Enterprise でセキュリティ設定のポリシーを適用する

Enterprise でのセキュリティ設定のポリシーについて

ポリシーを適用して、Enterprise が所有する organization のセキュリティの設定を制御できます。 既定では、Organization の所有者はセキュリティ設定を管理できます。

エンタープライズの組織に対して、2 要素認証を必須にする

お使いの GitHub Enterprise Server インスタンス で LDAP 認証または組み込み認証が使われている場合、Enterprise 所有者は、Enterprise が所有するすべての organization の organization メンバー、支払いマネージャー、外部コラボレーターに対して、ユーザー アカウントをセキュリティで保護するために 2 要素認証を使うことを要求できます。

Enterprise が所有するすべての organization で 2 要素認証を必須にする前に、所有者自身のアカウントの 2FA を有効にする必要があります。 詳しくは、「2 要素認証でアカウントを保護する」をご覧ください。

2 要素認証の使用を義務化する前に、Organization のメンバー、外部コラボレーター、支払いマネージャーに通知をして、各自に自分のアカウントで 2 要素認証をセットアップしてもらってください。 Organization の所有者は、メンバーと外部コラボレーターが既に 2FA を使用しているかどうかを、各 organization の [People] ページで確認できます。 詳しくは、「組織内のユーザが 2 要素認証を有効にしているかどうかを表示する」をご覧ください。

2 要素認証コードの確認には、クライアントのデバイスとサーバーの両方で正確な時刻が必要です。 サイト管理者は、設定した時刻同期が正確であることを確認する必要があります。 詳細については、「時間の同期を構成する」を参照してください。

1. GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。

2. ページの上部にある [ Settings] をクリックします。

3. [ Settings] の下にある [Authentication security] をクリックします。

4. [Two-factor authentication] で、設定変更に関する情報を確認します。 必要に応じて、設定を変更する前に Enterprise アカウントのすべての organization の現在の構成を確認するには、[ View your organizations' current configurations] をクリックします。

   

5. [Two-factor authentication] で、[Require two-factor authentication for the enterprise and all of its organizations] をオンにして、[Save] をクリックします。

6. メッセージが表示されたら、organization リソースへのユーザー アクセスが 2FA 要件によってどのような影響を受けるかについての情報を確認します。 変更を確定するには、[Confirm] をクリックします。

7. Enterprise で所有している Organization から削除される外部コラボレーターがいる場合、Organization への元の権限とアクセス権を復帰するための招待状を、それらのユーザーに送信することをお勧めします。 それらのユーザーが招待状を受け取ることができるようにするには、まず各ユーザーが 2FA を有効にする必要があります。

これらのステップを実行してください：

Enterprise の SSH 証明機関を管理する

SSH 証明機関 (CA) を使用して、Enterprise が所有するすべての Organization のメンバーに、指定した SSH 証明書を使用してその Organization のリポジトリにアクセスすることを許可できます。 Enterprise メンバーは、証明書を使用して個人所有のリポジトリにアクセスすることもできます。リポジトリで SSH が無効になっていない限り、メンバーが organization のリソースにアクセスする際に SSH 証明書を使うよう要求できます。詳細については、「SSH認証局について」を参照してください。

データの再利用可能コンポーネント。組織.証明書に拡張機能を追加する %}

SSH認証局を追加する

Enterprise に SSH 証明書が必要な場合、Enterprise メンバーは SSH 経由の Git 操作に特別な URL を使用する必要があります。 詳しくは、「SSH認証局について」をご覧ください。

各証明機関は、GitHub 上の 1 つのアカウントにのみアップロードできます。 SSH 証明機関が organization または Enterprise アカウントに追加されている場合、同じ証明機関を GitHub の別の organization または Enterprise アカウントに追加することはできません。

1 つの証明機関を Enterprise に追加し、もう 1 つの証明機関を Enterprise 内の Organization に追加する場合は、いずれかの証明機関を使用して Organization のリポジトリにアクセスできます。

1. GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。

2. ページの上部にある [ Settings] をクリックします。

3. [ Settings] の下にある [Authentication security] をクリックします。

4. [SSH 認証局] の右側にある [新しい CA] をクリックします。

5. "Key（キー）"の下で、公開SSHキーを貼り付けてください。

6. [CA の追加] をクリックします。

7. 必要に応じて、メンバーに SSH 証明書の使用を要求するには、 [SSH 証明書を要求する] を選択し、 [保存] をクリックします。

   メモ

   SSH 証明書を必要とすると、ユーザーは HTTPS 経由で、または未署名の SSH キーを使って organization のリポジトリにアクセスするための認証を、行うことができなくなります。

   この要件は、認可された GitHub Apps (ユーザーからサーバーへのトークンを含む)、配置キー、または GitHub 機能 (GitHub Actions など) には適用されません。これらは、GitHub エコシステム内の信頼された環境です。

ユーザー所有リポジトリへのアクセスの管理

SSH 証明書 を使用してユーザー所有のリポジトリへのアクセスを有効または無効にすることができます

1. GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
2. ページの上部にある [ Settings] をクリックします。
3. [ Settings] の下にある [Authentication security] をクリックします。
4. [SSH 証明機関] で、[ユーザー所有リポジトリにアクセス ] チェック ボックスを選択します。

SSH認証局を削除する

CAを削除すると、元に戻すことはできません。 同じCAを使用したくなった場合には、そのCAを再びアップロードする必要があります。

1. GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
2. ページの上部にある [ Settings] をクリックします。
3. [ Settings] の下にある [Authentication security] をクリックします。
4. [SSH 認証局] で、削除する CA の右側にある [削除] をクリックします。
5. 警告を読み、 [わかりました。この CA を削除してください] をクリックします。

SSH 証明機関のアップグレード

2024 年 3 月 27 日に先立って企業の 以前の

参考資料

• 「エンタープライズ IAM の SAML について」