Webメール 二要素認証設定マニュアル

令和05年04月07日 京都教育大学 情報処理センター

二要素認証とはパスワードの他にもう一つ認証を追加して、セキュリティを強化する仕組みです。Webメールでは二要素認証に対応しています。二要素認証を設定していないアカウントは学外でログインできません。詳細は「Webメール 学外利用の二要素認証必須化について」を確認してください。

この設定は学外でWebメールを使用したい場合にのみ必要です。学外でメールを送受信したい場合、通常は大学Gmailの使用で十分であり、ほとんどの人は設定する必要はありません。学内にいる限り、設定はいつでもできます。設定が必要かわからない場合は、設定しないことを推奨します。

1. 二要素認証設定前の確認

1.1. Webメール以外のメールの注意事項と事前作業

二要素認証を設定後は、Webメール以外のメールサービスへユーザー名とパスワードでのログインができなくなります。Webメール以外を利用したい場合は後述するアプリ用パスコードの発行が必要です。

影響があるサービス

  • 簡易メール (Roundcube)

  • 事務局グループウェアのメール機能 (サイボウズ)

  • POP/IMAP接続するメールソフトウェア (OutlookやThunderbird等)

上記サービスを利用している場合は、後述の事前作業を必ず実施してください。設定開始前に事前作業を実施していなかった場合、多数のログイン失敗によるロックアウトが発生し、ログインできなくなります。

大学Gmailは影響ありません。メールシステムと大学Gmailの認証システムは独立しているため、パスワードと二要素認証は同期されません。
メール以外のサービス(端末利用、ネットワーク利用、その他学内の認証システム)には影響ありません。

1.1.1. 簡易メールの事前作業

ログインしている場合は、ログアウトしておいてください。

1.1.2. 事務局グループウェアでメール利用時の事前作業

事務局グループウェアでメールを利用している場合は、Webメールにメールを残すか、残さなくてもよいかで作業が変わります。

グループウェアでメールの受信を行っていない場合、この作業は不要です。
Webメールにメールを残したい場合
今後一切、事務局グループウェアのメールは使用できなくなります。大学のメールはWebメール等の他のメールシステムを使用して送受信してください。

下記手順でメールアカウントを削除してください。

  1. サイボウズにログイン後、右上の自分の名前をクリックします。

  2. 個人設定をクリックします。

  3. メールをクリックします。

  4. メールアカウントの設定をクリックします。

  5. 一覧にあるアカウントについて削除するをクリックします。

  6. 再度確認の画面が出ますので、削除するをクリックします。

既にグループウェア上にあるメールは削除されません。
Webメールにメールを残さなくてもいい場合
事務局グループウェアでメールを利用する場合、Webメールから過去のメールが必ず削除されます。過去のメールを削除したくない場合、事務局グループウェアでメールを使用することはできません。これは事務局グループウェアに使用しているソフトウェア(サイボウズオフィス)の仕様です。
Webメールで確認できるメールは下記で設定した日数(最大100日)以内のメールのみになります。設定した日数より過去のメールをWebメールで読むことはできません。

下記手順でメールアカウントを停止してください。

  1. サイボウズにログイン後、右上の自分の名前をクリックします。

  2. 個人設定をクリックします。

  3. メールをクリックします。

  4. メールアカウントの設定をクリックします。

  5. 一覧にあるアカウントについて変更するをクリックします。

  6. 「メールアカウントの使用を停止する」にチェック入れて、変更するをクリックします。この時「日後にサーバーから削除する」に1~100の値が入っていない場合は設定できません。必ず設定する必要があり、一度設定した後は元に戻すことはできません。この設定により、Webメールから指定した日数(最大100日)より前のメールが削除されます。

  7. 「使用状況」が「停止中」になっていることを確認してください。

二要素認証設定が完了後に、メールの利用を再開するには、パスワードを「アプリ用パスコード」に変更する必要があります。「アプリ用パスコード」の入手方法はWebメール以外のメールサービスの利用を参照してください。

パスワードを変更せずに、そのまま再開しないでください。アカウントにロックがかかり、メールが使用できなくなります。

1.1.3. メールソフトウェア(OutlookやThunderbird等)の事前作業

メールソフトウェアを起動している場合は、終了しておいてください。

1.2. 二要素認証のデバイスとソフトウェアの準備

二要素認証には認証アプリ(TOTPアプリ)が必要です。下記の一つで、普段から大学で持ち歩ているものをひとつ用意してください。

  • スマートフォン (iPhone、 Android)

  • タブレット (iPad、 Android)

  • パソコン (Windows、Mac、Linux)

ここでのデバイスはWebメールにログインするデバイスのことではありません。二要素目の認証に使用するデバイスのことです。Webメールへのログインはパソコンを利用し、二要素目の認証のみスマートフォンを利用する等が可能です。

それぞれの場合について、ソフトウェアをひとつのみインストールしておいてください。

フィーチャーフォンは未対応です。また、Androidベースであっても独自OSが搭載されたスマートフォン(ファーウェイなど)やタブレット(AmazonのFireシリーズなど)は対応していない場合があります。
大学に持ってくることを忘れると、Webメールにログインできなくなります。
原則、一つの認証アプリしか情報を登録できません。いずれか一台にいずれかの一つの認証アプリをインストールしてください。

1.2.1. スマートフォンやタブレット(iPhone、iPad、Android)の場合 (推奨)

対応アプリケーションをインストール可能なスマートフォンまたはタブレットをお持ちの場合は、この方法が一番簡単であり、強く推奨します。

Google 認証システム(Google Authenticator) または Microsoft Authenticator をインストールしてください。

Google WorkspaceやMicrosoft 365の二要素認証で既にインストールしている場合は、そちらをそのまま使用することができます。
登録できるデバイスは原則一つだけです。複数のデバイスで使用したい場合は、後述の Twilio Authy をご使用ください。

1.2.2. パソコン(Windows、Mac、Linux)のみを使用したい場合

KeePass 互換アプリの中には TOTP を管理できるソフトウェアがあります。TOTP の認証情報をファイルとして保存することができます。認証情報が記録されたファイルを用いて、スマートフォン等を使わず、パソコンのみで二要素目の認証をすることができます。

  • KeeWeb

  • KeePassXC (サポート対象外、動作未確認)

  • AuthPass (サポート対象外、動作未確認)

  • KeePass (サポート対象外、動作未確認)

上記のうち「KeeWeb」についてのみサポートします。詳しい利用方法はKeeWeb で TOTP を管理する方法を参照してください。

KeePass 互換アプリとは、パスワードマネージャーである KeePass が扱う KeePass データベースファイル(kdbxファイル)を扱えるソフトウェアです。パスワードデータベースの拡張領域を用いて TOTP を管理できます。

1.2.3. 複数のデバイスで認証したい場合 (電話番号の登録が必要、非推奨)

ここでのデバイスとは、二要素目の認証を行いたいデバイスのことです。Webメールにログインしたいデバイスのことではありません。スマートフォンやタブレットをお持ちで、パソコンでWebメールを使用したい場合は、スマートフォンやタブレット(iPhone、iPad、Android)の場合 (推奨)をご利用してください。二要素目の認証のみスマートフォンやタブレットを使用することができます。どうしても必要な場合以外は推奨しません。

Twilio Authy をインストールしてください。OS毎にインストーラーが用意されています。また、Twilio Authy は複数のデバイスでアカウント認証情報を共有することができます。Twilio Authy でアカウント認証情報をデバイス間で共有する方法を参照してください。

Twilio Authy の利用には電話番号とメールアドレスを登録して Authy のアカウントを作成する必要があります。電話番号に対してSMSまたは音声による認証が必須です。

1.2.4. その他の認証アプリ

下記リンク先にその他の認証アプリが紹介されています。参考にしてみてください。

https://wiki.zimbra.com/wiki/TOTPApps

情報処理センターでは、Google 認証システム(Google Authenticator)、Microsoft Authenticator、Twilio Authy、KeeWeb(検討中)のみサポートします。それ以外のアプリについてはサポートを行いませんので、自己責任で使用してください。
Microsoft Authenticator の Windows 対応はモバイル向けのみです。モバイル向け Windows は全てサポート終了しており、現在使用できる環境はありません。

2. 二要素認証設定方法

Webメール(Zimbra)で二要素認証を設定します。設定はWebメール上で行いますので、まずWebメールにログインしてください。また、認証アプリインストール済みのデバイスを用意しておいてください。特定の環境に限定されますが、 画像付きの簡易マニュアルも参考にしてください。

  1. Webメールにログインします。

  2. 歯車 > 歯車設定 > アカウントを開きます。

  3. DEFAULT アカウント名@kyokyo-u.ac.jp (プライマリ)をクリックすると、設定が展開されます。

  4. 「2要素認証」の2要素認証をセットアップをクリックします。

  5. パスワードの入力が求められますので、パスワードを入力し、次へをクリックします。

  6. 用意したデバイスに認証アプリをインストールしていることを確認して、次へをクリックします。

  7. 16桁のキーとQRコードが表示されます。以下の説明は、Zimbraログイン中のデバイスとは異なるデバイスで各アプリを起動することを想定しています。

    • Google Authenticator は+を押してQR コードをスキャンを押し、カメラでQRコードを読み取ります。

    • Microsoft Authenticator は+押してその他 (Google、Facebook など)を押し、カメラでQRコードを読み取ります。

    • モバイル版の Twilio Authy はAdd AccountまたはAccounts+を押してScan QR Codeを押し、カメラでQRコードを読み取ります。Logo選択画面でそのままContinue、Nicknameは必要に応じて変更してからSaveを押します。

    • デスクトップ版の Twilio Authy はTokens+を押し、「Enter Code give by the website」に16桁のキーを入力し、Add Accountを押します。続けて、任意の名前を入力し、適当なアイコンを選んで、Token lengthは6-digitを選択して、Saveを押します。

    • KeeWeb はQRコードが表示されているウインドウに対し、Alt+PrintScreenを押します(Macの場合は、Command+Shift+4を押してQRコードの部分を選択します)。登録したいエントリーに対してその他…ワンタイムパスワードを押し、Ctrl+V(Macの場合はCommand+V)を押して、先ほどのQRコードを貼り付けます。正常に読み込まれた後、左下のデータベース名を押し、保存から認証情報を保存しておきます。

  8. 認証アプリで6桁の数字が表示されるようになったら、次へをクリックします。

  9. コードの入力が求められるため、先ほどの6桁の数字を入力し、検証をクリックします。

  10. コードに問題がなければ、設定が完了です。(保存を押さなくても設定は保存されています。)

続けて、ワンタイムコードを入手し、保管しておいてください。ワンタイムコードは1回しか使用できませんが、認証アプリが使えないときの代替としてログイン時に使用できるコードです。デバイスの紛失や故障などに備えて、保管しておいてください。

  1. ワンタイムコードをクリックします。

  2. 表示されるコードを保管しておいてください。(保管先は認証アプリを入れたデバイスとは別物にしてください。同じデバイスに保管した場合、デバイス紛失時に利用することはできません。)

次回ログインから2要素目が求められるようになります。二要素認証を解除したい場合は、2要素認証を解除をクリックしてください。

既に登録されている場合、一旦解除しないと新しいデバイスは登録できません。デバイス間の移行や共有をしたい場合は、Q/Aを確認してください。

3. Webメール以外のメールサービスの利用

二要素認証を設定後は、Webメール以外のメールにユーザー名とパスワードでログインできなくなり、「2要素認証をサポートしていないアプリ用のパスコード」を使用する必要があります。

次の手順で、アプリ用パスコードを入手してください。

  1. 歯車 > 歯車設定 > アカウント

  2. DEFAULT アカウント名@kyokyo-u.ac.jp (プライマリ)をクリックすると、設定が展開されます。

  3. 「2要素認証」の「2要素認証をサポートしていないアプリ用のパスコード」にあるプラスパスコードを追加をクリックします。

  4. 「アプリケーション名」に使用するシステム名やソフトウェア名を入力し、次へをクリックします。

  5. 英大文字16桁のパスコードが表示されます。使用するシステムやソフトウェアでの認証設定を次のように設定します。

    • ユーザー名: アカウント名 (@マークの前の名前、以前と変更なし)

    • パスワード: 取得したパスコード

  6. メールの送受信やログインができることを確認後、完了をクリックします。

完了を押した後、生成されたパスコードを確認することはできません。完了を押す前に、メール送受信やログインが正しく行われるかを確認してください。

アプリ用パスコードが不要になった場合は、✕ボタンから削除するようにお願いします。

アプリ用パスコードはWebメール以外のアプリ用であるため、Webメールのログインに使用することはできません。

4. その他のノウハウ

4.1. Twilio Authy でアカウント認証情報をデバイス間で共有する方法

Twilio Authy では同じ電話番号で登録することでアカウント認証情報を同期させることができます。複数デバイスで共有したい場合は、下記手順を参考にしてください。

  1. 最初のデバイスに、Twilio Authy をインストールします。(最初のデバイスは、QRコードで登録できるモバイルを使用することを推奨します。)

  2. 最初のデバイスで、Twilio Authy を起動し、初回起動で電話番号とメールアドレスを登録します。

  3. 最初のデバイスで、Webメールの二要素認証のアカウントを登録します。

  4. 最初のデバイスで、クラウドバックアップを有効にします。

    • モバイル版: 右上>Accounts>Backup Passwordを押し、バックアップ用のパスワードを入力します。

    • デスクトップ版: 左下>Accounts>Authenticator Encrypted Backusを押し、バックアップ用のパスワードを入力します。

  5. 次のデバイスに、Twilio Authy をインストールします。

  6. 次のデバイスで、Twilio Authy を起動し、初回起動で最初のデバイスと同じ電話番号と登録します。

  7. 既にアカウントがあるため、既存のデバイスで認証するか、音声/SMSで認証するかを聞かれますので、"Use existing device"と書かれた方を選択します。

  8. 最初のデバイスの Authy 上で許可を求められるため、"Accept"を押して許可します。

  9. 次のデバイスにある Authy が承認され、最初のデバイスで登録したアカウントが表示さます。ただし、使用するには暗号化を解除する必要があります。

  10. 次のデバイスで、使用したいアカウントをクリックします。パスワードが求められますので、最初のデバイスで設定したバックアップ用のパスワードを入力します。

  11. これで、次のデバイスでも二要素認証のコードが表示できるようになります。他のデバイスも同様の方法で追加できます。

4.2. KeeWeb で TOTP を管理する方法

KeeWeb は KeePass データベースファイル(以下、kdbxファイル)を用いるパスワード等の認証情報を管理ソフトウェアです。kdbxファイルをコピーすることで複数の端末で利用することも可能です。

4.2.1. KeeWeb の準備

インストールと日本語化について説明します。KeeWeb には三つのバージョンがあります。

  • デスクトップアプリケーション (推奨)

  • Webアプリケーション

  • ブラウザーWebアプリケーション

ここでは、デスクトップアプリケーションについてのみ説明しますが、インストール後の日本語化はどのアプリケーションでも同じです。

  1. 初めに、アプリケーションのインストールを行います。KeeWeb は Windows、Mac、Linuxに対応しています。

    1. https://keeweb.info/ をアクセスします。

    2. 「Download KeeWeb」からインストーラー(またはパッケージ)をダウンロードします。

    3. インストーラーを実行(またはパッケージをインストール)します。

  2. 次に、日本語化を行います。KeeWeb は日本語化されていますが、インストーラーには日本語化ファイルが含まれていないため、インストールする必要があります。

    1. インストールした KeeWeb を起動します。

    2. 一番右側の Moreをクリックします。

    3. アイコンがさらに表示されますので、一番右下の Settingsをクリックします。

    4. 左メニューの Pluginsをクリックします。Plugins の画面になります。

    5. Plugins の画面でLoad plugin gallaryをクリックします。プラグインの一覧が表示されます。

    6. 「Serch for plugin」に japanese と入力して、「language-japanese」を探します。

    7. 「language-japanese」のInstallをクリックします。プラグインがインストールされます。

    8. 左メニューの上から二番目のAppearanceをクリックします。Appearance の画面になります。

    9. Appearance の画面の「Language」の所のEnglishをクリックして、日本語に変更します。

    10. メニューや設定項目が日本語になります。トップに戻るには一番右上のアプリに戻る をクリックしてください。

4.2.2. kdbxファイルの作成

パスワード等の認証情報を保存するkdbxファイルを作成しておく必要があります。(kdbxファイルはパソコン内に保存する以外に、Google Drive や OneDrive 等のクラウドストレージにも保存できますが、現在サポート対象外です。)

  1. KeeWeb を起動します。

  2. 左から二番目の 新規作成をクリックします。

  3. エントリー(パスワードなどの情報を記録する単位)が何もない、空のデータベースが作成されます。このまま、エントリーの追加も可能ですが、まずは、ファイルとして保存し、再び開けることを確認します。

    1. 一番左下の 新規をクリックします。(既に「新規」という名前のデータベースがあった場合、「新規1」「新規2」のように末尾に数字が追加されます。)

    2. 「設定」でこのデータベースを開くための情報を「マスターパスワード」を入力します。この情報を忘れる(紛失する)とデータベースが開けなくなりますので、ご注意ください。「キーファイル」と「YubiKey」はオプションです。

      マスターバスワード

      データベースを開くためのパスワードです。他のパスワードとは異なるパスワードを使用してください。

      キーファイル

      データベースを開くための鍵となるファイルです。キーファイルはkdbxファイルとは別の場所に置いてください。

      YubiKey

      YubiKeyを連携したい場合に使用します。(YubiKeyを持っていない場合は使用できません。)

    3. 「名前」でデータベースの名前を変更できます。

      名前

      データベースの名前です。トップ画面の選択や左側のメニューなどで使用されます。

      デフォルトのユーザー

      エントリーを入力するときに自動的に「ユーザー名」に入る名前です。

    4. 必要に応じて「バックアップ」「履歴」「履歴」「高度な設定」を変更します。

    5. 入力が終わったら...に保存をクリックします。

    6. 保存先一覧が表示されますので、一番左側の ファイルをクリックします。

    7. もし、マスターパスワードを入力していない場合は、空のパスワードに関する警告ができます。他のパスワードも管理する場合は、マスターパスワードを必ず入力してください。(二要素認証情報のみを管理する場合は、マスターパスワードはなくても構いません。)

    8. ファイル保存のダイアログが表示されますので、ファイルを保存します。

  4. ファイルを保存したら、一度開けるか必ず試してください。KeeWeb をいったん閉じて、開き直します。

  5. トップのメニューに戻ります。先ほど作成したkdbxファイルは履歴として残っていますが、ここは通常通り開けるかを確認するために、一番左側の 開くをクリックします。

  6. 先ほど保存したファイルを選択して、開きます。

  7. 中央の入力が「パスワード {データベースの名前}」になっています。ここに、先ほど設定したマスターパスワードを入力し、右端のをクリックするか、Enterキーを押します。

  8. 無事開けることを確認してください。

kdbxファイルを紛失すると認証情報にアクセスできなくなります。適宜にバックアップを取ることを推奨します。
kdbxファイルとマスターパスワードがわかると、誰でも認証情報にアクセスできます。ファイルの管理は厳重に行ってください。

4.2.3. TOTP 認証情報の登録

新しいエントリーまたは既存のエントリーに認証情報を追加します。ここでは、新たにエントリーを作成するところから始めます。

  1. KeeWeb を起動し、kdbxファイルを開きます。

  2. まずはエントリーを新規に作成します。

    1. 中央ペインの上部にあるをクリックし、 エントリーをクリックし、新しいエントリーを作成します。

    2. タイトル部分にエントリーの名前を入れます。わかりやすいように登録するサービスの名前を入れておくことがお勧めです。

  3. 次に TOTP の認証情報を登録します。

    1. 登録したいエントリーを開きます。

    2. その他......をクリックします。

    3. ワンタイムパスワードをクリックします。

    4. 二要素認証設定方法に記載の手順を参考に、Webメールの「2要素認証をセットアップ」を実施して、QRコードを表示します(手順の7番目まで)。

    5. QRコードが表示された画面でAlt+PrintScreenを押します。(Macの場合は、Command+Shift+4を押してQRコードの部分を選択します。)

    6. KeeWeb に戻って、Ctrl+V(Macの場合はCommand+V)を押します。

    7. QRコードが自動的に読み込まれ、登録されます。

  4. エントリーに「ワンタイムパスワード」が追加されます。この時点ではファイルに二要素認証の情報が保存されていません。絶対にアプリを閉じないでください。

  5. 一番左下の {データベースの名前}の所をクリックします。(青いマークがついています。)

  6. データベースの設定画面が表示されますので保存を押します。(左下の名前の {データベースの名前}の所にあった青マークが消えます)

  7. 保存が完了したら、一番右上のアプリに戻る で前の画面に戻ります。

  8. 二要素認証設定方法に記載の手順を参考に、登録したエントリーの「ワンタイムパスワード」に記載されている6桁の数字をWebメールに入力します。(手順の8番目以降)

認証情報が入ったkdbxファイルは大切に保存しておいてください。次回ログオン時に2要素目を求められたときは、KeeWebでkdbxファイルを開いて、登録したエントリーの「ワンタイムパスワード」に表示される6桁の数字を入力します。

kdbxファイルに登録されている TOTP 認証情報は、他のアプリではそのまま読み込むことはできない場合があります。同じアプリを使用してください。

5. トラブル/Q・A

  1. 二要素認証設定後も学内では二要素目無しでログインしたい。

    できません。Webメールを構成するZimbraの二要素認証には、特定のIPアドレスの場合に二要素認証をスキップするという機能がありません。二要素認証を設定した場合は、学内・学外いずれでも二要素目が必要になります。
    二要素認証設定せずに、学外では二要素認証有りで利用したい場合は、大学Gmailの利用メールフォルダーの共有をご利用ください。

  2. 認証アプリを入れたデバイスの紛失・故障等で使用できなくなった。

    二要素認証を解除しますので、情報処理センターまでご連絡ください。ただし、再度二要素認証を行うには、再設定が必要になります。連絡する際は、情報処理センターに直接来ていただくか、内線(附属学校園からの外線も可)電話、または、大学Gmailを使用してください。外線電話や外部のメールでは本人確認できないため、受付できません。

  3. 認証アプリを入れたデバイスを大学に持ってくるのを忘れた。

    二要素認証を解除しますので、情報処理センターまで直接来ていただくか、内線(附属学校園からの外線も可)電話でご連絡ください。ただし、再度二要素認証を行うには、再設定が必要になります。

  4. 認証アプリを入れたデバイスを移行したい(買い換えたい)。

    デバイスを買い替えるときはアカウント認証情報を移行してください。移行方法は下記を参照してください。移行し忘れた場合、再登録が必要になります。

  5. 追加で別のデバイスを登録したい。

    Webメールに対して二要素認証のデバイスを追加することはできません。別のデバイスを登録するには、現在の二要素認証を解除した後に、登録する必要があります。単に複数のデバイスで共有したいという場合は、Twilio Authy でアカウント認証情報をデバイス間で共有する方法KeeWeb で TOTP を管理する方法を参照してください。

  6. 電話番号等を使用せずに、PCのみで完結できる認証アプリはありますか?

    KeePass 互換アプリを使用してください。KeePass 互換アプリはパソコン(Windows、Mac、Linux)のみを使用したい場合に記載されています。

    他大学では、 PCのみの環境で使用できる認証アプリとして、ブラウザー拡張機能 Authenticator が紹介されていますが、認証情報の管理がわかりにくいため、推奨していません。情報処理センターでは一切の動作保障やサポートは行いませんので、予めご了承ください。

  7. Authy の電話番号はどう入力したらいいのですか?

    国コードは"Japan (+81)"を選択してください。その後の電話番号は0ありでも0なしでもどちらでも構いませんが、登録後に先頭0は削除されます。