TeamCity オンプレミス 2026.1 ヘルプ

二要素認証の管理

TeamCity サーバーで 2 要素ユーザー認証 (2FA) を有効にすると、セキュリティレベルがさらに強化されます。ユーザーは、通常の認証情報の提供と 、個人のモバイルデバイスで生成された使い捨てキーの送信という 2 つの手順で ID を確認する必要があります。

必要な 2FA 認証モードを選択するには、管理 | 認証ページに移動し、一般設定セクションまで下にスクロールします。認証設定を変更できるのはシステム管理者だけであることに注意してください。

Available 2FA modes

2FA モード

振る舞い

オプション

ユーザーは自分のアカウントに対して 2FA を有効にするかどうかを決定できます。これがデフォルトの設定です。

システム管理者は、/app/rest/users?fields=user(id,username,email,enabled2FA) エンドポイントをポーリングして、どの TeamCity ユーザーが 2FA を有効にすることを選択したかをすぐに確認できます。

必須

すべてのユーザーは 1 週間以内に 2FA を設定する必要があります。猶予期間は、「必須」モードを有効にした時点 (既存ユーザーの場合)、またはユーザーが登録した時点 (新規ユーザーの場合) から開始されます。

無効

ユーザーは 2FA を設定できません。

重要な設定の保護

2 要素認証が有効になっている場合、2FA チェックに合格したユーザーは 1 時間以内に重要なユーザー設定を変更できます。この期間が終了すると、ユーザーはこれらの編集を続行する前に、新しい 2FA 検証に合格する必要があります。

ユーザーが別の検証に合格するまでブロックされるアクションは次のとおりです。

  • ユーザープロファイル設定で 2FA を無効にする

  • ユーザーのパスワードとメールアドレスの変更

  • アクセストークンの生成

この動作により、ユーザーのアカウントにアクセスした攻撃者がユーザー設定を変更してさらなる損害を与えることを防ぐ保護層が追加されます。

この間隔の期間は、teamcity.2fa.sensitive.settings.access.duration 内部プロパティを使用して変更できます。

teamcity.2fa.sensitive.settings.access.duration.seconds=45 # or teamcity.2fa.sensitive.settings.access.duration.minutes=5 # or teamcity.2fa.sensitive.settings.access.duration.hours=3

個々のユーザーグループに 2FA を強制する

グローバル 2 要素認証モードが「オプション」の場合、個々のユーザーグループに 2FA の使用を強制できます。これを行うには、teamcity.2fa.mandatoryUserGroupKey 内部プロパティを追加し、その値を必要なグループキーに設定します。

teamcity.2fa.mandatoryUserGroupKey=SYSTEM_ADMINISTRATORS_GROUP

2FA モードが必須のユーザーグループは、この要件をその子ユーザーグループと共有します。この動作を使用して、複数のグループに対して一度に 2FA を強制できます。これを行うには、新しいユーザーグループを作成し、そのキーを teamcity.2fa.mandatoryUserGroupKey 内部プロパティに割り当て、ユーザーが 2FA を使用する必要があるすべての既存のグループの親としてこのグループを設定します。

Parent user group with enforced 2FA

必須の 2FA に切り替えたグループにすでにユーザーが存在する場合は、teamcity.2fa.mandatory.user.group.grace.period 内部プロパティを、これらのユーザーの猶予期間が終了する必要がある日付に設定します。そうしないと、2FA が設定されていないユーザーは TeamCity からロックアウトされます。このプロパティは、UNIX 時間形式(英語)の値をミリ秒単位で受け入れます (例: 1672753992000)。

過剰な認証リクエストの削減

TeamCity ユーザーが外部サービスのアカウントを使用してログインでき、組織のポリシーでこれらのサービスへのログインに 2FA が必要な場合は、TeamCity にログインするときに追加の検証をスキップできます。

たとえば、ユーザーがすでに 2FA で保護された GitHub アカウントにログインしている場合は、追加の検証なしで GitHub 資格情報を使用して TeamCity にログインできるはずです。

TeamCity は、次のプロバイダーに対する冗長な承認リクエストの送信を自動的に回避します。

2FA が現在有効かどうかを報告しないプロバイダーの場合は、TeamCity が 2FA 要求を送信するかどうかを手動で指定できます。これを行うには、認証モジュール設定で二要素認証をスキップするオプションを指定します。

Skip additional 2FA requests

この設定は次のモジュールで使用できます。

関連事項

2025 年 4 月 07 日
メール検証を有効にする TeamCity データのクリーンアップ

関連ページ:

認証設定を構成する

TeamCity は、内部データベースを介してユーザーを認証することも、システムに統合して、Windows ドメイン、LDAP、Git ホスティングプロバイダーなどの外部認証ソースを使用することもできます。認証モジュール:認証は管理 | 認証ページで構成されます。現在使用されている認証モジュールも表示されます。TeamCity は、最も一般的な使用例をカバーするために、いくつかの事前構成された認証オプション(プリセット)を提供します。プリセットは、TeamCity でサポートされている認証モジ...

ロールと権限の管理

TeamCity のユーザーアクセスレベルは、ユーザーに異なるロールを割り当てて、それぞれの権限を付与することによって処理されます。権限とは、ビルドを実行したり、ビルド構成設定を変更したりするなど、特定の操作を実行するための承認です。ロールとは、1 つまたはすべてのプロジェクトでユーザーに付与できる権限のセットであり、プロジェクトや UI のさまざまな機能へのアクセスを制御します。認証モード:TeamCity 認証は、シンプルモードと per-project モードの 2 つのモードをサポートしま...

ユーザープロファイルの構成

ユーザープロファイル設定にアクセスするには、ヘッダーのアバターをクリックし、ドロップダウンメニューからプロファイルを選択します。パスワードを変更する:組み込み認証が設定されている場合、TeamCity サーバーはユーザー認証用のパスワードを保持します。プロファイル | 一般 | 組み込み認証でパスワードを変更できます。既存のパスワードと新しいパスワードを入力し、変更を保存をクリックします。パスワードは、組み込みの認証でのみ変更できます。これらのフィールドが表示されない場合は、TeamCity...

TeamCity データのクリーンアップ

TeamCity のクリーンアップ機能により、古いビルドデータや不要なビルドデータを自動的に削除できます。サーバーのクリーンアップ構成は管理 | サーバー管理 | クリーンアップ設定で使用可能です。クリーンアップスケジュールの設定が可能で、一般的なクリーンアップ情報が表示されます。特定のプロジェクトに関連するクリーンアップルールはプロジェクト設定で設定されます | クリーンアップルール。これらのルールは、どのデータをクリーンアップし、どのデータを保持するかを定義します。これらは、プロジェクトまた...