Organization で 2 要素認証を要求する

組織の所有者は、 組織化メンバー、外部コラボレーター、課金マネージャー 個人アカウントに対して 2 要素認証を有効にし、悪意のあるアクターが組織のリポジトリと設定にアクセスするのを困難にすることができます。

この機能を使用できるユーザーについて

Requiring two-factor authentication is available to organizations on a GitHub Free or GitHub Team plan, as well as organizations on GitHub Enterprise Cloud or GitHub Enterprise Server. With GitHub Enterprise Cloud, this feature is unavailable for organizations in an マネージド ユーザーを含む Enterprise.

この記事で

メモ

2023 年 3 月より、GitHub では、GitHub.com でコードを投稿するすべてのユーザーに、1 つ以上の形式の 2 要素認証 (2FA) を有効にすることが求められます。 該当するグループに属しているユーザーは、そのグループが登録対象として選択されると通知メールを受け取り、45 日間の 2FA 登録期間が開始されて、GitHub.com での 2FA への登録を求めるバナーが表示されます。 通知を受け取らないユーザーは、2FA を有効にする必要があるグループには含まれませんが、有効にすることを強くお勧めします。

2FA 登録のロールアウトについて詳しくは、こちらのブログ記事をご覧ください。

組織向けの2要素認証について

2 要素認証(2FA) は、Web サイトあるいはアプリケーションにログインする際に使われる追加のセキュリティレイヤーです。 で 2 要素認証を有効にするには、組織内のすべてのメンバーと外部コラボレーターGitHubを要求できます。 2 要素認証の詳細については、「2 要素認証でアカウントを保護する」を参照してください。

企業内の組織に対して2要素認証を必須にすることもできます。 詳しくは、「Enterprise でセキュリティ設定のポリシーを適用する」をご覧ください。

メモ

組織内の一部のユーザーは、 GitHubによる必須の 2 要素認証登録に選択されている可能性がありますが、組織の 2FA 要件を有効にする方法には影響しません。

警告

  • 組織で 2 要素認証を使用する必要がある場合、2FA を使用しないメンバー と課金マネージャーは、アカウントで 2FA を有効にするまで、組織のリソースにアクセスできなくなります。 組織内でライセンスを使用するなど、2FAがなくてもメンバーシップが保持されます。
  • Organization で 2 要素認証を必須にすると、2FA を使わない外部コラボレーターは organization から削除され、そのリポジトリにアクセスできなくなります。 Organization のプライベートリポジトリのフォークへのアクセスも失います。 ユーザーが、organization から削除されてから 3 か月以内に個人用アカウントで 2FA を有効にすれば、そのユーザーのアクセス特権および設定を復帰させることができます。 詳しくは、「組織の以前のメンバーの復帰」をご覧ください。
  • また、ボットやサービス アカウントなど、外部コラボレーターである自動または共有アクセス アカウントに対しても 2 要素認証を有効にする必要があります。 必須の2FAを有効にした後、これらの無監視の外部コラボレーターアカウントに対して2FAを構成しないと、そのアカウントは組織から削除され、リポジトリにアクセスできなくなります。 詳しくは、「2 要素認証を使用したボットとサービス アカウントの管理」をご覧ください。
  • 必須の 2 要素認証を有効にした後に、自分の個人用アカウントで 2FA を無効にした外部コラボレーターは、organization から自動的に削除されます。
  • あなたが 2 要素認証を要求している organization の唯一の所有者である場合は、その organization で要求される 2FA を無効にしなければ、あなたの個人用アカウントの 2FA を無効にすることはできません。

前提条件

組織化メンバー、外部コラボレーター、課金マネージャー 2 要素認証を使用するには、アカウントに対して 2FA を有効にする必要があります。 詳しくは、「2 要素認証でアカウントを保護する」をご覧ください。

2 要素認証の使用を必要とする前に、 組織のメンバー、外部コラボレーター、課金マネージャー アカウントに 2FA を設定するよう依頼することをお勧めします。 メンバーと外部のコラボレーターがすでに 2 要素認証を使用しているかどうかを確認できます。 詳しくは、「組織内のユーザが 2 要素認証を有効にしているかどうかを表示する」をご覧ください。

Organization で 2 要素認証を要求する

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. 組織をクリックして選択します。

  3. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  4. サイドバーの [Security] セクションで、[ Authentication security] をクリックします。

  5. [2 要素認証] の下で、 [Organization 内のすべてのユーザーに 2 要素認証を要求する] を選び、 [保存] をクリックします。

  6. 求められた場合には、Organization から削除するメンバーおよび外部コラボレーターに関する情報を読んでください。

  7. 変更を確定するには、[Confirm] をクリックします。

  8. 外部コラボレーターが organization から削除された場合は、その外部コラボレーターに招待状を送信して、organization に対する元の権限とアクセス権を復帰できるようにすることをおすすめします。 招待を受諾できるためには、まず 2 要素認証が有効でなければなりません。

貴社の組織内で安全な方法を用いた2要素認証を必須とする

2 要素認証を必須にすることに加えて、organization メンバー、支払いマネージャー、外部コラボレーターにセキュリティで保護された方法の 2FA を使うことを必須にできます。 セキュリティで保護された 2 要素メソッドは、パスキー、セキュリティ キー、認証アプリ、GitHub モバイル アプリです。 2FA のセキュリティ保護された方法を構成していないユーザー、またはセキュリティ保護されていない方法 (SMS など) を構成しているユーザーは、organization のリソースにアクセスできなくなります。

セキュリティで保護された 2 要素認証の方法を義務化する前に、organization のメンバー、外部コラボレーター、支払いマネージャーに通知して、各自に自分のアカウントで 2FA をセットアップしてもらうことをお勧めします。 各 organization の [People] ページで、メンバーと外部コラボレーターが既にセキュリティで保護された方法の 2FA を使っているかどうかを確認できます。 詳しくは、「組織内のユーザが 2 要素認証を有効にしているかどうかを表示する」をご覧ください。

  1. [Two-factor authentication] で、[Require two-factor authentication for everyone in your organization][Only allow secure two-factor methods] をオンにして、[Save] をクリックします。
  2. メッセージが表示されたら、セキュリティで保護された方法の 2FA を必須にすることによって organization リソースへのユーザー アクセスがどのような影響を受けるかについての情報を確認します。 変更を確定するには、[Confirm] をクリックします。
  3. 必要に応じて、外部コラボレーターが organization から削除されている場合は、元の特権とアクセス権を回復するための招待状を送信することをお勧めします。 これらのユーザーが招待状を受け取ることができるようにするには、まず各ユーザーがセキュリティで保護された方法により 2FA を有効にする必要があります。

あなたの組織から削除された人々を表示する

2 要素認証が必要なときに、コンプライアンス違反のために組織から自動的に削除されたユーザーを表示するには、組織から削除されたユーザーの組織の監査ログを検索できます。 Audit log イベントでは、削除された理由が 2 要素認証義務に従わなかったことなのかどうかが示されます。 詳しくは、「あなたの組織の監査ログを確認する」をご覧ください。

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. 組織をクリックして選択します。

  3. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  4. サイドバーの [Archive] セクションで、[ Logs] をクリックしてから、[Audit log] をクリックします。

  5. 検索クエリを入力します。 削除された外部コラボレーターを検索するには、検索クエリで action:org.remove_outside_collaborator を使います

また、検索で時間枠を使用して、組織から削除されたユーザーを表示することもできます。

削除された外部コラボレーターが organization に復帰できるようにする

2 要素認証の使用義務を有効にしている場合に、外部コラボレーターが organization から削除されると、その外部コラボレーターには自分が削除されたことを知らせるメールが届きます。 その後、彼らは個人アカウントで2FAを有効にして、組織のオーナーに連絡し、あなたの組織へのアクセスを求める必要があります。

参考資料