Finのワークスペースを安全に保つために、チームメンバー向けにいくつかの認証オプションを提供しています。これらの方法は不正アクセスを防ぎ、フィッシング攻撃のリスクを減らし、チームのサインイン方法をより良く管理できます。
次の設定が可能です:
Google Sign-In — チームメンバーがGoogle Workspaceアカウントでログインできるようにします
二要素認証(2FA) — サインイン時に2段階目の認証を必須にします
SAML Single Sign-On (SSO) — IDプロバイダーによる認証を強制します(Enterprise限定)
始めましょう
設定 > セキュリティ > ワークスペースに移動し、「認証方法」から希望のオプションを選択してください。
方法 | 利用可能性 | 強制 | セキュリティ |
メール&パスワード | すべてのプラン | 該当なし | ❌ 低い |
メール&パスワード+2FA | すべてのプラン | 強制可能 | ✅ 改善された |
Googleサインインを必須にする | すべてのプラン | 強制可能 | ✅ 強力 |
SAMLを必須にする | 強制可能 | ✅ 強力 |
注意:
これを有効にするには、一般設定およびセキュリティ設定にアクセスするための権限が必要です。
Google SSOまたはSAMLを必須にしたら、メールとパスワードのログインを無効にしてください。
メールとパスワードのログインをオフにする
メールとパスワードのログインをオフにすることを強く推奨します。パスワードは攻撃者の最も一般的な侵入口です。フィッシング、使い回し、弱いセキュリティ慣行に弱いです。SSOおよび/またはGoogle Sign-Inと2FAを使用して、ワークスペースの保護を強化しましょう。
メールとパスワードのログインを無効にするには、設定 > セキュリティ > 認証方法で該当のトグルをオフにしてください。
1. 二要素認証(2FA)
ユーザーがメールとパスワードでログインする必要がある場合、二要素認証で追加のセキュリティ層を追加できます。チームメンバーはログイン時にGoogle AuthenticatorやAuthyなどの認証アプリから一意のコードを入力します。
ワークスペース全体で強制可能
各チームメンバーが自分のデバイスを設定
ワークスペースでこれを有効にした際に、まだ二要素認証を設定していないチームメンバーは次回ログイン時に設定を促されます。
2. Google Sign-In
チームメンバーがGoogle Workspaceアカウントでログインできるようにします。
セキュリティ設定から簡単に有効化可能
オプションのdomain制限(例:
@example.comのusersのみ)
3. SAML SSO
チームがOkta、Azure AD、OneLoginなどのIDプロバイダー経由でログインできるようにします。
Just-in-Time(JIT)プロビジョニングとSCIMをサポート
DNS domainの検証とIdP設定が必要
ヒント: Fin ワークスペースを Okta や OneLogin のようなアイデンティティプロバイダーと統合することは、チームがログインするための最も安全で簡単な方法です。
この記事の手順に従ってアイデンティティプロバイダーを設定し、すべてのチームメンバーに SAML SSO(シングルサインオン)を必須にするか、サインインオプションの一つとして提供してください。
ログイン保護と通知
Fin ワークスペースはログイン活動を継続的に監視し、チームメンバーのアカウントを自動的に保護します。チームメンバーのアカウントで疑わしいメール/パスワードログインを検出した場合、ログイン完了前にメール認証を強制します。これには以下が含まれます:
インテリジェントログイン&セッション保護: 異常なログインパターンに対する追加認証と不正利用防止の高度な対策。
セキュリティ通知: 潜在的なセキュリティイベントに関するタイムリーなアラート。
チームメンバーはこのような認証メールを受け取り、続行する前に一意の認証トークンを入力する必要があります。
チームメンバーのオプション
個人の Fin アカウントで 2FA を有効にする
所属するワークスペースの設定とは別に、自分の Fin アカウントで 2FA を有効にできます。設定 > アカウントセキュリティの二要素認証(2FA)セクションから行えます。
認証アプリのセットアップにはQRコードベースのシステムを使用しています。Fin ワークスペースは Google Authenticator や Authy などの一般的な認証アプリに対応しています。
2FA を有効にしているチームメンバーは、設定 > アカウントセキュリティから個別のリカバリーコードをダウンロードしてください。有効になっていれば、コードをダウンロードするリンクが表示されます。
重要: リカバリーコードを生成し、安全に保存して、アカウントにアクセスできなくなるリスクを避けてください。
リカバリーコードは、認証アプリの問題やデバイスへのアクセスを失った場合に特に役立ちます。リカバリーコードがない、または機能しない場合は、登録済みのメールに新しいコードをリクエストできます。このコードを使ってログインし、設定 > アカウントセキュリティで 2FA を無効にして再度有効にすることで 2FA 接続をリセットしてください。
注意: Google サインオンでアカウントを作成した場合、パスワードを設定しない限り 2FA 設定オプションは表示されません。ログインページの「パスワードをお忘れですか?」リンクからパスワードリセットを行い、アクセスを回復した後にアカウント設定で 2FA を設定または無効にしてください。
認証アプリを新しいデバイスに移行する方法
新しいデバイスに移行するには、2FA を一度無効にしてから再度有効にする必要があります。以下の手順に従ってください:
設定 > アカウントセキュリティに移動します。
「二要素認証(2FA)」の「2FAを有効にする」をオフに切り替えます。
2FA を無効にした後、新しい電話でセットアップするために再度オンに切り替えます。
新しい電話の認証アプリで、コンピューター画面に表示された QR コードをスキャンします。
トラブルシューティング
よくある 2FA の問題
認証アプリのコードが機能しない場合は、以下の対策を試してください:
デバイス設定とアプリの同期:
モバイルデバイスの日時設定を「自動設定」にしていることを確認してください。ずれがあるとコードが失敗することがあります。
モバイルデバイスを再起動して、認証アプリの時間設定を再同期してください。
アプリの再設定:
設定 > アカウントセキュリティで 2FA を無効にして再度有効にし、認証アプリで新しい QR コードをスキャンして 2FA 接続をリセットしてください。
可能であれば、バックアップとして別の認証アプリを使用してください。
2FA デバイスを紛失したチームメンバーの支援
2FA の問題でアカウントにアクセスできなくなった場合、Fin ワークスペースで「フルアクセス」権限を持つチームメンバーが支援できます。
リカバリーコードが機能しない場合、管理者はログイン失敗回数をリセットし、新しいリカバリーコードを発行できます。チームメンバーに 2FA 設定のリセットと再設定を促し、今後の問題を防いでください。手順は以下の通りです:
チームメンバーの支援を依頼する:
チームメンバーに設定 > チームメンバーに移動してもらいます。
リカバリーコードの生成と送信:
チームメンバーにあなたのアカウントの隣にある「2FA リカバリー」ボタンをクリックしてもらいます。
リカバリーコードが登録済みのメールアドレスに送信されます。
リカバリーコードの使用:
2FA ログインページでリカバリーコードを入力を選択します。
メールのコードを入力してアカウントへのアクセスを回復します。
リカバリー後の対応
アカウントへのアクセスを回復した後も 2FA は有効のままです。今後のトラブルを防ぐために、以下の手順を実行してください:
設定 > アカウントセキュリティに移動します。
必要に応じて、2FA を一時的に無効にするために設定からオフに切り替えます。
2FA を再度有効にし、新しいまたは既存のデバイスで認証アプリを使ってセットアップして、セキュリティを維持してください。バックアップ用に追加のリカバリーコードをアカウント設定からダウンロードしておくことをおすすめします。
今後スムーズにアカウントにアクセスできるようにするための予防策:
初期設定後は必ずリカバリーコードを安全に保管してください。
可能な場合は複数のデバイスを2FA設定にペアリングしてください。
デバイスや設定の変更に応じて、2FA設定を定期的に更新してください。
認証コードの問題を解決する
認証コードに問題がある場合は、以下の手順に従ってください:
遅延した認証コード:有効期限が切れていなければ、最新のコードを使用してください。期限切れの場合は新しいコードをリクエストし、すぐに使用してください。
モバイルアプリでコードが機能しない場合:最新のコードを入力し、モバイルデバイスの日時設定を正しく調整して不一致を防いでください。アプリを再起動して再度コードを試してください。
認証アプリのエラー:アプリで生成された認証コードが繰り返し拒否される場合は、アプリの再設定や別のアプリへの切り替えを検討してください。- メール設定の確認:Intercomからのメールが迷惑メール、ジャンク、プロモーションフォルダに振り分けられていないか確認してください。
デバイスの時間が正しいことを確認:モバイルアプリを使用している場合は、デバイスの日時設定を「自動設定」にしてください。アプリを再起動して再度試してください。
SSOエラー
次のエラーメッセージが表示された場合:
「このワークスペースにはあなたのメールアドレスでの有効な招待が存在しません。招待は送信された正確なメールアドレスでのみ利用可能です。正しいメールアドレスを使っていると思われる場合は、管理者に連絡してください。」
SSOトークン(Google SSOログインごとに固有のID)に混乱が生じている可能性があります。これは会社がメールアドレスのdomainを最近変更した場合に起こります。
例えば、メールアドレスをexample@olddomain.comからexample@newdomain.comに変更する場合です。
Finのワークスペースでは、SSOトークンはまだ古いメールに紐づいており、新しい招待でGoogle SSOログインを試みると、古いdomainにリンクされたままです。これにより「招待は送信された正確なメールアドレスでのみ利用可能です。」というエラーが発生します。
この問題を解決するには、サポートチームに連絡して古いメールアドレスからSSOトークンのリンクを解除してもらい、更新したメールアドレスでGoogle SSOを使用できるようにしてください。
Googleアカウントのメールアドレス更新
既存のGoogleアカウントのメールアドレスを更新する場合、問題はありません。FinのワークスペースのチームメンバーはGoogleアカウントIDで紐づけられています。
問題が発生した場合は、メールとパスワードでアクセス可能です(ワークスペースがメール/パスワードログインを許可している場合)。なお、チームメンバーはGoogle SSOで招待を利用したためパスワードを設定していない可能性があります。その場合はFinのワークスペースからログアウトし、ログインページでパスワードをリセットしてください。