ナビゲーションをスキップする
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. セットアップ
  4. Cylance Endpoint Security セットアップガイド
  5. ユーザーとデバイスの追加
  6. 認証方法の追加

認証方法の追加

認証ポリシーに追加できるように、認証方法を追加します。認証では、認証方式を 1 つ定義するのが一般的です。たとえば、パスワード(
Cylance
 コンソールパスワードなど)や、
Active Directory
Okta
Ping Identity
 のような、サードパーティに接続して行う認証などが挙げられます。認証方法を認証ポリシーに追加して、管理者が
Cylance
 コンソールにサインインするために完了する必要がある認証のタイプと、ユーザーが
Cylance Endpoint Security
 アプリまたはエージェント(
CylancePROTECT Mobile
 アプリ、
CylanceGATEWAY
 など)をアクティブ化するために完了する必要がある認証のタイプを指定します。1 つの認証ポリシーに複数の認証方法を組み合わせて設定することで、複数ステップの認証を実現できます。たとえば、エンタープライズ認証とワンタイムパスワードのプロンプトを組み合わせたポリシーを設定すると、仕事用または
Cylance
 コンソールパスワードと、ワンタイムパスワードの両方による認証をユーザーに要求できます。
SAML 認証を追加する場合、IDP に対する署名証明書のコピーをダウンロードします。
  1. メニューバーで
    [設定] > [認証]
    をクリックします。
  2. [認証方法を追加]
    をクリックします。
  3. [認証方法のタイプ]
    ドロップダウンリストで、次のいずれかの認証方法を選択します。
    項目
    説明
    Entra
     (SAML)
    ユーザーに自分の
    Entra
     資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。コードは、テナント内のユーザーに紐づけられているメールアドレスに送信されます。
    3. [ログイン要求 URL]
      フィールドに、ID プロバイダーのアプリ登録シングルサインオン設定で指定されているログイン URL を入力します。たとえば、
      Entra
       Portal で、[エンタープライズアプリケーション] > [CylancePROTECT アプリケーション] > [プロパティ] > [シングルサインオン設定] > [ログイン URL]に移動します。
    4. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    5. [SP エンティティ ID]
      フィールドに、
      Entra
       の SAML 設定で使用する
      ID(エンティティ ID)
      を入力します。これは必須フィールドです。また、入力する値は
      Entra
       の ID(エンティティ ID)と一致する必要があります。
    6. 他のオプション設定を指定します。
    7. [保存]
      をクリックします。
    カスタム(SAML)
    ユーザーにカスタムの資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    3. [ログイン要求 URL]
      フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    4. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    5. 他のオプション設定を指定します。
    6. [保存]
      をクリックします。
    Cylance 管理者パスワード
    ユーザーに自分の
    Cylance
     コンソールの資格情報を入力させる場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    認証を拒否
    認証ポリシーを使用して、ユーザーやユーザーグループが
    Cylance
     コンソールなどのサービスにアクセスできないようにする場合は、このオプションを選択します。ポリシー例外やアプリケーション例外を新たに追加すると、ユーザーのサブセットへのアクセスを許可できるようになります。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    Duo
     MFA
    ユーザーに
    Duo
     多要素認証を使用して認証させる場合は、このオプションを選択します。
    Duo
     を認証方法として追加する前に、認証 API アプリケーションを作成する必要があります。手順については、
    Duo
     の情報を参照してください
    次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [Duo MFA の設定]
      セクションで、API のホスト名、インテグレーションキー、およびシークレットキーを入力します。この情報は、組織の
      Duo
       アカウントの[アプリケーション]タブで確認できます。詳細については、Duo のマニュアルを参照してください。
    エンタープライズ
    ユーザーに
    Active Directory
    、LDAP、または
    my
    Account
     の資格情報を使用して認証させる場合は、このオプションを選択します。ユーザーが使用する資格情報は、コンソールのユーザーアカウントのソースとなるアカウントタイプによって異なります。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    FIDO
    ユーザーに
    FIDO2
     デバイスを登録してもらい、ID を確認できるようにする場合は、このオプションを選択します。サポートされるデバイスタイプには、スマートフォン、USB セキュリティキー、
    Windows Hello
     があります。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    FIDO
     が第 1 認証要素の場合は、ユーザーがデバイスの初回登録を行うときに、サインインで使用するメールアドレスにワンタイムパスワードが送信されます。
    FIDO
    がポリシーの第 2 認証要素として使用される場合は、ユーザーがデバイスの初回登録を行うときでもワンタイムパスワードは要求されません。
    ユーザーアカウントから登録済みデバイスを削除する方法については、管理関連の資料の「ユーザーアカウントから登録済みの
    FIDO
     デバイスを削除する    」を参照してください。
    統合されたディレクトリ(
    Active Directory
    /
    Entra ID
    /LDAP)
    ユーザーに
    Active Directory
     パスワードを入力させる場合は、このオプションを選択します。このオプションを選択する場合は、
    Cylance Endpoint Security
     テナントが会社のディレクトリのインスタンスと接続している必要があります。詳細については、「会社のディレクトリへのリンク」を参照してください。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    IPアドレス
    IP アドレスに基づいてユーザーのアクセスを制限する場合は、このオプションを選択します。IP アドレス認証を複数作成すると、異なるグループのアクセスを管理できるようになりますが、1 つのポリシーには、1 つの IP アドレス認証しか割り当てることができません。
    1. 認証方法の名前を入力します。
    2. [IP アドレス範囲]
      フィールドで、IP アドレス、IP 範囲、CIDR を 1 つ以上指定します。エントリはカンマで区切ります。
    3. [保存]
      をクリックします。
    ローカルアカウント
    ユーザーに自分の
    BlackBerry Online Account
    my
    Account
    )資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]
      をクリックします。
    Okta
     MFA
    ユーザーに
    Okta
     を使用して認証させる場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [Okta MFA の設定]
      セクションで、認証 API キーと認証ドメインを入力します。
    3. [保存]
      をクリックします。
    Okta
     (OIDC)
    ユーザーに
    Okta
     を使用して認証させる場合は、このオプションを選択します。次の手順に従います。
    1. Okta
       のドロップダウンリストで、
      [OIDC]
      を選択します。
    2. 認証方法の名前を入力します。
    3. [アイデンティティプロバイダクライアント]
      セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
    4. [保存]
      をクリックします。
    Okta
     (SAML)
    ユーザーに自分の
    Okta
     資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。
    1. Okta
       のドロップダウンリストで、
      [SAML]
      を選択します。
    2. 認証方法の名前を入力します。
    3. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    4. [ログイン要求 URL]
      フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    5. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    6. 他のオプション設定を指定します。
    7. [保存]
      をクリックします。
    OneLogin
     (OIDC)
    ユーザーに
    OneLogin
     を使用して認証させる場合は、このオプションを選択します。次の手順に従います。
    1. OneLogin
       のドロップダウンリストで、
      [OIDC]
      を選択します。
    2. 認証方法の名前を入力します。
    3. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    4. [OneLogin の設定]
      セクションで、OIDC 検出ドキュメントの URL、クライアント ID、クライアントシークレット、および認証方法を入力します。
    5. [保存]
      をクリックします。
    OneLogin
     (SAML)
    ユーザーに自分の
    OneLogin
     資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    3. [ログイン要求 URL]
      フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    4. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    5. 他のオプション設定を指定します。
    6. [保存]
      をクリックします。
    ワンタイムパスワード
    ユーザーに、別のタイプの認証に加えてワンタイムパスワードの入力も要求する場合は、このオプションを選択します。
    このオプションを選択した場合、認証ポリシーに別の認証を追加して、ワンタイムパスワードよりも高い位置付けにする必要があります。
    次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [ワンタイムパスワードの設定]
      セクションの最初のドロップダウンリストで、間隔を選択します。ウィンドウ内のあらゆるコードは、予期したコードから指定した更新間隔の数だけ前または後にある場合は有効です。更新間隔は 30 秒で、デフォルト設定は 1 です。
    3. [ワンタイムパスワードの設定]
       セクションの 2 つ目のドロップダウンリストでは、OTP アプリのセットアップをスキップして、コード入力なしで認証できる回数を指定します。
    Ping Identity
     (OIDC)
    Ping Identity
     を使用してユーザーに認証してもらう場合は、このオプションを選択します。手順は次のとおりです。
    1. [Ping]
      のドロップダウンリストで、
      [OIDC]
      を選択します。
    2. 認証方法の名前を入力します。
    3. [アイデンティティプロバイダクライアント]
      セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
    4. [ID トークンの署名アルゴリズム]
      のドロップダウンリストで、署名アルゴリズムを選択します。
    5. [保存]
      をクリックします。
    Ping Identity
     (SAML)
    ユーザーに自分の
    Ping Identity
     資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。
    1. [Ping]
      のドロップダウンリストで、
      [SAML]
      を選択します。
    2. 認証方法の名前を入力します。
    3. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、
      [検証が必要]
      をオンにします。
    4. [ログイン要求 URL]
      フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    5. [IDP 署名証明書]
      フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。
      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。
    6. 他のオプション設定を指定します。
    7. [保存]
      をクリックします。
  4. [保存]
    をクリックします。