Intercomのworkspaceを安全に保つために、チームメンバー向けにいくつかの認証オプションを提供しています。これらの方法は不正アクセスを防ぎ、フィッシング攻撃のリスクを減らし、チームのサインイン方法をより良く管理できます。
次の設定が可能です:
Google Sign-In — チームメンバーがGoogle Workspaceアカウントでログインできるようにする
二要素認証(2FA) — サインイン時に2段階目の認証を必須にする
SAMLシングルサインオン(SSO) — アイデンティティプロバイダーによる認証を強制する(Enterprise限定)
⚠️ メールとパスワードでのログインは強く無効化を推奨します
パスワードは攻撃者の最も一般的な侵入口です。フィッシングや使い回し、弱いセキュリティ慣行に弱いです。SSOやGoogle Sign-Inと2FAを組み合わせて、workspaceの保護を強化しましょう。
メール/パスワードログインを無効化するには、workspaceのセキュリティ設定の隣のトグルをオフにしてください。こちら。
始めましょう
設定 > Workspace > セキュリティに移動し、「認証方法」から希望のオプションを選択してください。
注意:これを有効にするには、一般設定とセキュリティ設定にアクセスする権限が必要です。
方法 | 利用可能性 | 強制 | セキュリティ |
メール&パスワード | すべてのプラン | 該当なし | ❌ 低い |
メール&パスワード+2FA | すべてのプラン | 強制可能 | ✅ 改善済み |
Googleサインインを必須にする | すべてのプラン | 強制可能 | ✅ 強力 |
SAMLを必須にする | 強制可能 | ✅ 強力 |
⚠️ Google SSOまたはSAMLを必須にしたら、メール/パスワードログインを無効化してください
1. 二要素認証(2FA)
usersがメールとパスワードでログインする必要がある場合、二要素認証で追加のセキュリティ層を追加できます。チームメンバーはログイン時にGoogle AuthenticatorやAuthyなどの認証アプリからの一意のコードを入力します。
すべてのプランで利用可能
workspace全体で強制可能
各チームメンバーが自分のデバイスを設定
workspaceでこれを有効にした際に、まだ二要素認証を設定していないチームメンバーは次回ログイン時に設定を促されます:
2. Googleサインイン
チームメンバーがGoogle Workspaceアカウントでログインできるようにします。
すべてのプランで利用可能
セキュリティ設定から簡単に有効化可能
3. SAML SSO(Enterprise限定)
チームがOkta、Azure AD、OneLoginなどのIdentity Provider経由でログインできるようにします。
Enterpriseプランで利用可能
Just-in-Time(JIT)プロビジョニングとSCIMをサポート
DNS domainの検証とIdP設定が必要
Identity ProviderによるSAML SSOを必須にする
チームがログインする最も安全で簡単な方法は、IntercomをOktaやOneLoginのようなIdentity Providerと統合することです。
この記事の手順に従って、identity provider を設定し、すべての teammates からの SAML SSO(シングルサインオン)を必須にするか、サインインオプションの一つとして提供してください。
ログイン保護と通知
Intercom はログイン活動を継続的に監視し、teammate アカウントを自動的に保護します。teammate アカウントで疑わしいメール/パスワードログインを検出した場合、ログイン完了前にメール認証を強制します。これには以下が含まれます:
インテリジェントログイン&セッション保護:異常なログインパターンに対する追加認証と不正利用に対する高度な対策。
セキュリティ通知:潜在的なセキュリティイベントに関するタイムリーなアラート。
teammate はこのような認証メールを受け取り、続行する前に一意の認証トークンを入力する必要があります。
Teammate オプション
個人の Intercom アカウントで 2FA を有効にする
所属する workspace の設定とは別に、自分の Intercom アカウントで 2FA を有効にできます。
Intercom アカウントにログインしてください。
設定 > 個人 > アカウントセキュリティ に移動します。
「二要素認証」セクションで、2FA を有効にするをクリックします。
認証アプリ(例:Google Authenticator または Authy)を使って画面に表示された QR コードをスキャンします。
アプリが生成した6桁のコードを入力してセットアップを完了します。
セットアップ時に提供されるリカバリーコードをダウンロードして安全に保管してください。
QR ベースのシステムを使って認証アプリを設定します。Intercom は Google Authenticator や Authy などの一般的な認証アプリに対応しています。
2FA を有効にしている teammate は、設定 > 個人 > アカウントセキュリティ にアクセスして個別のリカバリーコードをダウンロードしてください。2FA が有効なら、コードをダウンロードできるリンクが表示されます。
リカバリーコードは必ず生成して安全に保存してください。アカウントにアクセスできなくなるのを防ぐためです。
リカバリーコードは、認証アプリの問題やデバイスのアクセス喪失時に特に役立ちます。コードがないか機能しない場合は、登録済みメールに新しいリカバリーコードをリクエストできます。このコードを使ってログインし、セキュリティ設定で 2FA を無効化して再度有効化することで 2FA 接続をリセットしてください。
Google サインオンでアカウントを作成した場合、パスワードを設定しない限り 2FA 設定オプションは表示されません。ログインページの「パスワードをお忘れですか?」リンクからパスワードリセットを行い、アクセス回復後にアカウント設定で 2FA を設定または無効化してください。
個人アカウントの 2FA 無効化
個人の Intercom アカウントで 2FA を無効にするには、以下の手順に従ってください:
Intercom アカウントにログインしてください。
設定 > 個人 > アカウントセキュリティに移動します。「二要素認証(2FA)」セクションで 2FA のトグルを探します。
トグルをオフに切り替えて 2FA を無効にします。アカウント設定や workspace ポリシーによっては、リカバリーコードや追加の権限が必要な場合があります。トグルオフ後は必ず変更を保存してください。
注意事項:
個人の 2FA 設定は個別ログインにのみ適用されます。workspace レベルの 2FA ポリシーは別途対応が必要です。
workspace によって 2FA が強制されている場合、設定から無効にすることはできません。
workspace レベルの 2FA 管理
workspace 管理者は teammate の個人 2FA 設定を変更できませんが、workspace 全体の 2FA 要件は強制できます。teammate は個人アカウントで 2FA を個別に有効化または無効化する必要があります。workspace レベルの設定は 設定 > workspace > セキュリティ に移動してください。
認証アプリを新しいデバイスに移行する方法
新しいデバイスに移行するには、2FA を一度無効にしてから再度有効にする必要があります。手順は以下の通りです:
1. パソコンで Intercom アカウントにログインします。
2. 設定 ページにこちらからアクセスします。
3. 「2FA を有効にする」をオフに切り替えます。
4. 2FA を無効にした後、新しい電話で設定するために再度有効に切り替えます。
5. 新しい電話の認証アプリでパソコン画面に表示された QR コードをスキャンします。
トラブルシューティング
よくある 2FA の問題
認証アプリのコードが機能しない場合は、以下の対策を試してください:
デバイス設定とアプリの同期:
モバイルデバイスの日時設定を「自動設定」にしていることを確認してください。ずれがあるとコードが失敗する原因になります。
モバイルデバイスを再起動して認証アプリの時間設定を再同期してください。
デバイスの時間設定で自動同期を有効にして、認証アプリが正しく動作するようにしてください。
アプリの再設定:
セキュリティ設定で 2FA を無効にして再度有効にすることで 2FA 接続をリセットし、新しい QR コードを認証アプリでスキャンしてください。
可能であれば、別の認証アプリをバックアップとして使用してください。
2FA を無効にできない場合:
リカバリーコードを使用する:リカバリーコードは初回 2FA 設定時にメールで送信されることが多いです。2FA ログインページでリカバリーコードを入力してアクセスを回復してください。
ワークスペースのポリシーを確認してください:ワークスペースがすべてのteammatesに対して2FAを強制している場合は、管理者に連絡して対応を依頼してください。
2FAを無効にした後に6桁のコードを求められた場合:
リカバリーコードを使ってログインしてください。
2FA設定に移動し、2FAがオフになっていることを確認してから、再度変更を保存してください。
ワークスペースの設定により2FAが有効のままの場合は、さらなる支援のために管理者に連絡してください。
2FAデバイスを紛失したteammateの支援
2FAの問題でアカウントにアクセスできない場合は、「Can manage teammates, seats, and permissions」権限を持つteammateが支援できます。
リカバリーコードが使えない場合、管理者は失敗したログイン試行をリセットし、新しいリカバリーコードを発行できます。teammateに2FA設定のリセットと再設定を促し、今後の問題を防いでください。以下の手順に従ってください:
Teammateの支援を依頼する:
必要な権限を持つteammateに設定 > ワークスペース > teammatesに移動するよう依頼してください。
または、Teammates設定からアクセスしてください。
リカバリーコードの生成と送信:
teammateにあなたのアカウントの隣にある「2FAリカバリー」ボタンをクリックしてもらってください。
リカバリーコードが登録済みのメールアドレスに送信されます。
リカバリーコードの使用:
2FAログインページで、「リカバリーコードを入力」を選択してください。
メールのコードを入力してアカウントへのアクセスを回復してください。
回復後の対応
アカウントへのアクセスを回復した後も2FAは有効のままです。今後のトラブルを防ぐために、以下の手順を実行してください:
初期設定後は必ずリカバリーコードを安全に保管してください。
可能な場合は複数のデバイスを2FA設定に連携させてください。
デバイスや設定の変更に応じて2FA設定を定期的に更新してください。
認証コードの問題を解決する手順
認証コードに問題がある場合は、以下の指示に従ってください:
認証コードの遅延:有効期限内であれば最新のコードを使用してください。期限切れの場合は新しいコードをすぐにリクエストして使用してください。
モバイルアプリでコードが機能しない場合:最新のコードを入力し、モバイルデバイスの日時設定を正しく調整して不一致を防いでください。アプリを再起動して再度コードを試してください。
認証アプリのエラー:認証アプリで生成されたコードが常に拒否される場合は、アプリの再設定や別のアプリへの切り替えを検討してください。
SSOエラー
次のエラーメッセージが表示された場合:
「このワークスペースにはあなたのメールアドレスでの有効な招待が存在しません。招待は送信された正確なメールアドレスでのみ利用可能です。正しいメールアドレスを使っていると思われる場合は、管理者に連絡してください。」
SSOトークン(Google SSOログインごとに固有のID)に混乱が生じている可能性があります。これは会社が最近メールアドレスのdomainを更新した場合に起こることがあります。
例えば、メールアドレスをexample@olddomain.comからexample@newdomain.comに変更した場合です。
Intercomでは、SSOトークンはまだ古いメールアドレスに紐づいており、新しい招待でGoogle SSOログインを試みると、古いdomainにリンクされたままです。これにより「招待は送信された正確なメールアドレスでのみ利用可能です。」というエラーが発生します。
この問題を解決するには、Intercomのサポートチームに連絡して古いメールアドレスからSSOトークンのリンクを解除してもらい、更新されたメールアドレスでGoogle SSOを使用できるようにしてください。
Googleアカウントのメールアドレスを更新する
既存のGoogleアカウントのメールアドレスを更新する場合、問題は発生しません。IntercomはGoogleアカウントIDを保存してteammatesとマッピングしています。
問題が発生した場合は、メールとパスワードでログインできます(ワークスペースがメール/パスワードログインを許可している場合)。ただし、管理者(teammates)はGoogle SSOで招待を利用したためパスワードを設定していない可能性があります。その場合はIntercomからログアウトし、こちらでパスワードを設定してください。