ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

Enterprise アカウントでセキュリティ設定を強制する

Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization について、特定のセキュリティポリシーを施行できます。

Enterpriseアカウントは、GitHub Enterprise Cloud及びGitHub Enterprise Serverで利用できます。 詳しい情報については「Enterpriseアカウントについて」を参照してください。

ここには以下の内容があります:

Enterprise アカウントで Organization の 2 要素認証を必須にする

Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization で、Organization のメンバー、支払いマネージャー、外部コラボレーターに対して個人アカウントをセキュアに保つために 2 要素認証の使用を義務化できます。

自分の Enterprise アカウントが所有するすべての Organization で 2 要素認証を義務化する前に、自分のアカウントの 2 要素認証を有効化する必要があります。 詳細は「2 要素認証 (2FA) でアカウントを保護する」を参照してください。

警告:

  • Enterprise アカウントで 2 要素認証を義務化すると、自分の Enterprise アカウントが所有するすべての Organization 内の、2 要素認証を使わないメンバー、外部コラボレーター、支払いマネージャー (ボットアカウントを含む) は Organization から削除され、そのリポジトリにアクセスできなくなります。 Organization のプライベートリポジトリのフォークへのアクセスも失います。 Organization から削除されてから 3 か月以内に、削除されたユーザが自分の個人アカウントで 2 要素認証を有効にすれば、そのユーザのアクセス権限および設定を復元できます。 詳しい情報については、「Organization の以前のメンバーを回復する」を参照してください。
  • 義務付けられた 2 要素認証を有効にした後に、自分の Enterprise アカウントが所有するすべての Organization では、Organization のオーナー、メンバー、支払いマネージャー、または外部コラボレーターがそれぞれの個人アカウントに対して 2 要素認証を無効にすると、それらは Organization から自動的に削除されます。
  • あなたが、2 要素認証を義務付けている Enterprise アカウントの唯一のオーナーである場合、Enterprise アカウントに義務付けられた 2 要素認証を無効にしなければ、個人アカウントの 2 要素認証を無効にすることはできません。

2 要素認証の使用を義務化する前に、Organization のメンバー、外部コラボレーター、支払いマネージャーに通知をして、各自に自分のアカウントで 2 要素認証をセットアップしてもらってください。 Organization のオーナーは、メンバーと外部コラボレーターがすでに 2 要素認証を使用しているかどうかを、各 Organization の [People] ページで確認できます。 詳細は「Organization 内のユーザが 2 要素認証を有効にしているか確認する」を参照してください。

  1. https://github.com/enterprises/ENTERPRISE-NAMEにアクセスして、Enterprise アカウントに移動します。ENTERPRISE-NAMEはあなたの Enterprise アカウント名に置き換えてください。
  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  4. [Two-factor authentication] で、設定変更に関する情報を確認します。 あるいは、設定を強制する前にEnterpriseアカウント内のすべてのOrganizationの現在の設定を見たいなら、 View your organizations' current configurations(Organizationの現在の設定の表示)をクリックしてください。
    ビジネス内のOrganizationの現在のポリシー設定を表示するリンク
  5. [Two-factor authentication] で、[Require two-factor authentication for all organizations in your business] を選択し、[Save] をクリックします。
    2 要素認証を義務化するチェックボックス
  6. 求められた場合には、自分の Enterprise アカウントが所有する Organization から削除するメンバーおよび外部コラボレーターに関する情報を読んでください。 変更を確定するには、自分の Enterprise アカウントの名前を入力し、[Remove members & require two-factor authentication] をクリックします。
    2 要素の施行の確定ボックス
  7. または、自分の Enterprise アカウント が所有する Organization から削除されるメンバーまたは外部コラボレーターが存在する場合、彼らに招待状を送信して、元の権限と Organization へのアクセス権を復元できるようにすることをおすすめします。 彼らが招待状を受け取ることができるようにするには、まず各ユーザーが 2 要素認証を有効にする必要があります。

Enterprise アカウントで Organization に対する許可 IP アドレスを管理する

Enterprise のオーナーは、特定の IP アドレスに対する許可リストを設定することで、Enterprise アカウントの Organization が所有するアセットへのアクセスを制限できます。 たとえば、自分のオフィスのネットワークのIPアドレスからのアクセスのみを許可できます。 IPアドレスの許可リストは、許可リストに無いIPアドレスからのWeb、API、Gitのアクセスをブロックします。

CIDR表記を使って、単一のIPアドレスもしくはアドレスの範囲に対してアクセスを承認できます。 詳しい情報についてはWikipediaの「CIDR表記」を参照してください。

IP許可リストを強制するには、まずIPアドレスをリストに追加し、それからIP許可リストを有効化しなければなりません。 IP 許可リストを有効にするには、現在の IP アドレスまたは一致する範囲を追加する必要があります。

許可 IP アドレスを、Organization ごとに設定することもできます。 詳細は「 Organization に対する許可 IP アドレスを管理する」を参照してください。

許可 IP アドレスを追加する

  1. https://github.com/enterprises/ENTERPRISE-NAMEにアクセスして、Enterprise アカウントに移動します。ENTERPRISE-NAMEはあなたの Enterprise アカウント名に置き換えてください。
  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  4. "IP Address(IPアドレス)"の下に、IPアドレスもしくはアドレスの範囲をCIDR表記で入力してください。
    IP アドレスを追加する [Key] フィールド
  5. "Description(説明)" に、許可された IP アドレスもしくはIPアドレスの範囲の説明を入力してください。
    IP アドレスの名前を追加する [Key] フィールド
  6. [Add] をクリックします。
    [Add allowed ip address] ボタン

許可 IP アドレスを有効化する

  1. https://github.com/enterprises/ENTERPRISE-NAMEにアクセスして、Enterprise アカウントに移動します。ENTERPRISE-NAMEはあなたの Enterprise アカウント名に置き換えてください。
  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  4. [IP allow list] で、「Enable IP allow list」を選択します。
    IP アドレスを許可するチェックボックス
  5. Saveをクリックします。

許可 IP アドレスを編集する

  1. https://github.com/enterprises/ENTERPRISE-NAMEにアクセスして、Enterprise アカウントに移動します。ENTERPRISE-NAMEはあなたの Enterprise アカウント名に置き換えてください。
  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  4. "IP allow list(IP許可リスト)"の下で、編集したいエントリの右でEdit(編集)をクリックしてください。
    [Edit allowed IP address] ボタン
  5. IPアドレスもしくはアドレスの範囲をCIDR表記で入力してください。
    IP アドレスを追加する [Key] フィールド
  6. 許可された IP アドレスもしくはIPアドレスの範囲の説明を入力してください。
    IP アドレスの名前を追加する [Key] フィールド
  7. [Update] をクリックします。

許可 IP アドレスを削除する

  1. https://github.com/enterprises/ENTERPRISE-NAMEにアクセスして、Enterprise アカウントに移動します。ENTERPRISE-NAMEはあなたの Enterprise アカウント名に置き換えてください。
  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  4. "IP allow list(IP許可リスト)"の下で、削除したいエントリの右でDelete(削除)をクリックしてください。
    [Delete allowed IP address] ボタン
  5. 恒久的にエントリを削除するには、Yes, delete this IP allow list entry(はい、このIP許可リストを削除してください)をクリックしてください。
    [Permanently delete IP allow list entry] ボタン

IP許可リストで GitHub Actions を使用する

警告: IP許可リストを使い、GitHub Actionsも使いたい場合には、セルフホストランナーを使わなければなりません。 詳しい情報については「自分のランナーをホストする」を参照してください。

セルフホストランナーがGitHubと通信できるようにするためには、セルフホストランナーのIPアドレスもしくはIPアドレスの範囲をIP許可リストに追加してください。 詳しい情報については「許可されたIPアドレスの追加」を参照してください。

Enterprise アカウントで Organization 用に SAML シングルサインオンを有効にする

SAML SSOは、GitHub上のOrganizationのオーナー及びEnterpriseのオーナーに対し、リポジトリ、Issue、プルリクエストのようなOrganizationのリソースに対するアクセスをコントロールし、セキュアに保つ方法を提供します。 詳細は「SAML シングルサインオンを使うアイデンティティおよびアクセス管理について」を参照してください。

Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization 全体で、SAML IdP によって SAML SSO と中央での認証を有効にすることができます。 Enterprise アカウントで SAML SSO を有効にした後は、SAML SSO は Enterprise アカウントによって所有されているすべての Organization に対してデフォルトで有効となります。 すべてのメンバーは、自分がメンバーである Organization にアクセスするために SAML SSO を使用して認証するよう求められ、企業のオーナーは Enterprise アカウントにアクセスする際に SAML SSO を使用して認証するよう求められます。

GitHub上の各Organizationのリソースにアクセスするには、メンバーはアクティブなSAMLセッションをブラウザーに持っていなければなりません。 各Organizationの保護されたリソースにAPIやGitを使ってアクセスするには、メンバーは、メンバーがOrganizationでの利用のために認可した個人アクセストークンもしくはSSHキーを使わなければなりません。 Enterpriseのオーナーは、メンバーのリンクされたアイデンティティ、アクティブなセッション、認可されたクレデンシャルをいつでも見たり取り消ししたりできます。詳細は「Enterprise アカウントへのユーザの SAML アクセスの表示および管理」を参照してください。

SAML 2.0標準を実装するすべてのアイデンティティプロバイダには、限定的なサポートを提供します。 内部的にテストを行った以下のアイデンティティプロバイダは公式にサポートされます。

  • Active Directory フェデレーションサービス (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

If you're participating in the private beta for user provisioning for enterprise accounts, when you enable SAML for your enterprise account, SCIM provisioning and deprovisioning is enabled by default in GitHub. You can use provisioning to manage organization membership by configuring SCIM in your IdP. プライベートベータに参加していない場合、Enterprise アカウント に対して SCIM はサポートされません。 詳しい情報については、「Enterprise アカウントで Organization のユーザプロビジョニングを管理する」参照してください。

Note: Enabling authentication with SAML single sign-on for your enterprise account will override any existing organization-level SAML configurations.

Okta を使用して SAML を有効にする方法については、「Okta を使用して Enterprise アカウントの SAML シングルサインオンおよび SCIM を設定する」を参照してください。

  1. https://github.com/enterprises/ENTERPRISE-NAMEにアクセスして、Enterprise アカウントに移動します。ENTERPRISE-NAMEはあなたの Enterprise アカウント名に置き換えてください。
  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  4. あるいは、設定を強制する前にEnterpriseアカウント内のすべてのOrganizationの現在の設定を見たいなら、 View your organizations' current configurations(Organizationの現在の設定の表示)をクリックしてください。
    ビジネス内のOrganizationの現在のポリシー設定を表示するリンク
  5. [SAML single sign-on] の下で [Enable SAML authentication] を選択します。
    SAML SSO を有効化するためのチェックボックス
  6. Sign on URLフィールドに、使用する IdP のシングルサインオンのリクエストのための HTTPS エンドポイントを入力してください。 この値は Idp の設定で使用できます。
    メンバーがサインインする際にリダイレクトされる URL のフィールド
  7. または、[Issuer] フィールドに、SAML の発行者の名前を入力します。 これにより、送信メッセージの信ぴょう性が検証されます。
    SAMl 発行者の名前のフィールド
  8. [Public Certificate] で、証明書を貼り付けて SAML の応答を認証します。
    アイデンティティプロバイダからの公開の証明書のフィールド
  9. SAML 発行者からのリクエストの完全性を確認するには、 をクリックします。 その後、[Signature Method] および [Digest Method] のドロップダウンから、SAML 発行者が使用するハッシュアルゴリズムを選択します。
    SAML 発行者が使用する署名方式とダイジェスト方式のハッシュアルゴリズム用のドロップダウン
  10. Enterprise で SAML SSO を有効化する前に、[Test SAML configuration] をクリックして、入力した情報が正しいか確認します。
    強制化の前に SAML の構成をテストするためのボタン
  11. Saveをクリックします。

Enterprise アカウントで Organization のユーザプロビジョニングを管理す

Enterprise のオーナーは、Enterprise アカウントの Organization のメンバーシップを直接アイデンティティプロバイダ (IdP) から管理できます。

ノート: Enterproseアカウントのユーザプロビジョニングは現在プライベートベータであり、変更されることがあります。 ベータへのアクセスをリクエストするには、営業チームにお問い合わせください。

If you use Okta as your IdP, you can use SCIM to manage organization membership in your enterprise account. SCIM automatically invites people to or removes people from organizations in your enterprise account based on whether they are members of the group that corresponds to each organization in your IdP.

If you're participating in the private beta for user provisioning for enterprise accounts, when you enable SAML for your enterprise account, SCIM provisioning and deprovisioning is enabled by default in GitHub. You can use provisioning to manage organization membership by configuring SCIM in your IdP. オプションで、SAML プロビジョニングを有効にして、別々にデプロビジョニングすることもできます。

IdP で SCIM を構成すると、IdP でグループのメンバーシップに変更を加えるたびに IdP が GitHub に SCIM 呼び出しを行い、対応する組織のメンバーシップを更新します。 SAML プロビジョニングを有効にすると、Enterprise アカウントの SAML 設定で保護されているリソースに Enterprise のメンバーがアクセスするたびに、その SAML アサーションによってプロビジョニングがトリガーされすま。

SCIM 呼び出しまたは SAML アサーションのたびに、GitHub はユーザが所属する IdP グループをチェックし、以下の操作を実行します。

  • ユーザが、Enterprise アカウントによって所有されている Organization に対応する IdP グループのメンバーであり、現在その Organization のメンバーでない場合は、そのユーザーを Organization に追加する (SAML アサーション) か、Organization に参加するよう招待メールを送信 (SCIM 呼び出し) します。
  • Enterprise アカウントによって所有される Organization にそのユーザが参加する既存の招待がある場合は、キャンセルします。

SCIM 呼び出しのたびに、また SAML デプロビジョニングを有効にしている場合には SAML アサーションのたびに、 GitHub は以下の操作も実行します。

  • ユーザが、Enterprise アカウントによって所有されている Organization に対応する IdP グループのメンバーではなく、現在その Organization のメンバーである場合は、そのユーザーを Organization から削除します。

デプロビジョニングによって、最後に残ったオーナーが Organization から削除されると、その Organization はオーナーのいない状態になります。 Enterprise オーナーは、オーナーのいない Organization の所有権を取得できます。 詳しい情報については、「Enterprise アカウントでオーナーのいない Organization を管理する」参照してください。

Okta を使用して Enterprise アカウントのユーザプロビジョニングを有効にするには、「Okta を使用して Enterprise アカウントの SAML シングルサインオンおよび SCIM を設定する」を参照してください。

Enterprise アカウントで Organization の Team 同期を管理する

Enterprise オーナーが IdP と GitHub の間で Team の同期を有効化すると、Organization のオーナーとチームメンテナは Enterprise アカウントで所有されている Organization の Team を IdP グループに接続できるようになります。

GitHub TeamをIdPグループと同期すると、IdPグループへの変更はGitHubに自動的に反映され、手動での更新やカスタムスクリプトの必要を減らせます。 IdPをTeam同期と共に使い、新しいメンバーのオンボーディング、Organization内での移動に応じた新しい権限の付与、Organizationからのメンバーアクセスの削除といった管理タスクを扱うことができます。

Azure AD で Enterprise アカウントとの Team 同期を使用できます。

Team同期を有効化すると、チームメンテナとOrganizationのオーナーは、GitHub上で、あるいはAPIを通じてTeamをIdPグループに接続できます。 For more information, see "Synchronizing a team with an identity provider group" and "Team synchronization."

警告: Team同期を無効化すると、IdPグループを通じてGitHubのTeamに割り当てられたメンバーはTeamから削除され、リポジトリへのアクセスを失うことがあります。

Organization ごとの Team 同期の設定と管理も可能です。 詳細は「Organization の Team 同期を管理する」を参照してください。

必要な環境

Enterprise アカウントに対して Team の同期を有効化する前提条件は、以下のとおりです。

Azure AD で Team の同期を管理する

Azure ADでTeam同期を有効化するには、Azure ADの環境に以下の権限が必要です。

  • すべてのユーザに対するフルプロフィールの読み取り
  • サインインおよびユーザプロフィールの読み取り
  • ディレクトリデータの読み取り
  1. https://github.com/enterprises/ENTERPRISE-NAMEにアクセスして、Enterprise アカウントに移動します。ENTERPRISE-NAMEはあなたの Enterprise アカウント名に置き換えてください。
  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  4. SAML SSO が有効であることを確認します。 詳細は「Organization で SAML シングルサインオンを管理する」を参照してください。
  5. "Team synchronization(Teamの同期)"の下で、Enable for Azure AD(Azure ADでの有効化)をクリックしてください。
    セキュリティ設定ページの [Enable team synchronization] ボタン
  6. Team の同期を確認するには、以下を実行します:
    • IdP にアクセスできる場合は、[Enable team synchronization] をクリックします。 アイデンティティプロバイダの SAML SSO ページにリダイレクトされ、アカウントを選択して、要求された権限を確認するよう求められます。
    • IdP にアクセスできない場合は、IdP のリダイレクトリンクをコピーして IdP の管理者に渡し、Team 同期の有効化を続けてください。
      [Enable team synchronization redirect] ボタン
  7. Enterprise アカウントに接続するアイデンティティプロバイダのテナント情報を確認してから、[Approve] をクリックします。
    特定の IdP テナントに対して、Team の同期を有効化するペンディングリクエストと、リクエストを承認またはキャンセルするオプション
  8. Team 同期を無効にするには、 [Disable team synchronization] をクリックします。
    Team の同期を無効化する

Enterprise アカウントの SSH 認証局を管理する

Enterprise オーナーは、Enterprise アカウントの SSH 認証局 (CA) を追加および削除できます。

Enterprise アカウントに SSH CA を追加することにより、その Enterprise アカウントが所有する Organization のメンバー誰でも、その Enterprise アカウントが提供する SSH 認証を使用して Organization のリポジトリにアクセスできるようになります。 Organizationのリソースにメンバーがアクセスする際に、SSH証明書を使わなければならないようにすることができます。詳しい情報については、「SSS 認証局について」を参照してください。

SSH 認証局を追加する

各クライアント証明書を発行する際には、その証明書がどのGitHubユーザー用かを示すエクステンションを含める必要があります。 詳しい情報については、「SSH 認証局について」を参照してください。

  1. https://github.com/enterprises/ENTERPRISE-NAMEにアクセスして、Enterprise アカウントに移動します。ENTERPRISE-NAMEはあなたの Enterprise アカウント名に置き換えてください。
  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  4. "SSH Certificate Authorities(SSH認証局)"の右で、New CA(新規CA)をクリックしてください。
    新規CAボタン
  5. "Key(キー)"の下で、公開SSHキーを貼り付けてください。
    CA追加のためのキーフィールド
  6. Add CA(CAの追加)をクリックしてください。
  7. あるいは、メンバーに対してSSH証明書の利用を求めるなら、Require SSH Certificates(SSH証明書必須)を選択し、Save(保存)をクリックしてください。
    SSH証明書必須のチェックボックスと保存ボタン

SSH認証局を削除する

CAを削除すると、元に戻すことはできません。 同じCAを使用したくなった場合には、そのCAを再びアップロードする必要があります。

  1. https://github.com/enterprises/ENTERPRISE-NAMEにアクセスして、Enterprise アカウントに移動します。ENTERPRISE-NAMEはあなたの Enterprise アカウント名に置き換えてください。
  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  4. "SSH Certificate Authorities(SSH認証局)"の下で、削除したいCAの右のDelete(削除)をクリックしてください。
    削除ボタン
  5. 警告を読み、I understand, please delete this CA(わかりました。このCAを削除してください)をクリックしてください。
    削除の確認ボタン

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください