すべてのプロダクト
Search

このプロダクト

    Resource Access Management:Bind an MFA device to a RAM user

    ドキュメントセンター

    Resource Access Management:Bind an MFA device to a RAM user

    最終更新日:Mar 13, 2026

    多要素認証 (MFA) は、コンソールログインおよびコンソールでの機密性の高い操作におけるユーザー名とパスワードの認証モデルを補完するものです。Resource Access Management (RAM) ユーザーのセキュリティを確保するため、RAM ユーザーに MFA デバイスをバインドできます。MFA デバイスは、RAM ユーザーの ID を検証するのに役立ちます。

    背景情報

    • RAM ユーザーは複数の MFA 方式をサポートしています。MFA 方式のシナリオと違いの詳細については、「多要素認証とは」をご参照ください。

    • MFA を実装するには、RAM ユーザーのセキュリティ設定で許可される MFA 方式を設定し、MFA デバイスをバインドするための操作を実行する必要があります。詳細については、「RAM ユーザーのセキュリティ設定を管理する」をご参照ください。

    • 2025 年 3 月 17 日より、コンソールログイン時のすべての RAM ユーザーに対して MFA が必須となります。これにより、ご利用のアカウントと資産を保護できます。詳細については、「Alibaba Cloud がアカウントの RAM ユーザー MFA をデフォルトで有効にするという通知」をご参照ください。

    • 従来の Universal 2nd Factor (U2F) セキュリティキーはパスキーにアップグレードされます。U2F セキュリティキーがバインドされている場合は、U2F セキュリティキーをパスキーにアップグレードすることを推奨します。詳細については、「U2F セキュリティキーのパスキーへのアップグレード」をご参照ください。

    仮想 MFA デバイスのバインド

    前提条件

    仮想 MFA をサポートするアプリがご利用のモバイルデバイスにダウンロードされ、インストールされている必要があります。以下に Google Authenticator アプリのダウンロードとインストール方法を説明します。

    • ご利用のモバイルデバイスが iOS を実行している場合は、App Store から Google Authenticator アプリをダウンロードしてインストールします。

    • ご利用のモバイルデバイスが Android を実行している場合は、Google Play から Google Authenticator アプリをダウンロードしてインストールします。

      説明

      注: ご利用のモバイルデバイスが Android を実行している場合は、Google Authenticator が QR コードを識別できるように、アプリストアから QR コードスキャナーもダウンロードしてインストールする必要があります。

    操作手順

    RAM ユーザーログインページでの仮想 MFA デバイスのバインド

    RAM ユーザーを使用してログインする場合、次の操作を実行して仮想 MFA デバイスをバインドできます。

    1. RAM ユーザーログインページにアクセスし、RAM ユーザーのユーザー名とパスワードを入力します。

    2. [仮想 MFA デバイス] を選択します。

      image

    3. ご利用のモバイルデバイスで、仮想 MFA デバイスを有効にします。

      説明

      注: 次の例は、iOS を実行しているご利用のモバイルデバイス上の Google Authenticator アプリで仮想 MFA デバイスをバインドする方法を示しています。

      1. Google Authenticator アプリを開きます。

      2. [開始] をタップし、仮想 MFA デバイスを有効にするには、次のいずれかの方法を選択します:

        • Google Authenticator アプリで [QR コードをスキャン] をタップし、Alibaba Cloud管理コンソールの仮想 MFA 結合ページに表示される QR コードをスキャンします。この方法が推奨されます。

        • [セットアップキーの入力] をタップし、Alibaba Cloud 管理コンソールの仮想 MFA バインディングページからアカウントとキーを入力します。その後、[追加] をクリックします。

    4. Alibaba Cloud 管理コンソールで、Google Authenticator アプリに表示されているワンタイムパスワードを入力します。次に、確認ボタンをクリックします。

    セキュリティページでの仮想 MFA デバイスのバインド

    RAM ユーザーが自身の MFA デバイスを管理することを許可されている場合、RAM ユーザーは次の操作を実行して仮想 MFA デバイスをバインドできます。RAM ユーザーが自身の MFA デバイスを管理することを許可する方法の詳細については、「グローバルセキュリティ設定」をご参照ください。

    1. RAM ユーザーログインページで、RAM ユーザーのユーザー名とパスワードを入力し、ログインに必要な操作を実行します。

    2. 右上隅のプロフィール写真にポインターを合わせ、[セキュリティ情報] をクリックします。

      image

    3. セキュリティページの[MFA 情報]セクションで、[MFA デバイス]の横にある[VMFA のバインド]をクリックします。

      image

    4. ご利用のモバイルデバイスで、仮想 MFA デバイスを有効にします。

      説明

      注: 次の例は、iOS を実行しているご利用のモバイルデバイス上の Google Authenticator アプリで仮想 MFA デバイスをバインドする方法を示しています。

      1. Google Authenticator アプリを開きます。

      2. [開始] をタップし、仮想 MFA デバイスを有効にするには、以下のいずれかの方法を選択します。

        • Google Authenticator アプリで [QRコードをスキャン] をタップし、Alibaba Cloud 管理コンソールの仮想 MFA バインドページに表示される QR コードをスキャンします。この方法が推奨されます。

        • [セットアップキーの入力] をタップし、Alibaba Cloud 管理コンソールの仮想 MFA バインディングページからアカウントとキーを入力します。その後、[追加] をクリックします。

    5. Alibaba Cloud 管理コンソールで、Google Authenticator アプリに表示されているワンタイムパスワードを入力します。次に、確認ボタンをクリックします。

    RAM コンソールでの仮想 MFA デバイスのバインド

    Alibaba Cloud アカウントまたは管理者権限を持つ RAM ユーザーを使用して、RAM コンソールで RAM ユーザーに仮想 MFA デバイスをバインドできます。

    1. Alibaba Cloud アカウントまたは管理者権限を持つ RAM ユーザーとして RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ID > ユーザー を選択します。.

    3. [ユーザー ログオン名 / 表示名] 列で、管理する RAM ユーザーのユーザー名をクリックします。

    4. [セキュリティ情報管理] セクションの [認証] タブで、[VMFA リンクのバインド] の横にあるコピー アイコンをクリックし、リンクをブラウザで開きます。

      image

    5. ご利用のモバイルデバイスで、仮想 MFA デバイスを有効にします。

      説明

      注: 次の例は、iOS を実行しているご利用のモバイルデバイス上の Google Authenticator アプリで仮想 MFA デバイスをバインドする方法を示しています。

      1. Google Authenticator アプリを開きます。

      2. [使用開始] をタップし、次のいずれかの方法を選択して仮想 MFA デバイスを有効にします。

        • Google Authenticator アプリで [QR コードをスキャン] をタップし、Alibaba Cloud管理コンソールの仮想 MFA 結合ページに表示される QR コードをスキャンします。この方法が推奨されます。

        • [セットアップキーの入力] をタップし、Alibaba Cloud 管理コンソールの仮想 MFA バインディングページからアカウントとキーを入力します。その後、[追加] をクリックします。

    6. Alibaba Cloud 管理コンソールで、Google Authenticator アプリに表示されているワンタイムパスワードを入力します。次に、確認ボタンをクリックします。

    説明

    RAM ユーザーの [7 日間 MFA 検証を記憶することを許可する] パラメーターを [有効] に設定できます。そうすると、RAM ユーザーがログイン時に MFA 認証を行う際、関連オプションを選択することで、現在ログインしているデバイスにその RAM ユーザーの MFA ステータスを 7 日間記憶させることができます。ログイン後 7 日間は、その RAM ユーザーは MFA が不要になります。ただし、その RAM ユーザーが現在のデバイスからログアウトし、別の RAM ユーザーがログインしようとする場合は、MFA が必要です。詳細については、「RAM ユーザーのセキュリティ設定を管理する」をご参照ください。

    メールアドレスのバインド

    セキュリティページでのメールアドレスのバインド

    RAM ユーザーが自身の MFA デバイスを管理することを許可されている場合、RAM ユーザーは次の操作を実行してメールアドレスをバインドできます。RAM ユーザーが自身の MFA デバイスを管理することを許可する方法の詳細については、「グローバルセキュリティ設定」をご参照ください。

    1. RAM ユーザーログインページで、RAM ユーザーのユーザー名とパスワードを入力し、ログインに必要な操作を実行します。

    2. 右上隅のプロフィール写真にポインターを合わせ、[セキュリティ情報] をクリックします。

      image

    3. セキュリティページの[多要素認証 (MFA) 情報]セクションで、[セキュリティメール]の横にある[バインド]をクリックします。

      image

    4. メールアドレスの登録」ページで、メールアドレスと検証コードを入力し、次に「確認」をクリックします。

      image

    RAM コンソールでのメールアドレスのバインド

    Alibaba Cloud アカウントまたは管理者権限を持つ RAM ユーザーを使用して、RAM コンソールで RAM ユーザーにメールアドレスをバインドできます。

    1. Alibaba Cloud アカウントまたは管理者権限を持つ RAM ユーザーとして RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ユーザー] を選択します。

    3. [ユーザー ログオン名/表示名] 列で、管理する RAM ユーザーのユーザー名をクリックします。

    4. [認証] タブの [セキュリティ情報管理] セクションで、[メールアドレス] の横にある [編集] をクリックします。

      image

    5. [メールアドレスの編集] ダイアログボックスで、メールアドレスを入力し、[OK] をクリックします。

      image

    6. [アクティベーションリンクを送信] ダイアログボックスで、メールアドレスを確認し、[アクティベーションリンクを送信] をクリックします。

    7. メールアドレスを使用してメールボックスにログインし、認証メール内の認証リンクをクリックします。

      認証メール内のリンクは 24 時間有効です。リンクの有効期限が切れた場合は、上記の手順を実行して別のリンクを送信してください。

    説明

    RAM ユーザーが MFA に RAM ユーザーの基本情報にあるメールアドレスを使用したい場合は、上記の手順を実行してメールアドレスをバインドする必要があります。

    パスキーのバインド

    RAM ユーザーは、パスキーをコンピューターまたはモバイルデバイスにバインドして保存できます。RAM ユーザーはセキュリティキーをバインドして使用することもできます。バインドが完了すると、RAM ユーザーはパスキーを使用して Alibaba Cloud 管理コンソールにログインしたり、MFA を実装したりできます。パスキーベースの認証システムは、まずデバイスとパスキー間のバインドを認証してデバイスの有効性を検証します。次に、システムはデバイスに組み込まれた認証方式を使用してデバイス所有者を認証します。組み込み認証方式には、指紋認証、顔認識、PIN コードがあります。パスキーをバインドする前に、パスキーの制限とパスキーがサポートするデバイスタイプを理解していることを確認してください。詳細については、「パスキーとは」をご参照ください。

    RAM ユーザーログインページでのパスキーのバインド

    RAM ユーザーを使用してログインする場合、次の操作を実行してパスキーをバインドできます。

    1. RAM ユーザーログインページにアクセスし、RAM ユーザーのユーザー名とパスワードを入力します。

    2. [パスキー] を選択します。

      image

    3. [パスキーのバインド] ページで、パスキーをバインドします。

    セキュリティページでのパスキーのバインド

    1. RAM ユーザーログインページにアクセスし、RAM ユーザーとしてログインを完了します。

    2. 右上隅のプロフィール写真にポインターを合わせ、セキュリティ情報] をクリックします。

      image

    3. [セキュリティ] ページの [パスキー] セクションで、[パスキーの作成] をクリックします。

      image

    4. [パスキーのバインド] ページで、パスキーをバインドします。

    U2F セキュリティキーをパスキーにアップグレードする

    U2F セキュリティキーが RAM ユーザーにバインドされている場合、RAM ユーザーは U2F セキュリティキーを期待どおりに使用できます。RAM ユーザーが U2F セキュリティキーをパスキーにアップグレードすることを推奨します。

    1. RAM ユーザーログインページにアクセスし、RAM ユーザーとしてログインを完了します。

    2. 右上隅のプロフィール写真にポインターを合わせ、セキュリティ情報] をクリックします。

      image

    3. セキュリティページの [MFA 情報] セクションで、[MFA デバイス] の横にある [パスキーに更新] をクリックします。

      image

    4. [U2F をパスキーに更新] メッセージで、[OK] をクリックします。

      image

    5. [パスキーのバインド] ページで、セキュリティキーをバインドします。

      詳細については、「物理セキュリティキーを登録」をご参照ください。

    次のステップ

    MFA を有効にして MFA デバイスをアタッチした後、RAM ユーザーは Alibaba Cloud にログインするか、コンソールで機密性の高い操作を実行する際に、2 つのセキュリティ要素を提供する必要があります。

    1. 第 1 要素:ご利用のユーザー名とパスワード。

    2. 2つ目のセキュリティ要素: 仮想 MFA デバイスまたはセキュリティメールアドレスからの認証コードを入力するか、パスキーで認証してください。

    重要

    • 注: RAM ユーザーにバインドされている MFA デバイスを変更したい場合は、別の MFA デバイスを RAM ユーザーにバインドする前に、既存の MFA デバイスのバインドを解除する必要があります。詳細については、「RAM ユーザーから MFA デバイスのバインドを解除する」をご参照ください。

    • MFA アプリ (Google Authenticator) が RAM ユーザーが MFA デバイスのバインドを解除する前にアンインストールされた場合、または U2F セキュリティキーが紛失した場合、RAM ユーザーは Alibaba Cloud 管理コンソールにログインできません。この場合、RAM ユーザーは、所属する Alibaba Cloud アカウントまたは管理者権限を持つ RAM ユーザーに連絡して、RAM コンソールにログインし、MFA デバイスのバインドを解除する必要があります。詳細については、「RAM ユーザーから MFA デバイスのバインドを解除する」をご参照ください。