Enterprise でのセキュリティ設定のポリシーについて
ポリシーを適用して、GitHub Enterprise Server で Enterprise が所有する Organization のセキュリティ設定を制御できます。 既定では、Organization の所有者はセキュリティ設定を管理できます。
Enterprise で Organization に対して 2 要素認証を必須にする
お使いの GitHub Enterprise Server インスタンス で LDAP 認証または組み込み認証が使われている場合、Enterprise 所有者は、Enterprise が所有するすべての organization の organization メンバー、支払いマネージャー、外部コラボレーターに対して、ユーザー アカウントをセキュリティで保護するために 2 要素認証を使うことを要求できます。
Enterprise が所有するすべての organization で 2 要素認証を必須にする前に、所有者自身のアカウントの 2FA を有効にする必要があります。 詳しくは、「2 要素認証でアカウントを保護する」をご覧ください。
2 要素認証の使用を義務化する前に、Organization のメンバー、外部コラボレーター、支払いマネージャーに通知をして、各自に自分のアカウントで 2 要素認証をセットアップしてもらってください。 Organization の所有者は、メンバーと外部コラボレーターが既に 2FA を使用しているかどうかを、各 organization の [People] ページで確認できます。 詳しくは、「組織内のユーザが 2 要素認証を有効にしているかどうかを表示する」をご覧ください。
2 要素認証コードの確認には、クライアントのデバイスとサーバーの両方で正確な時刻が必要です。 サイト管理者は、設定した時刻同期が正確であることを確認する必要があります。 詳しくは、「時間の同期を構成する」をご覧ください。
Warning
- Enterprise で 2 要素認証を必須にすると、Enterprise が所有するすべての organization に属する外部コラボレーター (ボットアカウントを含む) のうち、2FA を使っていないものは、organization から削除され、そのリポジトリにアクセスできなくなります。 Organization のプライベートリポジトリのフォークへのアクセスも失います。 ユーザーが、organization から削除されてから 3 か月以内にアカウントで 2FA を有効にすれば、そのユーザーのアクセス特権と設定を復元することができます。 詳しくは、「組織の以前のメンバーの回復」をご覧ください。
- 2 要素認証の必須要件を有効にすると、その Enterprise アカウントが所有するすべての外部コラボレーターのうち、アカウントの 2FA を無効にしているものは、organization から自動的に削除されます。 2FA を無効にしたメンバーと支払いマネージャーは、再度有効にするまで organization リソースにアクセスできなくなります。
- 2 要素認証を必須にしている Enterprise で自分が唯一の所有者である場合、Enterprise で必須になっている 2FA を無効にしない限り、自分のユーザー アカウントの 2FA を無効にすることはできません。
-
GitHub Enterprise Server の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
[設定] で、 [認証セキュリティ] をクリックします。
-
[Two-factor authentication] で、設定変更に関する情報を確認します。 必要に応じて、設定を変更する前に Enterprise アカウントのすべての Organization の現在の構成を確認するには、 [Organization の現在の構成を表示する] をクリックします。
-
[Two-factor authentication] で、[Require two-factor authentication for the enterprise and all of its organizations] をオンにして、[Save] をクリックします。
-
メッセージが表示されたら、organization リソースへのユーザー アクセスが 2FA 要件によってどのような影響を受けるかについての情報を確認します。 変更を確定するには、[Confirm] をクリックします。
-
Enterprise によって所有される organization から削除される外部コラボレーターがいる場合、organization に対する元の特権とアクセス権を復元するための招待状を、それらのユーザーに送信することをお勧めします。 それらのユーザーが招待状を受け取ることができるようにするには、まず各ユーザーが 2FA を有効にする必要があります。
Enterprise の SSH 証明機関を管理する
SSH 証明機関 (CA) を使用して、Enterprise が所有するすべての Organization のメンバーに、指定した SSH 証明書を使用してその Organization のリポジトリにアクセスすることを許可できます。 SSHがリポジトリで無効になっていなければ、Organizationのリソースにメンバーがアクセスする際に、SSH証明書を使わなければならないようにすることができます。詳細については、「SSH認証局について」を参照してください。
各クライアント証明書を発行する際には、その証明書がどのGitHub Enterprise Serverユーザー用かを示すエクステンションを含める必要があります。 詳しくは、「SSH認証局について」を参照してください。
SSH認証局を追加する
Enterprise に SSH 証明書が必要な場合、Enterprise メンバーは SSH 経由の Git 操作に特別な URL を使用する必要があります。 詳しくは、「SSH認証局について」をご覧ください。
各証明機関は、GitHub Enterprise Server 上の 1 個のアカウントにのみアップロードできます。 SSH 証明機関が Organization または Enterprise アカウントに追加されている場合、GitHub Enterprise Server 上の別の Organization または Enterprise アカウントに同じ証明機関を追加することはできません。
1 つの証明機関を Enterprise に追加し、もう 1 つの証明機関を Enterprise 内の Organization に追加する場合は、いずれかの証明機関を使用して Organization のリポジトリにアクセスできます。
-
GitHub Enterprise Server の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
[設定] で、 [認証セキュリティ] をクリックします。
-
[SSH 認証局] の右側にある [新しい CA] をクリックします。
-
"Key(キー)"の下で、公開SSHキーを貼り付けてください。
-
[CA の追加] をクリックします。
-
必要に応じて、メンバーに SSH 証明書の使用を要求するには、 [SSH 証明書を要求する] を選択し、 [保存] をクリックします。
Note
SSH 証明書を必要とすると、ユーザーは HTTPS 経由で、または未署名の SSH キーを使って organization のリポジトリにアクセスするための認証を、行うことができなくなります。
その要件は承認された GitHub Apps (ユーザーからサーバーへのトークンを含む)、またはデプロイ キーや GitHub エコシステム内の信頼された環境である GitHub Actions などの GitHub 機能には適用されません。
SSH認証局を削除する
CAを削除すると、元に戻すことはできません。 同じCAを使用したくなった場合には、そのCAを再びアップロードする必要があります。
-
GitHub Enterprise Server の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
[設定] で、 [認証セキュリティ] をクリックします。
-
[SSH 認証局] で、削除する CA の右側にある [削除] をクリックします。
-
警告を読み、 [わかりました。この CA を削除してください] をクリックします。
では、期限切れでない証明書の使用が許可されます。 新しい CA に有効期限切れが必要になった理由の詳細については、「SSH認証局について」を参照してください。 既存の CA をアップグレードして、有効期限が切れていない証明書を発行できないようにすることができます。 最適なセキュリティを確保するために、期限切れでない証明書に依存していないことを検証したら、すべての CA をアップグレードすることを強くお勧めします。
-
GitHub Enterprise Server の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
[設定] で、 [認証セキュリティ] をクリックします。
-
「SSH 証明機関」で、アップグレードする CA の右側にある [アップグレード] をクリックします。
-
警告を読み取ったら、[アップグレード] をクリックします。
CA をアップグレードすると、その CA によって署名された有効期限が切れていない証明書は拒否されます。