パスワード ポリシー

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Atlassian Access のパスワード ポリシー

Atlassian Access にサブスクライブすると、パスワード ポリシーを利用できます。

Atlassian Access はご利用の Atlassian Cloud 製品すべてに対して、企業全体での可視性、安全性、およびコントロールを実現します。1 つの製品からユーザーを管理したりセキュリティ ポリシーを適用したりして、ビジネスを確実に拡張できます。

Atlassian Access を開始する方法については、こちらをお読みください。


パスワード ポリシーについて

Atlassian Access でパスワード ポリシーを設定し、Atlassian Cloud 製品にアクセスするユーザーがパスワード作成時にベスト プラクティスを使用するようにできます。組織管理者はパスワード ポリシーを設定して、すべての管理対象ユーザーに、最低パスワード強度を満たしたり、パスワード有効期限に従ったりするように要求することができます。

Atlassian Access でパスワード ポリシーを設定していない場合、ユーザーのパスワード要件でのパスワード長は 8 ~ 100 文字になります。

Atlassian Cloud の管理者は、ユーザーの Atlassian アカウントにパスワード ポリシーを適用する前に、いくつかの手順を完了しておく必要があります。

  1. 組織を作成していること。詳細については「Atlassian 組織のセットアップ」をご参照ください。
  2. 1 つ以上のドメインを検証済みであること。確認方法については「組織のドメインを検証する」をご参照くだい。ドメインを検証すると、検証済みドメインのメール アドレスを使用するすべての Atlassian アカウントが組織で管理されるようになります。設定したパスワード ポリシーは、この管理対象アカウントに適用されます。
  3. Atlassian Access にサブスクライブしていること。

注意:

  • パスワード ポリシーは、サイトや製品ではなく、Atlassian アカウントに適用されます。組織のパスワード ポリシーは、管理対象アカウントであれば、検証済みドメインに所属しない Atlassian Cloud 製品にログインする場合でも適用されます。 
  • パスワード ポリシーはユーザーに紐づけられます。このため、別の組織で管理されている Atlassian アカウントを使用して組織の Atlassian Cloud 製品にログインする場合、その組織が設定したパスワード ポリシー (存在する場合) が適用されます。
  • パスワード ポリシーを削除しても、Atlassian Access のサブスクライブは継続されます。管理対象アカウントへのセキュリティ ポリシーの適用を中止する場合、Atlassian Access を解約できます。


パスワード ポリシーの設定

パスワード ポリシーは、管理対象のアカウント、つまり、組織の検証済みドメインに属する Atlassian アカウントに適用されます。

パスワード ポリシーをセットアップする方法
  1. admin.atlassian.com で、ご利用の組織から、
     [セキュリティ] を選択し、[パスワード管理] を選択します。

    アトラシアンでは現在、管理者のエクスペリエンスの更新を行っています。これにより、[パスワード管理] に移動するために [セキュリティ] をクリックする必要はない場合があります。

  2. 以降の説明を参照してパスワード ポリシー属性を設定します。 
  3. 終了したら、[パスワード ポリシーの更新] をクリックします。 


有効化すると、管理対象アカウントが次の Atlassian Cloud 製品にアクセスするときに、パスワード ポリシーが適用されます。

  • Jira Software

  • Jira Core

  • Jira Service Desk - 組織の検証済みドメインからの Atlassian アカウント ユーザーのみ。組織の検証済みアカウントの Atlassian アカウントを持たない、Jira Service Desk ポータルのみのユーザーは、パスワード ポリシーの対象となりません。

  • Confluence

  • Bitbucket

最低パスワード強度

すべてのパスワードが準拠する必要がある最低強度を選択することができます。Atlassian アカウントでは、パスワード強度の評価に単純なルールではなくエントロピー スコアを使用していますが、次の例も参考にしてください。

パスワード強度
Weak asdf
Fair ryti*
Good ry2iy*Z
Strong qwe&8d&dj
Very strong DFG65&fj90x

強いパスワードのヒントについては以下を参照してください。

パスワードの有効期限

デフォルトでは、パスワードに期限はありません。ただし、必要に応じて有効期限を設定することができます。この場合はパスワードが有効な日数を追加します。 

変更を適用するタイミングを選択

管理者がパスワードの強度やパスワードの有効期限を選択すると、パスワード ポリシーを保存し、今すぐ、またはユーザーが次にパスワードを変更または設定するときに適用することができます。

  • Immediately – 既存のパスワードがすでに新しいパスワード ポリシーを満たしているかどうかにかかわらず、ユーザーは現在のセッションからログアウトし、次回ログイン時に新しいパスワードを設定する必要があります。
  • Next time user changes their password – 現在のセッションは終了されませんが、次回ログイン時に新しいパスワードを設定するように求められます。 

パスワード強度を変更して、次回のログインで変更を有効にする場合、すべてのユーザーのパスワードをリセットする必要があります。


サイトのログイン画面で「ログインしたままにする」オプションを選択しているユーザーの場合、ログインの有効期間 (30 日間) が切れた後、パスワードの更新が強制されます。

パスワードの強度設定のヒント

ユーザーに強いパスワードを設定する方法を示す必要がある場合、以下を試してみてください。

  • パターンを避けます。連続した文字(アルファベットまたはキーボードのいずれか)および数字
  • 似た数字または記号 (たとえば、e を 3 に、s を $ に) による文字の置き換えを避けます。
  • 短いパスワードを避けてます。多数の無関係な英単語は推測が難しいですが、単一の単語や単一の数字は攻撃者に簡単に推測されます。
  • パスワード マネージャーを使用して長い/ランダムなパスワードを生成します。
  • クラックしづらく思い出しやすいパスワードにするため、多数の「部品」を使用します。単語とランダムな数字の組み合わせ (tape934elephant%*Pass) や、4 つの無関係な英単語 (correcthorsebatterystaple) は非常に強度が高くなります。
最終更新日 2019 年 4 月 16 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.