Enterprise アカウントでセキュリティ設定を強制する

Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization について、特定のセキュリティポリシーを施行できます。

Enterpriseアカウントは、GitHub Enterprise Cloud、GitHub Enterprise Serverで利用できます。詳しい情報については「Enterpriseアカウントについて」を参照してください。

ここには以下の内容があります:

Enterprise アカウントで Organization の 2 要素認証を必須にする
Enterprise アカウントで Organization に対する許可 IP アドレスを管理する
許可 IP アドレスを追加する
許可 IP アドレスを有効化する
許可 IP アドレスを編集する
許可 IP アドレスを削除する
IP許可リストで GitHub Actions を使用する
Enterprise アカウントの SSH 認証局を管理する
SSH 認証局を追加する
SSH認証局を削除する
参考リンク

Enterprise アカウントで Organization の 2 要素認証を必須にする

Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization で、Organization のメンバー、支払いマネージャー、外部コラボレーターに対して個人アカウントをセキュアに保つために 2 要素認証の使用を義務化できます。

自分の Enterprise アカウントが所有するすべての Organization で 2 要素認証を義務化する前に、自分のアカウントの 2 要素認証を有効化する必要があります。詳細は「2 要素認証 (2FA) でアカウントを保護する」を参照してください。

警告:

Enterprise アカウントで 2 要素認証を義務化すると、自分の Enterprise アカウントが所有するすべての Organization 内の、2 要素認証を使わないメンバー、外部コラボレーター、支払いマネージャー (ボットアカウントを含む) は Organization から削除され、そのリポジトリにアクセスできなくなります。 Organization のプライベートリポジトリのフォークへのアクセスも失います。 Organization から削除されてから 3 か月以内に、削除されたユーザが自分の個人アカウントで 2 要素認証を有効にすれば、そのユーザのアクセス権限および設定を復元できます。詳しい情報については、「Organization の以前のメンバーを回復する」を参照してください。
義務付けられた 2 要素認証を有効にした後に、自分の Enterprise アカウントが所有するすべての Organization では、Organization のオーナー、メンバー、支払いマネージャー、または外部コラボレーターがそれぞれの個人アカウントに対して 2 要素認証を無効にすると、それらは Organization から自動的に削除されます。
あなたが、2 要素認証を義務付けている Enterprise アカウントの唯一のオーナーである場合、Enterprise アカウントに義務付けられた 2 要素認証を無効にしなければ、個人アカウントの 2 要素認証を無効にすることはできません。

2 要素認証の使用を義務化する前に、Organization のメンバー、外部コラボレーター、支払いマネージャーに通知をして、各自に自分のアカウントで 2 要素認証をセットアップしてもらってください。 Organization のオーナーは、メンバーと外部コラボレーターがすでに 2 要素認証を使用しているかどうかを、各 Organization の [People] ページで確認できます。詳細は「Organization 内のユーザが 2 要素認証を有効にしているか確認する」を参照してください。

GitHubの右上で、自分のプロフィール写真をクリックし、続いてYour enterprises（自分のEnterprise）をクリックしてください。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterpriseアカウントのサイドバーで、 Settings（設定）をクリックしてください。
左のサイドバーでSecurity（セキュリティ）をクリックしてください。
[Two-factor authentication] で、設定変更に関する情報を確認します。あるいは、設定を強制する前にEnterpriseアカウント内のすべてのOrganizationの現在の設定を見たいなら、 View your organizations' current configurations（Organizationの現在の設定の表示）をクリックしてください。
[Two-factor authentication] で、[Require two-factor authentication for all organizations in your business] を選択し、[Save] をクリックします。
求められた場合には、自分の Enterprise アカウントが所有する Organization から削除するメンバーおよび外部コラボレーターに関する情報を読んでください。変更を確定するには、自分の Enterprise アカウントの名前を入力し、[Remove members & require two-factor authentication] をクリックします。
または、自分の Enterprise アカウントが所有する Organization から削除されるメンバーまたは外部コラボレーターが存在する場合、彼らに招待状を送信して、元の権限と Organization へのアクセス権を復元できるようにすることをおすすめします。彼らが招待状を受け取ることができるようにするには、まず各ユーザーが 2 要素認証を有効にする必要があります。

Enterprise アカウントで Organization に対する許可 IP アドレスを管理する

Enterprise のオーナーは、特定の IP アドレスに対する許可リストを設定することで、Enterprise アカウントの Organization が所有するアセットへのアクセスを制限できます。たとえば、自分のオフィスのネットワークのIPアドレスからのアクセスのみを許可できます。 IPアドレスの許可リストは、許可リストに無いIPアドレスからのWeb、API、Gitのアクセスをブロックします。

CIDR表記を使って、単一のIPアドレスもしくはアドレスの範囲に対してアクセスを承認できます。詳しい情報についてはWikipediaの「CIDR表記」を参照してください。

IP許可リストを強制するには、まずIPアドレスをリストに追加し、それからIP許可リストを有効化しなければなりません。 IP 許可リストを有効にするには、現在の IP アドレスまたは一致する範囲を追加する必要があります。

許可 IP アドレスを、Organization ごとに設定することもできます。詳細は「 Organization に対する許可 IP アドレスを管理する」を参照してください。

許可 IP アドレスを追加する

GitHubの右上で、自分のプロフィール写真をクリックし、続いてYour enterprises（自分のEnterprise）をクリックしてください。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterpriseアカウントのサイドバーで、 Settings（設定）をクリックしてください。
左のサイドバーでSecurity（セキュリティ）をクリックしてください。
"IP Address（IPアドレス）"の下に、IPアドレスもしくはアドレスの範囲をCIDR表記で入力してください。
"Description（説明）" に、許可された IP アドレスもしくはIPアドレスの範囲の説明を入力してください。
[Add] をクリックします。

許可 IP アドレスを有効化する

GitHubの右上で、自分のプロフィール写真をクリックし、続いてYour enterprises（自分のEnterprise）をクリックしてください。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterpriseアカウントのサイドバーで、 Settings（設定）をクリックしてください。
左のサイドバーでSecurity（セキュリティ）をクリックしてください。
[IP allow list] で、「Enable IP allow list」を選択します。
[Save] をクリックします。

許可 IP アドレスを編集する

GitHubの右上で、自分のプロフィール写真をクリックし、続いてYour enterprises（自分のEnterprise）をクリックしてください。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterpriseアカウントのサイドバーで、 Settings（設定）をクリックしてください。
左のサイドバーでSecurity（セキュリティ）をクリックしてください。
"IP allow list（IP許可リスト）"の下で、編集したいエントリの右でEdit（編集）をクリックしてください。
IPアドレスもしくはアドレスの範囲をCIDR表記で入力してください。
許可された IP アドレスもしくはIPアドレスの範囲の説明を入力してください。
[Update] をクリックします。

許可 IP アドレスを削除する

GitHubの右上で、自分のプロフィール写真をクリックし、続いてYour enterprises（自分のEnterprise）をクリックしてください。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterpriseアカウントのサイドバーで、 Settings（設定）をクリックしてください。
左のサイドバーでSecurity（セキュリティ）をクリックしてください。
"IP allow list（IP許可リスト）"の下で、削除したいエントリの右でDelete（削除）をクリックしてください。
恒久的にエントリを削除するには、Yes, delete this IP allow list entry（はい、このIP許可リストを削除してください）をクリックしてください。

IP許可リストで GitHub Actions を使用する

警告: IP許可リストを使い、GitHub Actionsも使いたい場合には、セルフホストランナーを使わなければなりません。詳しい情報については「自分のランナーをホストする」を参照してください。

セルフホストランナーに

GitHubとの通信を許可するには、セルフホストランナーのIPアドレスもしくはIPアドレスの範囲をIP許可リストに追加してください。詳しい情報については「許可されたIPアドレスの追加」を参照してください。

Enterprise アカウントの SSH 認証局を管理する

Enterprise オーナーは、Enterprise アカウントの SSH 認証局 (CA) を追加および削除できます。

Enterprise アカウントに SSH CA を追加することにより、その Enterprise アカウントが所有する Organization のメンバー誰でも、その Enterprise アカウントが提供する SSH 認証を使用して Organization のリポジトリにアクセスできるようになります。 SSHがリポジトリで無効になっていなければ、Organizationのリソースにメンバーがアクセスする際に、SSH証明書を使わなければならないようにすることができます。詳細については、「SSH認証局について」を参照してください。

SSH 認証局を追加する

各クライアント証明書を発行する際には、その証明書がどのGitHubユーザー用かを示すエクステンションを含める必要があります。詳しい情報については、「SSH 認証局について」を参照してください。

GitHubの右上で、自分のプロフィール写真をクリックし、続いてYour enterprises（自分のEnterprise）をクリックしてください。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
Enterpriseアカウントのサイドバーで、 Settings（設定）をクリックしてください。
左のサイドバーでSecurity（セキュリティ）をクリックしてください。
"SSH Certificate Authorities（SSH認証局）"の右で、New CA（新規CA）をクリックしてください。
"Key（キー）"の下で、公開SSHキーを貼り付けてください。
Add CA（CAの追加）をクリックしてください。
あるいは、メンバーに対してSSH証明書の利用を求めるなら、Require SSH Certificates（SSH証明書必須）を選択し、Save（保存）をクリックしてください。