セキュリティ設定の構成

デフォルトの管理者および正しい権限を持つ管理者は、ポリシー、共有と検索、パスワード ポリシー、サイン イン オプション、多要素認証、アクセスの通知、信頼できるサーバー、ポータルへのアクセスなどのセキュリティ設定を構成できます。

ヒント:

セキュリティ、プライバシー、およびコンプライアンスに関する詳細については、Trust ArcGIS をご参照ください。

  1. デフォルトの管理者、またはセキュリティおよびインフラストラクチャを管理するための管理権限を有効化したカスタム ロールのメンバーとしてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの左側にある [セキュリティ] をクリックします。
  4. 以下のセキュリティ設定のうちのいずれかを構成します。

アクセスおよび権限

必要に応じて、以下のポリシー設定のいずれかを変更します。

  • [組織の Web サイトへの匿名アクセスを許可します] - このオプションを有効化すると、匿名ユーザーが組織の Web サイトにアクセスできるようになります。 このオプションを無効にすると、、匿名ユーザーがその Web サイトにアクセスできなくなります。 また、Bing Maps を使用したマップを表示することもできません (組織サイトで Bing Maps が構成されている場合)。

    ヒント:

    ただし、匿名アクセスを無効にしても、組織のメンバーはパブリック URL を使用してパブリック アイテムを共有できます。

    匿名アクセスを有効にした場合は、サイト構成グループがパブリックに共有されていることを確認してください。パブリックで共有されていない場合、匿名ユーザーは、これらのグループのパブリック コンテンツを適正に表示またはアクセスできないことがあります。

    注意:

    確認済みの組織では、組織サイトへの匿名アクセスを許可する必要があります。 確認済みの組織が匿名アクセスを無効化したい場合は、まず、確認済みのステータスを削除する必要があります。

  • [[サイン イン] パネルのオプションを表示して、他の組織のメンバーが ArcGIS Online 認証情報を使用してサイン インし、自分の組織のメンバーと共有している組織コンテンツにのみアクセスできるようにします] - このオプションを有効化すると、他の ArcGIS Online 組織のメンバーは、自分の組織のメンバーと共有しているアイテムにアクセスすることができます。 このオプションを有効化すると、別のサイン イン リンクがサイン イン ウィンドウの下部に表示され、ユーザーは www.arcgis.com を介してサイン インして、共有されているアイテムにアクセスできます。
  • [メンバーが、自己紹介とそのプロフィールを参照できるユーザーを編集できます] - このオプションを有効化すると、メンバーがプロフィールの自己紹介を変更したり、プロフィールを表示できる人を指定したりできるようになります。
  • [メンバーに設定ページから ArcGIS Pro などのライセンス供与された Esri アプリケーションをダウンロードできるようにします] - このオプションを有効化すると、必要なライセンスが付与されている組織のメンバーが、設定ページのリンクを使用してアプリをダウンロードできるようになります。 このオプションを無効にすると、メンバーのダウンロード リンクが非表示になります。

共有と検索

必要に応じて、以下の共有と検索の設定のいずれかを変更します。

  • [組織サイト外へのコンテンツ共有を許可します] - このオプションを有効化すると、メンバーが、プロフィールをすべての人 (パブリック) に公開したり、Web アプリなどのアイテムをパブリックに共有したり、Web サイト内にマップやグループを埋め込んだりすることができます。

    この設定を無効化すると、メンバーは、プロフィールをパブリックに公開したり、パブリックにコンテンツを共有したり、または Web サイトにコンテンツを埋め込んだりすることができなくなります。 ソーシャル メディア ボタンも無効になります。 管理者は、メンバーのアイテムをパブリックに共有できます。 また、組織外のグループにメンバーを招待できるように、メンバーのプロフィールをすべての人 (パブリック) に公開することもできます。

    組織サイトへの匿名アクセスを無効にしている場合、マップ、アプリ、およびグループを共有するには、アイテムをすべてのユーザー (パブリック) で共有し、アイテムの URL を組織サイトのプライベート URL からパブリックの ArcGIS Online URL (www.arcgis.com) に変更します。 たとえば、組織サイトのマップの 1 つを匿名ユーザーと共有するには、URL を https://samplegis.maps.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 から https://www.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55 に変更します。

  • [組織サイト外のコンテンツ検索を許可します] - このオプションを有効化すると、メンバーが、組織外のユーザーが所有するマップ、レイヤー、アプリ、およびファイルを表示できるようになります。

    この設定を無効化すると、メンバーは組織外のコンテンツにアクセスできなくなります。 管理者は組織サイトの外部にあるアイテムを検索することができます。

  • [アイテムおよびグループ ページにソーシャル メディア リンクを表示します] - このオプションを有効化すると、Facebook および Twitter へのリンクをアイテム ページやグループ ページに含めることができます。

パスワード ポリシー

メンバーは、自分のパスワードを変更する際に、パスワードが組織のポリシーに従っている必要があります。 ポリシーに従っていない場合、ポリシーの詳細を示すメッセージが表示されます。 組織のパスワード ポリシーは、SAML ログインなどの組織固有のログインや、アプリケーション ID とアプリの秘密の質問を使用するアプリ認証情報には適用されません。

ArcGIS のデフォルト パスワード ポリシーでは、パスワードは最低 8 文字で、1 つ以上の文字と 1 つ以上の数字を含んでいる必要があります。 組織のパスワード ポリシーを更新する場合は、[パスワード ポリシーの管理] をクリックし、ArcGIS アカウントを持つメンバーのパスワードの長さ、複雑度、および履歴の各要件を構成します。 パスワードの長さ、およびパスワードに大文字、小文字、数字、または特殊文字を 1 文字以上含める必要があるかを指定できます。 パスワードの有効期限が切れるまでの日数、およびメンバーが再利用できない過去のパスワードの数も構成できます。 ArcGIS のデフォルトのポリシーに戻すには、随時 [ArcGIS のデフォルトのポリシーを使用] をクリックします。

注意:

脆弱なパスワードは受け付けられません。 「password1」などの、よく使用されるパスワード、または繰り返し文字や連続的文字を含むパスワード (たとえば、「aaaabbbb」や「1234abcd」) である場合、そのパスワードは脆弱であると見なされます。

ログイン

メンバーが ArcGIS ログイン、Security Assertion Markup Language (SAML) ログイン (これまでのエンタープライズ ログイン)、OpenID Connect ログイン、およびソーシャル ログインのいずれかの方法を使用してサイン インできるように、組織のサイン イン ページをカスタマイズできます。

ログイン方法が組織のサイン イン ページに表示される順序をカスタマイズすることもできます。 ログイン方法の順序を変更するには、その方法のハンドル 順序変更 をクリックして新しい位置にドラッグします。 [プレビュー] をクリックして、サイン イン ページの表示を確認します。

注意:

ログイン順序変更は、ArcGIS Hub Premium を使用する組織では利用できません。

[ArcGIS ログイン] 切り替えボタンをオンにして、ユーザーが ArcGIS ログインを使用して ArcGIS にサイン インできるようにします。

組織サイトの既存の SAML ID プロバイダーを使用して ArcGIS にメンバーがサイン インする場合は、[新しい SAML ログイン] ボタンを使用して SAML ログインを構成します。

組織サイトの既存の OpenID Connect ID プロバイダーを使用してメンバーがサイン インする場合は、[新しい OpenID Connect ログイン] ボタンを使用して OpenID Connect ログインを構成します。

SAML ログインや OpenID Connect ログインなどの組織固有のログインを使用するメリットについては、「Readiness in 5 or Less: 組織固有のログイン」ビデオをご覧ください。

組織のメンバーに、FacebookGoogleGitHubApple などのソーシャル ネットワークで使用するログインを使用した、ArcGIS へのサイン アップおよびサイン インを許可することもできます。 ソーシャル ログインを有効化するには、[ソーシャル ログイン] 切り替えボタンをオンにして、有効化するソーシャル ネットワークの切り替えボタンをオンにします。

多要素認証

注意:

このオプションは、ArcGIS ログインを使用する ArcGIS 組織アカウントの多要素認証を制御します。 組織固有 (SAML または OpenID Connect) のログインの多要素認証を構成するには、ID プロバイダーに連絡して、対応するオプションを構成してください。

ソーシャル ログインで作成された ArcGIS 組織アカウント、または ArcGIS の個人向けアカウントでは、多要素認証はサポートされていません。

組織のメンバーが ArcGIS にサイン インする際に 多要素認証を設定できるようにするには、[メンバーが、個々のアカウントの 多要素認証を設定するかどうかを選択できるようにします] トグル ボタンを有効化します。 多要素認証では、メンバーのサイン イン時にユーザーの名前とパスワードに加えて確認コードを要求することで、セキュリティ レベルを強化します。

この設定を有効にすると、組織のメンバーは各自のプロフィール ページで 多要素認証を有効化して、サポートされている認証アプリからの確認コードを、携帯電話またはタブレットで受信できます (現在は、Android および iOS 用の Google Authenticator と、Windows Phone 用の Authenticator がサポートされています)。 多要素認証が有効なメンバーには、[組織] ページの [メンバー] タブで、メンバー テーブルの多要素認証列 多要素認証 にチェック マークが表示されます。

組織で 多要素認証を有効にしている場合に、必要に応じてメンバー アカウントの 多要素認証を無効にする電子メール リクエストを送信するには、宛先に少なくとも 2 人の管理者を指定する必要があります。 ArcGIS Online は、[お使いのコードによるサイン インで問題が発生しましたか?] リンク (メンバーに認証コードの入力を求めるページに存在) で多要素認証に関するヘルプを要求したメンバーに代わって電子メールを送信します。 少なくとも 1 人が多要素認証の問題のあるメンバーに対応できるように、2 人以上の管理者が必要となります。

多要素認証は、OAuth 2.0 をサポートしている Esri アプリの ArcGIS アカウントで機能します。 これには、ArcGIS Online の Web サイト、ArcGIS Desktop 10.2.1 以降、ArcGIS アプリ、My EsriArcGIS Marketplace で購入可能なアプリなどがあります。 ArcGIS Desktop 10.2.1 以降では、多要素認証を使用して、カタログ ウィンドウのすぐに使用できるサービスのノードから ArcGIS Online サービスに接続できます。 などがあります。

OAuth 2.0 をサポートしていないアプリにアクセスする場合、多要素認証を無効化する必要があります。 OAuth2.0 をサポートしている一部のアプリ (ArcGIS Desktop 10.2.1 以降など) でも、ArcGIS Desktop から、ArcGIS Online の一部として使用可能な ArcGIS Server サービスに接続する場合には、事前に多要素認証を無効にしておく必要があります。 これには、ルート検索や標高解析を実行するジオコーディング サービスとジオプロセシング サービスが含まれます。 認証情報を Esri プレミアム コンテンツと一緒に格納する場合にも、多要素認証を無効にしておく必要があります。

電子メールの確認

ArcGIS Online ユーザーと管理者は、組織のメンバーの電子メール アドレスの有効性を確認することで、パスワードのリセットやアカウントの変更といった重要な情報を ArcGIS Online から受信できるようになります。 必要に応じて、電子メール アドレスが未確認のメンバーが組織にサイン インする際にアドレスを確認するよう求める切り替えボタンをオンにします。

デフォルト管理者と、セキュリティとインフラストラクチャの設定管理、メンバーの管理、すべてのメンバーの表示を行うための管理権限を持つメンバーは、[未確認のメンバーの表示] をクリックすることで、電子メール アドレスが未確認のメンバーのリストを表示できます。 デフォルト管理者は、メンバーの名前の横にある [電子メール アドレスの編集] をクリックして、未確認のメンバーの電子メール アドレスを確認して編集することもできます。

アクセス時の通知

利用条件の注意事項を構成し、サイトにアクセスするユーザーに表示することができます。

組織のメンバー、または組織サイトにアクセスするすべてのユーザー、あるいはその両方のために、アクセス時の通知を構成することができます。 組織のメンバーのためのアクセス時の通知を設定した場合、メンバーがサイン インした後に注意事項が表示されます。 すべてのユーザーのためのアクセス時の通知を設定した場合、ユーザーがサイトにアクセスするときに、注意事項が表示されます。 両方のアクセス時の通知を設定した場合、組織のメンバーには両方の注意事項が表示されます。

組織のメンバーまたはすべてのユーザーのためのアクセス時の通知を構成するには、適切なセクションで [アクセス時の通知の設定] をクリックし、切り替えボタンをオンにしてアクセス時の通知を表示し、注意事項のタイトルとテキストを入力します。 ユーザーがサイトに進む前にアクセス時の通知に承認するようにする場合は [承認および拒否] オプションを選択し、ユーザーが [OK] をクリックするだけで続行できるようにする場合は、[OK のみ] を選択します。 終了したら、[保存] をクリックします。

組織のメンバーまたはすべてのユーザーのためのアクセスの通知を編集するには、適切なセクションの [アクセス時の通知の編集] をクリックし、タイトル、テキスト、またはアクション ボタンのオプションを変更します。 アクセス時の通知の表示が不要になった場合は、切り替えボタンを使用してアクセス時の通知を無効にします。 アクセス時の通知を無効にした後に、アクセス時の通知を再度有効にした場合、以前に入力したテキストおよび構成は保持されます。 終了したら、[保存] をクリックします。

情報バナー

情報バナーを使用して、組織サイトにアクセスするすべてのユーザーに対して、サイトの状態およびコンテンツに関して警告することができます。 たとえば、カスタム メッセージを作成して、サイトの上部および下部に表示することによって、メンテナンス スケジュールまたは機密情報アラートについて、ユーザーに知らせます。 このバナーは、ホーム、ギャラリー、Map ViewerMap Viewer Classic、Scene Viewer、ノートブック、グループ、コンテンツ、および組織の各ページに表示されます。

組織で情報バナーを有効化するには、[情報バナーの設定] をクリックして、[情報バナーの表示] をオンにします。 テキストを [バナー テキスト] フィールドに追加し、背景色およびフォントの色を選択します。 選択したテキストおよび背景色のコントラスト比が表示されます。 コントラスト比は、WCAG 2.1 アクセシビリティ基準に基づく見やすさの尺度です。これらの基準に従うために、4.5 のコントラスト比をお勧めします。

[プレビュー] ウィンドウで、情報バナーをプレビューできます。 [保存] をクリックして、バナーを組織サイトに追加します。

情報バナーを編集するには、[情報バナーの編集] をクリックして、バナーのテキストやスタイル設定を変更します。 情報バナーの表示が不要になった場合は、トグル ボタンを使用して情報バナーを無効にします。 情報バナーを無効にした後に、情報バナーを再度有効にした場合、以前に入力したテキストおよび構成は保持されます。 終了したら、[保存] をクリックします。

信頼できるサーバー

[信頼できるサーバー] で CORS (Cross-Origin Resource Sharing) リクエストを作成して Web 層認証で保護されたサービスにアクセスする際に、組織サイトによって認証情報を送信してもらう、信頼できるサーバーのリストを構成します。 これは主に、ArcGIS Server を実行しているスタンドアロンの (フェデレーションが解除された) サーバーから保護されたフィーチャ サービスを編集したり、保護された OGC サービスを表示したりする場合に適用します。 トークンベースのセキュリティで保護された ArcGIS Server ホスティング サービスは、このリストに追加する必要はありません。 信頼できるサーバーのリストに追加されたサーバーは、CORS をサポートする必要があります。 さらに、ArcGIS Online 組織のドメインなど、サーバーとの通信に使用される特定のドメインを許可するように CORS を構成する必要もあります。 CORS をサポートしていないサーバーでホストされているレイヤーは、期待どおりに機能しない可能性があります。 ArcGIS Server は、10.1 以降のバージョンで、CORS をデフォルトでサポートしています。 ArcGIS 以外のサーバーで CORS を構成するには、Web サーバー向けのベンダー ドキュメントをご参照ください。

ホスト名は、個々に入力する必要があります。 ワイルドカードは使用できません。 ホスト名を入力する際は、先頭にプロトコルを付けても付けなくてもかまいません。 たとえば、ホスト名 secure.esri.com は、secure.esri.com または https://secure.esri.com として入力できます。

注意:

Web 層認証で保護されたフィーチャ サービスを編集するには、CORS 対応の Web ブラウザーを使用する必要があります。 CORS は、サポートされているブラウザーすべてで有効になっています。

オリジンの許可

ArcGIS REST API は、デフォルトで、任意のドメインの Web アプリケーションから送信される CORS (Cross-Origin Resource Sharing) リクエストを受け入れています。 組織で、CORS を介して ArcGIS REST API にアクセスできる Web アプリケーション ドメインを制限するには、そのドメインを明示的に指定する必要があります。 たとえば、 Web アプリケーションへの CORS アクセスを acme.com のみに制限する場合は、[追加] をクリックして、テキスト ボックスに「https://acme.com」と入力し、[ドメインの追加] をクリックします。 最大で 100 の信頼されたドメインを組織サイトに指定することができます。 arcgis.com ドメインで実行されるアプリケーションは、ArcGIS REST API に常にアクセスが許可されているため、arcgis.com を信頼されたドメインとして指定する必要はありません。

ポータルへのアクセスを許可

セキュリティで保護されたコンテンツを共有したいポータルのリスト (例: https://otherportal.domain.com/arcgis) を構成します。 この構成により、組織のメンバーは組織固有のログイン (SAML ログインを含む) を利用してセキュリティで保護されたコンテンツにアクセスし、ポータルからコンテンツを閲覧できるようになります。 これは、ArcGIS Enterprise バージョン 10.5 以降のポータルにのみ適用されます。 セキュリティ保護されたコンテンツを ArcGIS Online の組織サイト間で共有する場合、この設定は不要です。 コンテンツを組織間でプライベートに共有するには、「別の組織とのアイテムの共有」をご参照ください。

ポータルの URL は個別に入力する必要があります。入力する際はプロトコルも含めてください。 ワイルドカードは使用できません。 追加するポータルが HTTP アクセスと HTTPS アクセスの両方を許可している場合、そのポータルの 2 つの URL を追加する必要があります (例: http://otherportal.domain.com/arcgishttps://otherportal.domain.com/arcgis)。 リストに追加するすべてのポータルは最初に整合チェックされるため、ブラウザーからアクセスできる必要があります。

アプリ

組織のメンバーがアクセスできる外部アプリを指定できるほか、必要であれば、組織メンバーがアプリ ランチャーから承認済み Web アプリを使用できるよう選択することもできます。 また、規制、標準、およびベスト プラクティスに準拠するために、メンバーに対してブロックする Esri アプリのリストも指定できます。

承認済みアプリ

すべての Esri アプリ、ライセンス アプリ、ArcGIS Marketplace から購入されたアプリは、メンバー アクセスが自動的に承認されます。[権限のリクエスト] プロンプトが表示されることなく、組織のメンバーに他のアプリ タイプのアクセス権を付与するには、組織で承認されたアプリのリストを指定する必要があります。 承認済みアプリには、組織内外でホストされている Web アプリ、モバイル アプリ、ネイティブ アプリが含まれます。 外部アプリへのアクセス権については、承認済みアプリ リストに追加されたアプリにのみサイン インを制限することも可能です。

注意:

パブリックに共有された Web アプリも、アプリ ランチャーから組織メンバーが使用できるようにすることができます。 ライセンス付きアプリは、該当するライセンスを持つメンバーのアプリ ランチャーに自動的に表示されます。 詳細については、「アプリ ランチャーでのアプリの管理」をご参照ください。

組織メンバーがアプリにアクセスできるよう承認するには、次の手順を表示します。

  1. デフォルトの管理者、またはセキュリティおよびインフラストラクチャを管理するための管理権限を持つカスタム ロールのメンバーとしてサイン インしていることを確認します。
  2. サイトの上部にある [組織] をクリックして、[設定] タブをクリックします。
  3. ページの横にある [セキュリティ] をクリックし、[アプリ] をクリックして、ページの [アプリ] セクションに移動します。
  4. 必要に応じて、[メンバーは、承認済みのサードパーティ アプリにのみサイン インできます] 切り替えボタンをオンにします。

    この設定をオンにすると、組織のメンバーは、承認済みアプリ リストに追加された外部アプリにのみサイン インできます。 これは、現在組織に登録されていない外部アプリに適用されます。 Esri アプリと、ArcGIS Marketplace で購入されたアプリは常に承認され、この設定でアクセスがブロックされることはありません。

  5. [承認済みアプリ][承認済みアプリの追加] をクリックします。
  6. 次のいずれかの方法で、アプリを検索します。
    • リスト内のアプリを参照します。
    • 名前で検索 - アプリ名で検索する場合は、組織でホストされているアプリのみを検索の対象にすることができます。
    • アイテム URL で検索 - アイテム URL で検索する場合、パブリックに共有されているアプリのみを検索の対象にすることができます。 アイテム URL は、アプリのアイテム ページ[概要] タブ ([URL] セクション) で確認できます。
    • アプリ ID で検索 - アプリ アイテムを所有しているか、権限がある場合は、アプリのアイテム ページの [設定] タブ ([アプリケーション設定] > [登録情報]) でアプリ ID を確認できます。 また、プライベート ブラウザー ウィンドウでアプリを開き、アプリのサインイン リンクをクリックして、ブラウザーのアドレス バーに表示される URL の cliend_id 値でアプリ ID を確認する方法もあります。
      ヒント:

      メンバーがすでにサイン インしているアプリの client_id は、組織レポートにも表示されます。

  7. 承認するアプリを選択します。
  8. Web アプリを選択し、必要に応じて [アプリ ランチャーに表示] 切り替えボタンをオフにすると、アプリ ランチャーで Web アプリを非表示にできます。

    Web アプリをアプリ ランチャーで表示するには、この切り替えボタンをオンにしたまま「アプリ ランチャーでのアプリの管理」の手順を実行します。

  9. [保存] をクリックして、アプリを承認済みアプリ リストに追加します。

ブロックされた Esri アプリ

ユーザー タイプに含まれ、ライセンスによって制御できないアプリへのアクセスを組織が制限する場合は、ブロックされたアプリのリストを構成できます。 現時点でベータ版のアプリへのアクセスをブロックすることもできます。

ブロックされたアプリはアプリ ランチャーから削除され、これらのアプリ アイテムはコンテンツ ページからも、Web マップからも作成することはできません。 管理者は、ライセンスを管理する場合や新しいメンバーを追加する場合に、ブロックされたアプリを引き続き表示できますが、それらのアプリを選択することはできません。 ブロックされる前に作成されたアプリ アイテムは組織で表示されたままですが、メンバーはそれらのアイテムにサイン インできません。 ブロックされたアプリが組織と共有されている場合、メンバーはそのアプリにサイン インして使用することはできません。

[Esri アプリがベータ版である間、アプリをブロックします] 切り替えボタンをオンにすると、メンバーはベータ版のアプリにアクセスできなくなります。 現時点でベータ版のアプリを確認するには、[アプリのリストの表示] をクリックします。

ベータ版ではないアプリをブロックするには、[ブロックされた Esri アプリの管理] をクリックし、ブロックするアプリを選択して、[保存] をクリックします。 リストには、現時点でベータ版のアプリが表示されます。リスト内でこれらのアプリを選択すると、ベータ版でなくなってもアクセスがブロックされます。

管理者は、[ブロックされた Esri アプリの管理] ウィンドウでアプリの選択を解除するか、組織のブロックされたアプリのリストでアプリの横の [削除] ボタン 削除 をクリックして、リストからアプリを削除できます。