Google Cloud へのログインに MFA 有効化が必須に。影響は?何をすべき?
2025.02.07Google Cloud 全ユーザに影響? MFA 有効化必須とは?
2024年11月、Google Cloud へのログインに 多要素認証(MFA) の有効化が必須となる方針であることがアナウンスされました。
さらに直近で、具体的なスケジュールや対応方針、QA などの詳細について公式ドキュメントが公表されました。
MFA は、Google アカウントでログインする際に、電話や認証アプリなどの追加要素での認証を求める機能です。MFA の有効化はこれまでもセキュリティリスクの低減を目的と、ユーザへの設定が促進されてきました。今回のアナウンスで Google Cloud へログインする全ユーザに対し MFA の有効化を必須とする ことが明らかとなりました。
影響範囲
MFA 有効化が必須となる対象は、Google Cloud にログインする全ユーザ です。Google Cloud Console、Google Cloud CLI、Firebase にログインするために、MFA の設定をしておくことが必須となります。
また、Google アカウントを管理する管理者側での対応が必要なケースもありますのでご注意ください。管理者側での対応についても本ブログ内で解説いたします。
なお、今回のアナウンスの対象は Google Cloud のみであり、Google Workspace の利用には影響はありません。
また、3rd Party の IdP を使用して SSO を構成している場合、IdP 側で MFA が有効になっていれば Google アカウントで個別に MFA を設定する必要はないとのことです。(以下ドキュメントより引用)
My users already have MFA through my third-party identity provider. Do they have to enable Google MFA?
Organizations using a third-party identity provider (IdP) are not required to use Google MFA if MFA is enabled for their IdP.
対応しないとどうなる?
MFA を有効化していないユーザは Google Cloud へのログインが不可となります。
具体的にどのようなエラーメッセージが表示されるかは不明ですが、ログインを試みた際に以下のような画面が表示されるのではと想定しています。(以下は Cloud Identity で2段階認証プロセスを強制する設定をした状況下で、MFA を有効化していないユーザが Google アカウントにログインを試みた際に表示されるメッセージです)
ただし、対応を忘れてログイン不可となった場合でも、その後 MFA を有効化すれば問題無くログインは可能となります。
スケジュール
2025年を通し、段階的に MFA の有効化が必須化されていくスケジュールとなります。
| MFA 有効化期限 | 対象 | 解説 |
|---|---|---|
| 2025/4/28 | リセラーアカウント | Google Cloud のリセラーパートナーが管理するリセラー専用ドメインの MFA 有効化が必須となる |
| 2025/5/12 | 一般 Google アカウント | @gmail.com を含む、個人で作成した Google アカウントの MFA 有効化が必須となる |
| 2025/7~9 あたり | SSO を利用しない企業管理アカウント | Cloud Identity または Google Workspace によって管理するドメインの MFA 有効化が必須となる |
| 2025/10~12 あたり | SSO を利用する企業管理アカウント | 3rd Party IdP から SSO によって ID 連携された Google アカウントの MFA 有効化が必須となる |
ユーザがやるべきこと
Google アカウントでの MFA 有効化設定が必要となります。
MFA 有効化設定の手順
MFA を有効にしたい Google アカウントで以下の設定ページにアクセスします。
Google アカウント セキュリティ設定ページ
[Google にログインする方法] -> [2段階認証プロセス] を確認します。以下画像のように「2段階認証プロセスは無効になっています」と記載されている場合、以降の手順の対応が必須となります。[2段階認証プロセス] をクリックします。
青の [2段階認証プロセスを有効にする] をクリックすると電話番号認証の設定となります。その他の要素で設定する場合は、[2つ目の手順] から選択します。
2段階認証プロセスの設定が完了すると、以下のように有効であることが確認できます。
2段階認証が設定できない場合
以下の画面のように、[Google にログインする方法] に [2段階認証プロセス] の設定が無いケースがあります。このような画面となった場合はアカウントの管理者側での作業が必要となるため、管理者にお問い合わせください。管理者側での対応内容については次の項目で解説します。
企業のアカウント管理者がやるべきこと
ユーザへの通知
Cloud Identity や Google Workspace で Google アカウントを管理する管理者は、前述の MFA 有効化設定を Google Cloud ユーザへ通知する必要があります。
3rd Party の IdP による SSO 連携をしている場合
前述したように、3rd Party の IdP を使用して SSO を構成している場合、IdP 側で MFA が有効になっていれば Google アカウントで個別に MFA を設定する必要はないとのことです。
ユーザ側で2段階認証が設定できない場合
Cloud Identity または Google Workspace で2要素認証の有効化をオフにしている場合、ユーザ側での有効化ができません。(以下のような画面となり設定ができません)
Google 管理コンソールより、[セキュリティ] -> [認証] -> [2段階認証プロセス] の [ユーザーが 2 段階認証プロセスを有効にできるようにする] が無効化されていないことを確認します。無効化されている場合、有効化して保存してください。
ユーザの MFA 有効化状況確認
管理する各ユーザの MFA 有効化状況は、Google 管理コンソールの [レポート] -> [ユーザーレポート] -> [セキュリティ] から確認できます。こちらの情報を基に各ユーザに対し2段階認証プロセスの設定を促進してください。
おわりに
今回のアナウンスは Google Cloud にログインする全ユーザが影響を受けるものです。
ログイン不可となった場合でも、その後 MFA を有効化すれば問題はありません。
しかし、対応方針がわからず管理者に問い合わせが殺到する状況は避けたいです。管理者の方には早めの計画と設定の促進をお願いできればと思います。
