再登録が必要になります。

  5. 追加で別のデバイスを登録したい。

    Webメールに対して二要素認証のデバイスを追加することはできません。別のデバイスを登録するには、現在の二要素認証を解除した後に、登録する必要があります。単に複数のデバイスで共有したいという場合は、Google 認証システムでアカウント認証情報をデバイス間で共有する方法KeeWeb で TOTP を管理する方法を参照してください。

  6. 電話番号等を使用せずに、PCのみで完結できる認証アプリはありますか?

    KeePass 互換アプリを使用してください。KeePass 互換アプリはパソコン(Windows、Mac、Linux)のみを使用したい場合に記載されています。

    他大学では、 PCのみの環境で使用できる認証アプリとして、ブラウザー拡張機能 Authenticator が紹介されていますが、認証情報の管理がわかりにくいため、推奨していません。情報処理センターでは一切の動作保障やサポートは行いませんので、予めご了承ください。

  7. Authy の電話番号はどう入力したらいいのですか?

    国コードは"Japan (+81)"を選択してください。その後の電話番号は0ありでも0なしでもどちらでも構いませんが、登録後に先頭0は削除されます。