適用対象
- Enterprise
機能
この機能を使用できるユーザー
- システム管理者
外部の共同作業者に対するガバナンス ポリシー
「SSO が設定されたワーク アカウントを要求する」および「MFA を要求する」ポリシーを有効にすることにより、外部の共同作業者は共有するコンテンツにアクセスする際に、シングル サインオン (SSO) と追加の認証レイヤー (MFA が求められる) でサインインすることが求められます。これにより外部共有のセキュリティが強化されます。
外部の共同作業者とは
外部の共同作業者とは、シートまたはワークスペースでの共同作業に招待されているが、シートまたはワークスペースを所有するプランに関連付けられたドメインとメール アドレスが一致せず、そのプランのメンバーではないユーザーです。
これらのポリシーは、外部の共同作業者 (組織の有効なドメイン外から招待されたユーザー) が安全なログイン方法を使用できるようにするものですが、あなたが共同作業をしようとしている組織にその個人が在籍していることを受動的に検証するものでもあります。
外部の共同作業者が、SSO/MFA を必要とするアセットにアクセスしようとすると、SSO を使用してログインするよう指示するメッセージが表示されます。外部の共同作業者は、[自分の所属組織/団体のアカウントでサインインする] ボタンをクリックし、組織/団体の SSO ログインを使用して ID を検証します。エンタープライズ プランをご利用のお客様は、Smartsheet へのログインに SAML/ SSO を使用できるように設定する必要があります。構成は、エンタープライズ プランのユーザーの場合はプラン レベルで、または特定の電子メール ドメインを持つすべてのユーザーの場合はドメイン レベルで行うことができます。
「SSO が設定されたワーク アカウントを要求する」は、プランレベルで設定されますが、「MFA を要求する」はアカウント全体または特定のワークスペースに適用できます。システム管理者は、ワークスペース管理者が所有する特定のワークスペースに追加のセキュリティ レイヤーを適用するかどうかを決定する権限を与えることができます。
これらのポリシーは、ワークスペースに関連付けることができるシート、レポート、ダッシュボードなど、すべてのアイテムに適用されます。
「SSO が設定されたワーク アカウントを要求する」ポリシーと「MFA を要求する」ポリシーを有効にすると、Smartsheet のコア アプリケーション内のコア アイテム (シート、レポート、ダッシュボード) にのみ適用されます (Smartsheet プレミアム アプリ内のアイテムを除く)。
SSO が設定されたワーク アカウントを要求する
「SSO が設定されたワーク アカウントを要求する」は、Smartsheet へのアクセスを企業認証されたログイン情報 (SSO) を持つユーザーに制限することで、潜在的な不正アクセスのリスクを軽減する、プランレベルのポリシーです。
サポートしている手法
- Azure ワーク アカウント
- Google ワーク アカウント (ISP ドメイン、仕事以外のアカウントは機能しない)
- SAML SSO
SAML 2.0 準拠の IdP を使用するには、外部の共同作業者が Smartsheet への認証のために SAML 2.0 ID プロバイダーを設定しているエンタープライズ プランに登録している必要があります。
MFA を要求する
このポリシーは、外部の共同作業者に対して、多要素認証 (MFA) による認証を行うよう要求するもので、検証レイヤーを追加することでセキュリティが強化されます。これにより、パスワードが侵害された場合でも、MFA 機能によって不正なアクセスを防止することができます。
外部の共同作業者の ID プロバイダー (IdP) が MFA をサポートしていない場合、または Smartsheet に MFA の完了ステータスを伝えられない場合は、独自の電子メールベースの MFA がバックアップとして機能します。
サポートしている手法
- SAML (Okta、Azure、AD FS)
- Microsoft ワーク アカウント
電子メールのワンタイム パスワード
電子メールベースの MFA
これは、電子メールで提供される一度きりの時間制限付きパスワード メカニズム (OTP) であり、共同作業者の IdP を介した標準的な MFA が利用できない状況に対応することを目的としています。
ポリシーが適用されるアセットで外部の共同作業者が MFA を完了したとシステムが判断できない場合、そのアセットをクリックするとすぐに電子メールが彼らのアカウントに送信されます。
ユーザーが確認コードを 3 回続けて間違って入力した場合は、30 分間待機してやり直す必要があります。
モバイル アプリについて
Smartsheet モバイル アプリでは、Web アプリやデスクトップ アプリと同様に、管理センターで有効にした安全な外部アクセス ポリシーがすべて使用されます。
システム管理者
「SSO が設定されたワーク アカウントを要求する」ポリシーを有効にするには:
- [管理センター] に移動します。
- メニュー アイコンを選択し、[設定] > [セキュア外部アクセス] へ進みます。
トグルをスライドして「SSO が設定されたワーク アカウントを要求する」ポリシーをオンにします。
内部サインイン オプションで SSO が有効になっていない場合、「SSO が設定されたワーク アカウントを要求する」ポリシーは自動的に無効になります。
「MFA を要求する」ポリシーを有効にするには:
- [管理センター] に移動します。
- メニュー アイコンを選択し、[設定] > [セキュア外部アクセス] へ進みます。
- トグルをスライドして「MFA を要求する」ポリシーをオンにします。
- ワークスペース管理者が特定のワークスペースにポリシーを適用できるようにするには、[ワークスペースのオプトイン] ボタンをクリックします。
- すべてのプラン アセットにポリシーを適用するには、[すべてのプラン アセットに適用] を選択します。
ワークスペース管理者
- ワークスペース管理者は、プランレベルの「SSO が設定されたワーク アカウントを要求する」ポリシーを設定することはできません。システム管理者による設定が必要です。
- システム管理者が [ワークスペースのオプトイン] を有効にした場合、ワークスペース管理者は特定のワークスペースに「MFA を要求する」ポリシーを適用できます。
「MFA を要求する」ポリシーを設定したすべてのワークスペースを示すレポートを生成するには、[オプトイン レポートの生成] を選択します。ワークスペース レポート スプレッドシートには、各ワークスペースに「MFA を要求する」ポリシーが設定されているかどうかを示すワークスペース名のほか、アクセスするための URL、ワークスペースの管理者権限を持つユーザーのリストも含まれています。
また、公開シート API を使用して、このレポートにアクセスし、シート ID を追跡することもできます。
ワークスペースにアクセスするための MFA をアクティブ化するには
- ワークスペースに移動し、右上にある [共有] を選択します。
- 共有ウィンドウの上部から [設定] を選択します。
- トグルをスライドして「MFA を要求する」をオンにします。設定は個々のアイテムではなく、ワークスペース内のすべてのアイテムに適用されます。
除外リスト
システム管理者は、除外リスト (信頼できるドメイン リストとも呼ばれます) を使用して、ポリシーから除外するドメインと個々のメール アドレスを指定できます。
除外リストを有効にすると、特定の列を含むシートの作成が開始されます。システム管理者は全員、このシートにアクセスできます。
除外リストを作成するには
- 管理センターへ移動します。
- メニュー アイコンを選択し、[設定] > [セキュア外部アクセス] へ進みます。
- [詳細設定] で、次のいずれかの [シートを作成] を選択します。
- 除外するドメイン
- 除外するメール アドレス
- 新しいドメインまたはメール アドレスを除外リストに追加するには、「共有が許可されたドメイン/メール アドレス」列にそれらを入力し、チェックボックス列を使用して、それがポリシーから除外されているかどうかを示します。
除外リスト シート
システム管理者は、シートの行の追加、編集、削除のみを実行できます。シートには以下の列が含まれています。
| 列名 | 説明 |
|---|---|
| 共有が許可されたドメイン/メール アドレス | コンテンツの共有が許可されているドメイン/メール アドレスの一覧。 |
| 企業アカウント要件の除外 | オンにすると、そのドメイン/メール アドレスから共有コンテンツにアクセスする際に、組織/団体アカウントのログイン情報が要求されなくなるチェックボックス。 |
| MFA 要件の除外 | オンにすると、そのドメイン/メール アドレスから共有コンテンツにアクセスする際に、MFA の使用を要求されなくなるチェックボックス。 |
| 更新者 | 行を最後に変更したユーザーを示し、説明責任と更新の追跡を提供。 |
| 更新日時 | 行の最終更新日時が表示されるため、変更のタイムラインを維持するのに役立ちます。 |
| 作成者 | シートのエントリを最初に作成したユーザーを特定し、データの起源を確立します。 |
| 作成日時 | エントリが作成された日時を、履歴情報として表示します。 |
| 備考 | ドメイン/メール アドレスのステータスに関する追加情報、コメント、または根拠を入力するためのオープン フィールド。 |
API 呼び出し
パブリック API 呼び出しを使用して「SSO が設定されたワーク アカウントを要求する」または「MFA を要求する」ポリシーで保護されている共有の Smartsheet アセットにアクセスする外部の共同作業者は、そのドメインまたはメール アドレスが除外リストに含まれている場合、またはそれがプランの検証済みのドメインである場合にのみ、Smartsheet API を介してそれらのアセットにアクセスできます。
外部の共同作業者が共有アセットへアクセスできない場合は、それらのアセットが属しているプランのシステム管理者に連絡する必要があります。
その他の注意事項
- これらのポリシーは、ポリシーを有効にしたプランの検証済みドメイン、またはこれらのポリシーの除外リストに記載されたドメイン/メール アドレスの一部ではないユーザーに適用されます。
- 発行された OTP の期間は 10 分間です。有効期限が切れた場合、ユーザーは新しい OTP を生成する必要があります。
- 現システム管理者は、新任のシステム管理者または今後システム管理者になるユーザーに、除外リスト シートへのアクセス権を付与する責任があります。
- 除外リストの更新 (新しい除外エントリ) には、最大 3 分かかります。
「MFA を要求する」ポリシーを有効にすると、電子メールベースの MFA 機能を無効にできますか?
いいえ。一度、「MFA を要求する」ポリシーを有効にすると、システム管理者は電子メールベースの MFA 機能を無効にすることはできません。これは、主要な MFA メソッドが使用できない場合でも、継続的なセキュリティを確保するためのバックアップとして設計されています。
特に、独立系コンサルタントなど、「SSO が設定されたワーク アカウントを要求する」/「MFA を要求する」を設定している組織に所属していない外部の共同作業者は、どうすればシステムへアクセスできますか?
- 外部の共同作業者は、勤務先メール アドレスまたは Google もしくは Microsoft SSO が設定された組織/団体用ログイン アカウントを使用する必要があります。
- 検証用の電子メールベースのコード (電子メールベースの MFA) を受け取ることができます。
- システム管理者は、必要に応じて除外リストにユーザーを追加できます。
ワークスペース管理者は誰でもこれらのポリシーを実装できますか?
システム管理者がワークスペース レベルで「MFA を要求する」ポリシーを有効にしている場合、ワークスペース管理者はワークスペース レベルで「MFA を要求する」ポリシーを有効にすることができます。ワークスペース管理者は「SSO が設定されたワーク アカウントを要求する」ポリシーを設定することはできません。
除外リストに自動的に追加されるドメインはありますか?
はい。プラン内の検証済みドメインはすべて、「SSO が設定されたワーク アカウントを要求する」と「MFA を要求する」の両方のポリシーから自動的に除外されます。これは、これらのドメインのユーザーがプランの内部ユーザーとして扱われるためです。