Webメール 二要素認証設定マニュアル

令和04年12月27日 京都教育大学 情報処理センター

二要素認証とはパスワードの他にもう一つ認証を追加して、セキュリティを強化する仕組みです。Webメールでは二要素認証に対応しています。2023年4月より、二要素認証を設定していないアカウントは学外から利用できなくなります。詳細は「Webメール 学外利用の二要素認証必須化について」を確認してください。

1. 二要素認証設定前の確認

1.1. Webメール以外のメールの注意事項と事前作業

二要素認証を設定後は、Webメール以外のメールサービスへユーザー名とパスワードでのログインができなくなります。Webメール以外を利用したい場合は後述するアプリ用パスコードの発行が必要です。

影響があるサービス

  • 簡易メール (Roundcube)

  • 事務局グループウェアのメール機能 (サイボウズ)

  • POP/IMAP接続するメールソフトウェア (OutlookやThunderbird等)

上記サービスを利用している場合は、後述の事前作業を必ず実施してください。設定開始前に事前作業を実施していなかった場合、多数のログイン失敗によるロックアウトが発生し、ログインできなくなります。

大学Gmailは影響ありません。メールシステムと大学Gmailの認証システムは独立しているため、パスワードと二要素認証は同期されません。
メール以外のサービス(端末利用、ネットワーク利用、その他学内の認証システム)には影響ありません。

1.1.1. 簡易メールの事前作業

ログインしている場合は、ログアウトしておいてください。

1.1.2. 事務局グループウェアでメール利用時の事前作業

下記設定を行った場合、「〇日後にサーバーから削除する」を無期限に設定することはできなくなります。これはサイボウズの制限です。メールシステムにメールを永久に残したままサイボウズでメールを利用する方法は存在しません。

下記手順でメールアカウントを停止してください。

  1. 左上の自分の名前をクリックします。

  2. 【個人設定】をクリックします。

  3. 【メール】をクリックします。

  4. 【メールアカウントの設定】をクリックします。

  5. 一覧にあるアカウントについて【変更する】をクリックします。

  6. 「メールアカウントの使用を停止する」にチェック入れて、【変更する】をクリックします。この時「日後にサーバーから削除する」に1~100の値が入っていない場合は設定できません。必ず設定する必要があり、一度設定した後は元に戻すことはできません。次回から最大でも100日前のメールから削除されることになります。

  7. 「使用状況」が「停止中」になっていることを確認してください。

グループウェアでメールの受信を行っていない場合は上記作業は不要です。

1.1.3. メールソフトウェア(OutlookやThunderbird等)の事前作業

メールソフトウェアを起動している場合は、終了しておいてください。

1.2. 二要素認証のデバイスとソフトウェアの準備

二要素認証には認証アプリ(TOTPアプリ)が必要です。下記のいずれかで、普段から大学で持ち歩ているものを用意してください。

  • iPhone

  • iPad

  • Android

  • Windows

  • Mac

  • Linux

大学に持ってくることを忘れると、Webメールにログインできなくなります。

1.2.1. iPhone、iPad、Android

Google 認証システム(Google Authenticator) または Microsoft Authenticator をインストールしてください。

Google WorkspaceやMicrosoft 365の二要素認証で既にインストールしている場合は、そちらをそのまま使用することができます。
登録できるデバイスは原則一つだけです。複数のデバイスで使用したい場合は、後述の Twilio Authy をご使用ください。

1.2.2. Windows、Mac、Lunx、または、マルチデバイス

Twilio Authy をインストールしてください。各OS毎にインストーラーが用意されています。(iOS、Android向けもあります)

Twilio Authy の利用には電話番号とメールアドレスを登録して Authy のアカウントを作成する必要があります。電話番号に対してSMSまたは音声による認証が必須です。

Twilio Authy は複数のデバイスでアカウント認証情報を共有することができます。Twilio Authy でアカウント認証情報をデバイス間で共有する方法を参照してください。

1.2.3. その他の認証アプリ

下記リンク先にその他の認証アプリが紹介されています。参考にしてみてください。

https://wiki.zimbra.com/wiki/TOTPApps

情報処理センターでは、Google 認証システム(Google Authenticator)、Microsoft Authenticator、Twilio Authyのみサポートします。それ以外のアプリについてはサポートは行いませんので、自己責任で使用してください。

2. 二要素認証設定方法

Webメールで二要素認証を設定します。認証アプリインストール済みのデバイスを用意しておいてください。

  1. 歯車】 > 【歯車設定】 > 【アカウント】

  2. 【DEFAULT アカウント名@kyokyo-u.ac.jp (プライマリ)】をクリックすると、設定が展開されます。

  3. 「2要素認証」の【2要素認証をセットアップ】をクリックします。

  4. パスワードの入力が求められますので、パスワードを入力し、【次へ】をクリックします。

  5. 用意したデバイスに認証アプリをインストールしていることを確認して、【次へ】をクリックします。

  6. 16桁のキーとQRコードが表示されます。

    • Google Authenticator は【+】を押して【QR コードをスキャン】を押し、カメラでQRコードを読み取ります。

    • Microsoft Authenticator は【+】押して【その他 (Google、Facebook など)】を押し、カメラでQRコードを読み取ります。

    • モバイル版の Twilio Authy は【Add Account】または【Accounts】で【+】を押して【Scan QR Code】を押し、カメラでQRコードを読み取ります。Logo選択画面でそのまま【Continue】、Nicknameは必要に応じて変更してから【Save】を押します。

    • デスクトップ版の Twilio Authy は【Tokens】で【+】を押し、「Enter Code give by the website」に16桁のキーを入力し、【Add Account】を押します。続けて、任意の名前を入力し、適当なアイコンを選んで、Token lengthは6-digitを選択して、【Save】を押します。

  7. 認証アプリで6桁の数字が表示されるようになったら、【次へ】をクリックします。

  8. コードの入力が求められるため、先ほどの6桁の数字を入力し、【検証】をクリックします。

  9. コードに問題がなければ、設定が完了です。(【保存】を押さなくても設定は保存されています。)

続けて、ワンタイムコードを入手し、記録しておいてください。ワンタイムコードは1回しか使用できませんが、認証アプリが使えないときの代替としてログイン時に使用できるコードです。デバイスの紛失や故障などに備えて、保管しておいてください。

  1. 【ワンタイムコード】をクリックします。

  2. 表示されるコードを認証アプリを入れたデバイスとは別のものに記録しておいてください。

次回ログインから2要素目が求められるようになります。二要素認証を解除したい場合は、【2要素認証を解除】をクリックしてください。

既に登録されている場合、一旦解除しないと新しいデバイスは登録できません。デバイス間の移行や共有をしたい場合は、Q/Aを確認してください。

3. Webメール以外のメールサービスの利用

二要素認証を設定後は、Webメール以外のメールにユーザー名とパスワードでログインできなくなり、「2要素認証をサポートしていないアプリ用のパスコード」を使用する必要があります。

次の手順で、アプリ用パスコードを入手してください。

  1. 歯車】 > 【歯車設定】 > 【アカウント】

  2. 【DEFAULT アカウント名@kyokyo-u.ac.jp (プライマリ)】をクリックすると、設定が展開されます。

  3. 「2要素認証」の「2要素認証をサポートしていないアプリ用のパスコード」にある【プラスパスコードを追加】をクリックします。

  4. 「アプリケーション名」に使用するシステム名やソフトウェア名を入力し、【次へ】をクリックします。

  5. 英大文字16桁のパスコードが表示されます。使用するシステムやソフトウェアでの認証設定を次のように設定します。

    • ユーザー名: アカウント名 (@マークの前の名前、以前と変更なし)

    • パスワード: 取得したパスコード

  6. メールの送受信やログインができることを確認後、【完了】をクリックします。

完了を押した後、生成されたパスコードを確認することはできません。【完了】を押す前に、メール送受信やログインが正しく行われるかを確認してください。

アプリ用パスコードが不要になった場合は、✕ボタンから削除するようにお願いします。

アプリ用パスコードはWebメール以外のアプリ用であるため、Webメールのログインに使用することはできません。

4. その他のノウハウ

4.1. Twilio Authy でアカウント認証情報をデバイス間で共有する方法

Twiilo Authy では同じ電話番号で登録することでアカウント認証情報を同期させることができます。複数デバイスで共有したい場合は、下記手順を参考にしてください。

  1. 最初のデバイスに、Twilio Authy をインストールします。(最初のデバイスは、QRコードで登録できるモバイルを使用することを推奨します。)

  2. 最初のデバイスで、Twilio Authy を起動し、初回起動で電話番号とメールアドレスを登録します。

  3. 最初のデバイスで、Webメールの二要素認証のアカウントを登録します。

  4. 最初のデバイスで、クラウドバックアップを有効にします。

    • モバイル版: 右上【⚙】>【Accounts】>【Backup Password】を押し、バックアップ用のパスワードを入力します。

    • デスクトップ版: 左下【⚙】>【Accounts】>【Authenticator Encrypted Backus】を押し、バックアップ用のパスワードを入力します。

  5. 次のデバイスに、Twilio Authy をインストールします。

  6. 次のデバイスで、Twilio Authy を起動し、初回起動で最初のデバイスと同じ電話番号と登録します。

  7. 既にアカウントがあるため、既存のデバイスで認証するか、音声/SMSで認証するかを聞かれますので、"Use existing device"と書かれた方を選択します。

  8. 最初のデバイスの Authy 上で許可を求めらるため、"Accept"を押して許可します。

  9. 次のデバイスにある Authy が承認され、最初のデバイスで登録したアカウントが表示さます。ただし、使用するには暗号化を解除する必要があります。

  10. 次のデバイスで、使用したいアカウントをクリックします。パスワードが求められますので、最初のデバイスで設定したバックアップ用のパスワードを入力します。

  11. これで、次のデバイスでも二要素認証のコードが表示できるようになります。他のデバイスも同様の方法で追加できます。

5. トラブル/Q・A

  1. 学内では二要素目無しでログインしたい。

    できません。Webメールを構成するZimbraの二要素認証には、特定のIPアドレスの場合に二要素認証をスキップするという機能がありません。二要素認証を設定した場合は、学内・学外いずれでも二要素目が必要になります。
    二要素認証設定せずに、学外では二要素認証有りで利用したい場合は、大学Gmailの利用メールフォルダーの共有をご利用ください。

  2. 認証アプリを入れたデバイスの紛失・故障等で使用できなくなった。

    二要素認証を解除しますので、情報処理センターまでご連絡ください。ただし、再度二要素認証を行うには、再設定が必要になります。連絡する際は、情報処理センターに直接来ていただくか、内線(附属学校園からの外線も可)電話、または、大学Gmailを使用してください。外線電話や外部のメールでは本人確認できないため、受付できません。

  3. 認証アプリを入れたデバイスを大学に持ってくるのを忘れた。

    二要素認証を解除しますので、情報処理センターまで直接来ていただくか、内線(附属学校園からの外線も可)電話でご連絡ください。ただし、再度二要素認証を行うには、再設定が必要になります。

  4. 認証アプリを入れたデバイスを移行したい(買い換えたい)。

    デバイスを買い替えるときはアカウント認証情報を移行してください。移行方法は下記を参照してください。移行し忘れた場合、再登録が必要になります。

  5. 追加で別のデバイスを登録したい。

    Webメールに対して二要素認証のデバイスを追加することはできません。別のデバイスを登録するには、現在の二要素認証を解除した後に、登録する必要があります。単に複数のデバイスで共有したいという場合は、Twilio Authy でアカウント認証情報をデバイス間で共有する方法を参照してください。

  6. 電話番号等を使用せずに、PCのみで完結できる認証アプリはありますか?

    他大学では、 PCのみの環境で使用できる認証アプリとして、ブラウザー拡張機能 Authenticator が紹介されています。認証アプリの制限は特に実施していないため、使用することは可能だと推測されますが、情報処理センターでは一切の動作保障やサポートは行いませんので、予めご了承ください。

  7. Authy の電話番号はどう入力したらいいのですか?

    国コードは"Japan (+81)"を選択してください。その後の電話番号は0ありでも0なしでもどちらでも構いませんが、登録後に先頭0は削除されます。