コンテンツにスキップ

パスワードポリシーについて

はじめに

用途

本資料は既に TeamFile をご利用になっているお客様のうちサーバ管理者向けと して作成されております。

対象者

TeamFile の管理者(サーバ管理者ではありません)

パスワードポリシー機能とは

機能概要

TeamFile のログインに利用されているパスワードについてサーバ管理者が一括でポリ シーを設定し、それに対して利用者全員が従うように促すことができるセキュリティ 機能です。サーバ管理者は利用者一人一人を監視することなくパスワードの定期的な更新及び 安易なパスワード入力を抑制することができます。

設定方法

設定の場所

ユーザ管理画面の右クリックで表示されるコンテキストメニューで選択できます

TF01011-0001.png

設定方法

デフォルト(初期導入時)ではパスワードポリシーはオフに設定されています。

TF01011-0002.png

機能説明

パスワードポリシーを適用する

設定された値を利用してパスワードポリシーを適用したり外したりできます。
設定は即時に反映されます。

入力ルール

最低文字数

パスワードに必要な文字数を指定します。1〜64 文字まで設定できます。

アルファベット小文字を「含んでもよい」か「含まなくてはならない」

パスワードのアルファベットの小文字を含むか含まなくてはならないかを設定します。
アルファベットの範囲は「abcdefghijklmnopqrstuvwxyz」となります。

アルファベット大文字を「含んでもよい」か「含まなくてはならない」

パスワードのアルファベットの小文字を含むか含まなくてはならないかを設定します。
アルファベットの範囲は「ABCDEFGHIJKLMNOPQRSTUVWXYZ」となります。

数字を「含んでもよい」か「含まなくてはならない」

パスワードに数字を含むか含まなくてはならないかを設定します。
数字の範囲は「01234567890」となります。

記号を「含んでもよい」か「含まなくてはならない」

パスワードに数字を含むか含まなくてはならないかを設定します。
記号の範囲は「!"#$%&'()=~|`{+*}<>?_-^\@[;:],. /」となります。
上記の範囲には半角スペースも存在します。

例外

ユーザ ID 文字列を含めてはいけない

ユーザ ID 自体をパスワードに含めてパスワードを作成した場合エラーにする項目です。
単純に文字列に変更者のユーザ ID があった場合のチェックを行っています。

禁則文字を含めてはいけない

この禁則文字を利用してパスワードの文字列を作成されることを禁止することができます。
ただし、この禁則を増やした場合設定できるパスワード文字列が減少することもご注意ください。

連続文字を含めてはいけない

単純な連続な文字列を禁止します。このルールにより「aaa」や「gg」など連続している文字が 含まれるパスワードを禁止することができます。

初回ログイン時

ユーザを管理者が作成した後、利用者が TeamFile を利用する第一回目にパスワードの変更をど のようにするかを設定する項目です。

パスワードの変更は不要

パスワードの変更は不要です。ユーザは管理者より通知されたパスワードでそのまま運用ができます。

パスワードの変更が必要

パスワードの変更が必須となります。変更を行わない限り TeamFile サーバへはログインは できますが、ファイル操作を一切行えません。

指定期間内にパスワードの変更が必要

変更要請に猶予期間がついておりその期間内に変更をさせるように促すことができます。 猶予期間内であった場合、ファイル操作も一通り行うことができますが、猶予期間が過ぎた場合 サーバよりオペレーションがロックされてしまいます。猶予期間は1〜10,000 日の間で設定できます。
猶予期間中は、猶予期間一日ごとにサーバよりメールが届きます。
(ただしメールアドレスが設定されているユーザのみ)

有効期間

無期限

パスワードの有効期間が無期限となります。

パスワードの有効期間(日)

パスワードの有効期間を日数で指定します。パスワードを変更してからこの日数の期間内に 次回の変更を行わなければならないようになります。5 日以内は運用的に厳しい有効期間となる為、警告が表示されます。

パスワードロックまでの猶予期間(日)

前述のパスワード有効期間よりこの期間の日数を猶予期間として指定できます。「パスワードの有効期間+パスワードロックまでの猶予期間」の間が、利用者がパスワード変更しなければならない期間となります。 この期間も超えた場合、アカウントがロックされて利用できなくなります。

この項目は「パスワードの有効期間」+「パスワードロックまでの猶予期間」の合計が10000 日以内で設定してください。

入力履歴

過去パスワードをどれぐらいサーバで保持するかを設定できます。過去パスワードを利用するとエラーが表示されます。履歴は1〜12 まで保持することができます。0 は履歴を持ちません。

注意事項

管理者の方はパスワードポリシーをいつでも変更することができますが、ポリシーの変更は即時の為、オペレーションミスにより利用者全員に影響します。
そのため、設定を行う場合には以下のようなメッセージを表示して管理者の方が誤って操作を行わないように措置が講じられています。
(初めて、パスワードポリシーを設定する場合は表示されません)

TF01011-0035.png

利用者のパスワード変更時のエラー画面

利用者はパスワードの変更がポリシールールに違反した場合、以下のようにエラーが表示されます。 全てのエラーが表示されるため、全てのルールをクリアするようにパスワードの設定を行う必要があります。

TF01011-0036.png

パスワードポリシールールを運用する際の注意事項

パスワードポリシーはTeamFileのクライアントバージョン 2.0.114 より搭載されましたが、従来のクライ アントでも動作は可能です。ただしアップデートをしなければ4.8 のようなエラー表示が行えませんので なるべく最新版へアップデート行うようにお願いいたします。
パスワードポリシーはメールを多用します。利用者がメールアドレスを持っていない場合、通知が一切行 われませんのでご注意ください。
パスワードポリシーは、設定によっては非常に厳しくすることも可能です。過度な設定は利用者に余計な 負荷をかけるばかりではなく、運用が煩雑になる可能性もありますのでご注意ください。

サーバからのメール通知について

パスワードポリシーのうち有効期間など期間がある項目については、メールにて利用者へ通知が行われます。
ここではその種類と通知されるタイミングについてご説明します。
なお、メール通知されるタイミングは TeamFile へアクセスした時点となります。
TeamFile へユーザがログイン動作を行わない場合は通知されません。

メールの種類

初期パスワード変更のお願い(猶予期間なし)

初期パスワードを変更するように依頼されるメールです。初回のみ届きます。
必ず変更しなければ利用できません。

初期パスワード変更のお願い(猶予期間あり)

初期パスワードを変更するように依頼されるメールです。初回のみ届きます。
猶予期間が設けられている為、猶予期間中毎日メールが届きます。(一日一回)

初期パスワードがロックされました

初期パスワードを変更せずに、猶予期間放置した場合このメールが通知されアカウントがロックされます。これを解除する為には、
後に説明する「管理者のパスワード変更」で管理者が変更する必要があります。

パスワードの有効期限が切れました

パスワードの有効期限が切れた場合(初回を除く)に通知されます。
メールに記載されている日付以内にパスワード変更を行う必要があります。
猶予期間中は毎日メールが届きパスワード変更を行うよう通知されます(一日一回)

パスワードがロックされました

パスワードの有効期限が切れた場合にアカウントがロックされたことを通知するメールです。 これを解除する為には、後に説明する「管理者のパスワード変更」で管理者が変更する必要があります。

パスワードポリシーの仕組み

メール通知は先に示したとおり利用者のログイン時点に評価され通知されます。強制的にシステム側よりロックを行うようなことはしません。ここではその仕組みについて説明します。

例:パスワードポリシー

TF01011-0048.png

  1. 有効期間
    1-1. パスワードの有効期間(日)        180 日(約 6 ヶ月)
    1-2. パスワードロックまでの猶予期間(日)    30 日(約 1 ヶ月)

ケース1:一般的な利用者

TF01011-0049.png

ケース2:長期不在者の場合

TF01011-0050.png

ケース3:管理者が「パスワードポリシーを適用する」を再適用(On→Off→On)する。

TF01011-0051.png

管理者のパスワード変更

管理者が利用者(一般ユーザ)のパスワードを変更する場合、管理者の特権としてパスワードポリシーは適用されません。ただし、管理者自身の変更は例外なくポリシーが適用されます。
さらに、管理者がパスワードを変更した場合、パスワード変更日は管理者が変更した日に設定されます。

TF01011-0052.png