Organization で 2 要素認証を要求する

Organization のオーナーは、Organization のメンバー、外部コラボレーター、支払いマネージャーに、それぞれの個人アカウントに対する 2 要素認証の有効化を要求することで、悪意のあるアクターが Organization のリポジトリや設定にアクセスしにくくすることができます。

この機能を使用できるユーザーについて

Requiring two-factor authentication is available to organizations on a GitHub Free or GitHub Team plan, as well as organizations on GitHub Enterprise Cloud or GitHub Enterprise Server. With GitHub Enterprise Cloud, this feature is unavailable for organizations in an マネージド ユーザーを含む Enterprise.

この記事の内容

注: 2023 年 3 月より、GitHub では、GitHub.com でコードを投稿するすべてのユーザーに、1 つ以上の形式の 2 要素認証 (2FA) を有効にすることが求められます。 該当するグループに属しているユーザーは、そのグループが登録対象として選択されると通知メールを受け取り、45 日間の 2FA 登録期間が開始されて、GitHub.com での 2FA への登録を求めるバナーが表示されます。 通知を受け取らないユーザーは、2FA を有効にする必要があるグループには含まれませんが、有効にすることを強くお勧めします。

2FA 登録のロールアウトについて詳しくは、こちらのブログ記事をご覧ください。

Organization の2 要素認証について

2 要素認証(2FA) は、Web サイトあるいはアプリケーションにログインする際に使われる追加のセキュリティレイヤーです。 組織ですべてのメンバー、外部コラボレーター、支払いマネージャーに、GitHub Enterprise Cloud で 2 要素認証を有効にすることを必須にできます。 2 要素認証について詳しくは、「2 要素認証でアカウントを保護する」をご覧ください。

Enterprise で Organization の 2 要素認証を必須にすることもできます。 詳しくは、「Enterprise でセキュリティ設定のポリシーを適用する」を参照してください。

: 組織内の一部のユーザーは、GitHub による必須の 2 要素認証登録に選択されている可能性がありますが、組織に対する 2FA の要件を有効にする方法には影響しません。 組織で 2FA の要件を有効にした場合、現在 2FA が有効になっていないすべてのユーザーは、GitHub で有効にする必要があるユーザーも含めて、組織から削除されます。

警告:

  • 組織、メンバー、外部コラボレーター、支払いマネージャーに対して 2 要素認証の使用を必須にする場合、2FA を使用しないユーザーは組織から削除され、そのリポジトリへのアクセス権を失います。 Organization のプライベートリポジトリのフォークへのアクセスも失います。 組織から削除されてから 3 か月以内に、自分の個人用アカウントで 2 要素認証を有効にすれば、そのユーザーのアクセス特権および設定を復元できます。 詳しくは、「組織の以前のメンバーの回復」を参照してください。
  • また、ボットやサービス アカウントなど、自動または共有アクセス アカウントに対して 2FA を有効にする必要もあります。 必須の 2 要素認証を有効にした後にこれらの自動アカウントに対して 2FA を構成しないと、そのアカウントは組織から削除され、リポジトリにアクセスできなくなります。 詳しくは、「2 要素認証を使用したボットとサービス アカウントの管理」を参照してください。
  • 必須の 2 要素認証を有効にした後に、組織の所有者、メンバー、支払いマネージャー、または外部コラボレーターがそれぞれの個人用アカウントで 2 要素認証を無効にすると、それらは組織から自動的に削除されます。
  • あなたが、2 要素認証を義務付けている Organization の唯一のオーナーである場合、その Organization での 2 要素認証義務を無効にしなければ、あなたの個人アカウントの 2 要素認証を無効にすることはできません。

前提条件

組織のメンバー、外部コラボレーター、支払いマネージャーが 2 要素認証を使用することを必須にする前に、GitHub Enterprise Cloud で自分のアカウントの 2 要素認証を有効にする必要があります。 詳しくは、「2 要素認証でアカウントを保護する」を参照してください。

2 要素認証の使用を必須にする前に、組織のメンバー、外部コラボレーター、支払いマネージャーに知らせて、それぞれのアカウントで 2 要素認証を設定するように依頼することをお勧めします。 メンバーと外部のコラボレーターがすでに 2 要素認証を使用しているかどうかを確認できます。 詳しくは、「組織内のユーザが 2 要素認証を有効にしているかどうかを表示する」を参照してください。

Organization で 2 要素認証を要求する

  1. GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。

  2. 組織の隣の [設定] をクリックします。

  3. サイドバーの [セキュリティ] セクションで、 [認証セキュリティ] をクリックします。

  4. [2 要素認証] の下で、 [Organization 内のすべてのユーザーに 2 要素認証を要求する] を選び、 [保存] をクリックします。

  5. 求められた場合には、Organization から削除するメンバーおよび外部コラボレーターに関する情報を読んでください。

  6. テキスト フィールドに組織の名前を入力して変更を確認し、 [メンバーを削除して 2 要素認証を必須にする] をクリックします。

  7. Organization から削除されるメンバーまたは外部コラボレーターが存在する場合、彼らに招待状を送信して、元の権限と Organization へのアクセス権を復元できるようにすることをおすすめします。 招待を受諾できるためには、まず 2 要素認証が有効でなければなりません。

Organization から削除された人々を表示する

2 要素認証が必要なときに、コンプライアンス違反のために組織から自動的に削除されたユーザーを表示するには、組織から削除されたユーザーの組織の監査ログを検索できます。 Audit log イベントでは、削除された理由が 2 要素認証義務に従わなかったことなのかどうかが示されます。 詳しくは、「Organization の Audit log をレビューする」を参照してください。

  1. GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
  2. 組織の隣の [設定] をクリックします。
  3. サイドバーの [アーカイブ] セクションで、 [ログ] をクリックしてから、[監査ログ] をクリックします。
  4. 検索クエリを入力します。 以下のように検索します:
    • 削除された組織のメンバーについては、検索クエリで action:org.remove_member を使用します
    • 削除された外部コラボレーターについては、検索クエリで action:org.remove_outside_collaborator を使用します
    • 削除された支払いマネージャーについては、検索クエリで action:org.remove_billing_manager を使用します

また、検索で時間枠を使用して、組織から削除されたユーザーを表示することもできます。

削除されたメンバーと外部コラボレーターを Organization に復帰できるようにする

2要素認証の利用の要求を有効化したときにOrganizationから削除されたメンバーあるいは外部のコラボレータがいれば、その人たちには削除されたことを知らせるメールが届きます。 そうなった場合には、彼らは個人アカウントで2FAを有効化し、OrganizationのオーナーにOrganizationへのアクセスを求めなければなりません。

参考資料