こちらのページでは、管理者によるデバイス証明書オプションの利用方法をご案内します。
目次: |
1.デバイス証明書オプションの基本設定
-
トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、
「デバイス証明書」の右にある「設定」ボタンを押します。
設定の確認をします。
「編集」ボタンで以下2項目のオン/オフを切り替えられます。(緑がオンの状態)
①デバイス証明書のチェックを有効にする:
オンの場合、オプションを割り当てた全員に対してデバイス証明書による認証を強制します。
基本的にはデバイス証明書の配布が完了してからこちらをオンにしてください。
※操作者を本オプションに割り当てた状態でこちらを「オン」にすると
すぐに強制ログアウトされ、デバイス証明書なしではログインできなくなります。
必ず管理ページの利用が可能なPCでデバイス証明書を取得してから「オン」に
変更するようにしてください。
※この設定を有効にしても証明書インポートツール「Secure Authentication Suite」から
ログインする際のデバイス証明書は不要となります。
②割り当てされたメンバーに通知をする:
オンの場合、オプション割り当て時にトラスト・ログインから利用者に対して
設定ガイドのURLが記載された案内メール
「【GMOトラスト・ログイン】デバイス証明書オプションご利用方法のお知らせ」というメールを
送信します。
オフの場合は割り当て時にメールを送信しません。管理者の方より利用方法をご案内ください。
※本オプションが送信するシステムメールは日本語版のみとなります。(英語版メールは今後対応の予定)
2.メンバー・グループの割り当て
-
デバイス証明書設定画面上、「メンバー追加」または「グループ追加」より、
デバイス制限を割り当てたいメンバー・グループを選択し、「追加」ボタンを押下します。
※「デバイス証明書のチェックを有効にする」を「オン」にした状態で
操作者を「メンバーを追加」「グループを追加」でオプションに割り当てると
強制ログアウトされ、デバイス証明書なしではログインできなくなります。
本オプションの解除が必要になった場合は別の管理者に対応をご依頼ください。
- 登録したメンバーまたはグループに属するメンバー宛に、
「【GMOトラスト・ログイン】デバイス証明書オプションご利用方法のお知らせ」という
メールが送信されます。
なお、「割り当てされたメンバーに通知をする」をOFFにしている場合は
管理者の方からメンバーへ利用方法をご案内ください。
また「割り当て済み全メンバー&デバイス」に「メンバー」「グループ」の
それぞれで割り当てを行なったメンバー一覧が表示されます。
対象メンバーの招待ステータスが「招待済み」となっていることをご確認ください。
招待ステータスごとの状態は以下の通りです。
招待ステータス | 説明 |
招待済み | メンバーの招待が完了し、デバイスの登録が行える状態。 |
招待不可 | 他の企業IDに同一メールアドレスの登録があり、デバイス証明書オプションが割り当てられている状態。 複数企業IDでのオプション利用は行えないため、利用したい企業ID以外のオプション割り当てを外す必要があります。 |
3.メンバーからの証明書リクエストを確認(承認/非承認)する
- メンバー側でツールからの証明書リクエストが行われると、
デバイス証明書 設定画面上の「デバイス情報」にリクエスト元のデバイス情報が表示されます。
※メンバーからの証明書リクエストはメールでも管理者に通知されます。(1日3回、8時間ごと)
- ステータスが「承認待ち」となっているデバイス情報を確認し、リクエストの承認/非承認を行います。
リクエストを承認する場合
①対象のデバイスを選択し、「承認する」ボタンをクリックします。
②確認画面で「はい」をクリックします。
③ステータスが「承認済み」となると承認は完了です。
証明書リクエストをしたメンバー宛に
「【GMOトラスト・ログイン】デバイス証明書の取得準備ができました」というメールが
送信され、証明書のインストールが可能となります。
リクエストを承認しない場合
①対象のデバイスを選択し、「ブロックする」ボタンをクリックします。
②確認画面で「はい」をクリックします。
③ステータスが「却下済」となるとブロック(非承認)された状態になります。
証明書リクエストをしたメンバー宛に
「【GMOトラスト・ログイン】デバイス証明書の申請が拒否されました」というメールが
送信されます。
※一度ブロックしたデバイスでも、選択したうえで「ブロックを解除する」と
再度承認可能な状態になります。
証明書リクエストをしたメンバー宛に
「【GMOトラスト・ログイン】デバイス証明書の申請拒否が解除されました」というメールが
送信されます。
登録済みデバイスを削除する
この手順によって解除したデバイスは、他ユーザーのデバイスとして再利用できるようになります。
※対象デバイス向けに発行済の証明書は失効され、復元できませんのでご注意ください。
- 対象のデバイスを選択し、「解除する」をクリックします。
- 確認画面で「はい」をクリックします。
- デバイスの登録が解除され、リストからデバイス情報が削除されます。
※解除したデバイスを他ユーザーで再利用する場合は、インストール済みの証明書インポートツール「Secure Authentication Suite」を再インストールしてください。
(Windows、Macの場合はインストーラーのキャッシュ削除も必要です。詳しくはこちらをご確認ください。)
デバイスのステータスごとの状態は以下の通りです。
ステータス | 説明 |
承認待ち | メンバーから証明書リクエストが行われ、管理者の承認を待っている状態 |
承認済み | 管理者側でリクエストの承認が完了している状態 |
事前承認済み | 管理者による承認デバイスの登録が完了している状態 |
配布済み | メンバー側で証明書のインストールが完了している状態 |
却下済 | 管理者側でリクエストがブロック(非承認)された状態 |
4.デバイス証明書の管理を行う
発行される証明書について
・発行される証明書は各デバイスに紐付き、それぞれ異なるシリアル番号を持ちます。
・1ユーザーが同時に利用可能な証明書(デバイス数)の上限は10です。
・証明書はシリアル番号で特定して(デバイス単位で)の失効が可能です。
※失効された証明書は同時利用数に含まれません。
証明書のステータスを確認する
これまでに発行された証明書の情報は、
デバイス証明書 設定画面上の「証明書情報」より確認できます。
証明書のステータスごとの状態は以下の通りです。
ステータス | 説明 |
有効 | メンバーの操作によって発行・インストールされ、アクセス制限に利用できる状態 |
失効済 | 管理者側で失効が行われ、アクセス制限には利用できない状態 |
ルート証明書/中間CA証明書
ご利用の際は、以下のリンクよりダウンロードください。
ルート証明書 :trustloginrootca2022.crt
中間CA証明書:trustloginclientauthca2022.crt
証明書を失効する
※一度失効した証明書を元の状態に戻すことはできません。
対象のデバイスに対し再度証明書を発行するためには、改めてメンバーでの操作および
管理者による承認が必要になりますのでご注意ください。
①対象の証明書を選択し、「失効する」ボタンをクリックします。
②確認画面で「はい」をクリックします。
③ステータスが「失効済」となると失効された状態になります。
注意事項
本オプションについて、仕様上の注意事項がございます。管理者の方は、これらの内容についてご承知おきください。
・複数企業IDで同一メールアドレスのユーザーに対し本オプションを利用することはできません。利用したい企業ID以外のオプション割り当てを外す必要があります。
・本オプションが送信するシステムメールは日本語版のみとなります。(英語版メールは今後対応する予定です。)
・本オプションの非同期処理によって実行されたログは、企業IDを作成した管理者が操作したものとして記録されます。
・同じデバイスに対して複数ユーザーのデバイス証明書をインストールすることはできません。インストールをしようとしてもエラーで失敗します。
・一部の古いiPhone/iPadでは、SIMを入れた状態でないとデバイス情報を取得できないため、デバイス証明書を取得することができません。
・同じメンバーに対してクライアント認証オプションと併用することはできません。「デバイス証明書のチェックを有効にする」をオンにする際は、クライアント認証オプションの割り当て解除が必要になります。
5.トラブルシューティング
こちらのページでよくあるご質問をまとめております。お困りの際はご確認ください。