ServiceNowでの多要素認証(MFA)からの除外方法について

初めまして。
SCSKの吉田拳多です。
今回はServiceNowにおける多要素認証(MFA)の認証方法と、多要素認証(MFA)の除外設定について紹介したいと思います。

本記事は執筆時点(2025年6月)の情報になります。最新の情報は製品ドキュメントを参考にしてください。

Yokohamaバージョンからの仕様変更について
ServiceNowにログインする際の多要素認証(MFA)の種類について
多要素認証(MFA)の除外設定について
まとめ

Yokohamaバージョンからの仕様変更について

Yokohamaバージョンより、ServiceNow にログインする際に多要素認証(MFA)が必須化されました。
引用：認証リリースノート
・マルチファクター認証 (MFA) は、ServiceNow® への非 SSO ログインすべてにデフォルトで適用されます。

ServiceNowにログインする際の多要素認証(MFA)の種類について

ServiceNowにログインする際の多要素認証(MFA)の認証方法はデフォルトでは以下の3つです。
-Authenticator等の認証アプリを使用した認証
-生体認証、パスキー、またはハードウェアセキュリティを使用した認証
-メールを使用した認証(sys_userに登録されたメールアドレス宛に認証コードが送付される)

その他にSMSを使用した認証も可能ですが、別途設定が必要となるので、設定方法については今回は省略します。

多要素認証(MFA)の除外設定について

多要素認証(MFA)が必須化されましたが、お客様によっては多要素認証(MFA)の対象外としたいユーザーもいるかもしれません。

今回は多要素認証から除外する設定として以下の2つの方法を紹介します。
①ロールによる除外設定
②グループによる除外設定

①ロールによる除外設定では、指定したロールをもつユーザーを多要素認証(MFA)の対象から除外できます。

デフォルトの設定では、以下のロールについてはマルチファクター基準にてMFAを適用するように設定されているため、多要素認証(MFA)の対象から除外できません。
・admin
・user_admin
・security_admin

ロールによる除外設定ではマルチファクター認証>MFAコンテキストの「Has MFA exempted role」を編集します。

Has MFA exempted roleをクリックすると以下の画面が表示されます。

条件にロールを設定することで、設定されたロールを持つユーザーは多要素認証(MFA)から除外されます。
※デフォルトではsnc_externalロールが指定されており、snc_externalロールをもつユーザーは多要素認証(MFA)の対象外となります。
※セキュリティの観点から以下の条件は指定できません。
次の値と異なる、次の値を含まない、次の値と同じ、(空)である、(空)でない、フィールド値が空白、次の値と異なる

実際の検証について
下記の検証を行おうとしたところ、想定通りに動かず断念しました。
有識者の方がおりましたら情報提供いただけますと幸いです。

検証したかったこと
(1)PDI環境に多要素認証(MFA)の設定を実施。
snc_externalロール以外のユーザーについては、MFA認証を求められるようになる。
(2)snc_internalロールを持つテストユーザーを作成、ログインの際にMFA認証が求められることを確認。
(3)Multi-factor Authentication>MFA Context
Has MFA exempted roleの設定で、対象にsnc_internalを設定することにより、snc_internalロールを持つユーザーが
MFA認証の対象から除外されていることを確認(①ロールによる除外設定)
(4)Multi-factor Authentication>MFA Context
Is a member of MFA exempted groupの設定で、作成したテストユーザーが所属するグループを設定することで、
MFA認証の対象から除外されていることを確認(②グループによる除外設定)

実際にPDI環境に実施したMFA認証の設定
①プロパティの有効化
Multi-factor Authentication>Properties
Enable Multi-fuctor authenticationの値を[true]に変更