WiFiプロファイルとポリシーを構成する

• ［Devices（デバイス）］メニューは、Okta Mobility Management（OMM）を実装している組織で使用できます。
• ［OMM］メニューは、Okta Mobility Management（OMM）を実装している組織で使用できます。

Oktaでは、WiFiポリシーとWiFiプロファイルの2つのWiFi機能を提供しています。これらの機能は、1つの組織に1つだけ実装することができます。WiFiポリシー機能は、ほとんどの組織で一般提供（GA）されていますが、WiFiプロファイル早期アクセス（EA）機能が組織で有効になっている場合は、利用することができません。この機能は、管理コンソールの異なる領域に配置されています。次の画像を使用して、組織で実装するWiFi機能を決定してください。

WiFiプロファイルの構成

これは早期アクセス機能です。有効にするには、Oktaサポートにお問い合わせください。

WiFiプロファイルでは、複数のWiFiプロファイルを作成し、OMMに登録されたモバイル・デバイスに割り当てることで、ユーザーがデバイス上で単一のWiFiプロファイルに制限されないようにすることができます。また、WPA/WPA2エンタープライズ・プロトコルに対応し、以下を実現します。

• RADIUSサーバーによるユーザー名とパスワードの認証（共有鍵認証に限定されなくなりました）。
• WiFiネットワークへの安全な接続を確立するために必要な1つまたは複数のサーバー証明書を追加するオプション。

機能の制限と回避策については「既知の問題」を参照し、一般提供されているWiFiポリシーの詳細については「WiFiポリシーの構成」を参照してください。

要件

認証環境

• Active Directory（AD）やLDAPなどのディレクトリ・サービス（他のディレクトリ・サービスでも動作する場合があります）。
  ADやLDAP環境とOktaを統合している場合：
  • 指定されたドメイン・サーバーに、最新バージョンのOkta ADまたはLDAPエージェントをインストールする必要があります。
  • すべてのADまたはLDAPインスタンスで代理認証を有効にする必要があります。
• PEAP/MSCHAPv2認証プロトコルをサポートするRADIUSサーバー（現在のOkta RADIUSエージェントは、このプロトコルをサポートしていません）。
• ユーザーがOktaにサインインするために入力するパスワードは、ユーザーがネットワークにログインするために入力するパスワードと同じでなければなりません。
• CA証明書（WPA/WPA2エンタープライズ・ネットワーク）

デバイス構成

• OMMに登録されたiOS、OSX、Androidのモバイル・デバイス
• Okta Mobile（Android版） バージョン2.12以降
• Okta Mobile（iOS版）すべてのバージョン
• Androidデバイスにはパスコードの設定が必要です（WPA/WPA2エンタープライズ・セキュリティ・ネットワークを想定）

手順

1. ［Devices（デバイス）］ > ［WiFi］に進みます。
2. ［OMM］>［WiFi］に移動します。
3. ［Add WiFi Network（WiFiネットワークを追加）］をクリックします。
4. ［Add WiFi Network（WiFiネットワークを追加）］画面で以下を構成します。
   • ［Network SSID（ネットワークSSID）］：WiFiネットワークの名前を入力します。
   • ［Description（説明）］（任意）：WiFiプロファイルの説明を入力します。
   • ［Hidden（非表示）］：非表示のネットワークSSIDのWiFiプロファイルを設定する場合は、このオプションを選択します。
   • ［Auto join（自動接続）］ ：OMMに登録されたユーザーを自動的にこのネットワークに接続する場合は、このオプションを選択します。組織に複数のWiFiネットワーク・プロファイルが構成されている場合、信号が最も強いネットワークへの自動接続が優先されます。

     注：［Auto join（自動接続）］オプションは、Androidデバイスではサポートされていません。

   • ［Security type（セキュリティのタイプ）］：このネットワークSSIDに設定されているセキュリティのタイプを選択します。
     • ［None（なし）］：ネットワーク・セキュリティが提供されません（推奨されません）。
     • ［WEP or WPA/WPA2 Personal（WEPまたはWPA/WPA2パーソナル）］：事前共有キーを介してユーザーを認証します。［Network Authentication（ネットワーク認証）］の［Shared Key（共有鍵）］フィールドを参照してください。
     • ［WPA/WPA2 Enterprise（WPA/WPA2エンタープライズ）］：ログイン資格情報を使用してユーザーを認証します。［Network Authentication（ネットワーク認証）］の該当フィールドを参照してください。
   • ［Authentication protocol（認証プロトコル）］（現在はPEAP-MSCHAPv2のみ対応）
   • ［Shared key（共有鍵）］（WEPまたはWPA/WPA2パーソナル・ネットワークのみ）：このSSIDの事前共有キーを入力します。
   • ［Username（ユーザー名）］（WPA/WPA2エンタープライズ・ネットワークのみ）：ユーザーを認証する環境で使用されているネットワーク・ユーザー名の形式と一致する形式を選択します。このフォーマットに基づいて生成されたユーザー名は、WiFiネットワークにログオンするときに使用されます。

     例えば、john.doe@example.comというユーザー名が与えられたとします。

     • ［Email（メール）］：Oktaユーザーのメール・アドレス。たとえば、john.doe@example.okta.comのようになります。
     • ［AD Employee ID（AD従業員ID）］：ユーザーのAD従業員ID。たとえば、223のようになります。
     • ［AD SAM account name（AD SAMアカウント名）］：たとえば、jdoeのようになります。
     • ［AD SAM account name + domain（AD SAMアカウント名+ドメイン）］：たとえば、jdoe@example.comのようになります。
     • ［AD user principal name（ADユーザー・プリンシパル名）］ ：たとえば、john.doe@example.comのようになります。
     • ［AD user principal name prefix（ADユーザー・プリンシパル名プレフィックス）］：たとえば、john.doeのようになります。
     • ［Email prefix（メールのプレフィックス）］：たとえば、john.doeのようになります。
     • ［Okta username（Oktaユーザー名）］：たとえば、john.doe@okta.comのようになります。
     • ［Okta username prefix（Oktaユーザー名プレフィックス）］：たとえば、john.doeのようになります。
   • ［Password（パスワード）］：［Okta password（Oktaパスワード）］を選択します。Oktaパスワードを使用してユーザーを認証し、自動的にネットワークに接続します。パスワードの入力は必要ありません（「既知の問題」に詳述されているものを除く）。
   • ［Trusted server certificates（信頼できるサーバー証明書）］：オプション。WiFiネットワークへの安全なアクセス権を付与するために、必要に応じて1つまたは複数の証明書を指定します。WiFiネットワーク・アクセスが2つ以上のCAまたは信頼の連結によって保護されている場合、［Add Another（もう1つ追加）］をクリックして必要な数の証明書を追加します。証明書を追加および削除するためにプロファイルを編集する場合は、「既知の問題」を参照してください。

     注：信頼済みのサーバー証明書によって保護されているWiFiプロファイルをAndroidデバイスに割り当てる前に、パスコードを設定する必要があります。設定しないとWiFiプロファイルの割り当てに失敗します。

4. ［Save and Assign（保存して割り当て）］をクリックします。
5. WiFiプロファイルをユーザーとグループに割り当てます。

既知の問題

すべてのネットワーク・セキュリティ・タイプに適用

［Password prompts（パスワード・プロンプト）］：ユーザーがOkta Mobileにサインインすると、Oktaよりパスワードが10分間キャッシュされます。キャッシュの有効期限が切れる前にユーザーにWiFiプロファイルを割り当てた場合、プロファイルの割り当てを完了するためのパスワード入力のプロンプトは表示されません。キャッシュの有効期限が切れた後にWiFiプロファイルを割り当てた場合、ユーザーは割り当てを完了するためにパスワードの入力を促されます。iOSとAndroidデバイスのユーザーは、異なるタイミングでパスワードの入力を求められます。

• Appleでは、ユーザーがパスワードを入力する前にWiFiプロファイルの割り当てを完了することが許可されています。この場合、デバイスがWiFiネットワークに接続しようとすると、iOSデバイスのユーザーはパスワードの入力を促されます。
• Googleでは、プロファイルの割り当てを完了する前に、ユーザーによるパスワードの入力が要求されます。キャッシュの有効期限が切れている場合、Androidユーザーはプロファイルの割り当て時にパスワードの入力を促されます。

［Auto join（自動接続）］：［Auto join（自動接続）］オプションは、Androidデバイスではサポートされていません。

WPA/WPA2エンタープライズのネットワークに適用

［Android passcode is required（Androidのパスコードが必要）］：信頼済みサーバー証明書によって保護されたWiFiプロファイルを割り当てるには、Androidデバイスにパスコードを設定する必要があります。設定しないとWiFiプロファイルの割り当てに失敗します。

［Always enter the correct password（常に正しいパスワードを入力する）］：エンド・ユーザーは、WiFiネットワーク認証の際にパスワードを正しく入力するよう、特に注意する必要があります。OktaのWiFiプロファイル認証プロセスでは、間違ったパスワードをすぐに検出することはできませんが、WiFiネットワークへの接続がある時点で失敗します。間違ったパスワードを入力したiOSユーザーは、デバイスがネットワークに接続しようとしたときにパスワードの再入力を促されます。Androidユーザーは誤ったパスワードを入力しても再入力を求めるプロンプトは表示されず、単にネットワークへの接続が失敗します。

［Certificate prompts（証明書のプロンプト）］：WiFiネットワークに1つ以上の証明書を指定した場合、ユーザーはAndroidおよびSamsung SAFEデバイスにすべての証明書をインストールするよう求められます。これらのデバイスのユーザーに、複数の証明書で保護された複数のWiFiプロファイルを割り当てた場合、追加のインストール・プロンプトが各WiFiネットワークに対して繰り返し表示されます。

［Deleting certificates from devices（デバイスからの証明書の削除）］：［WPA/WPA2 Enterprise（WPA/WPA2エンタープライズ）］セキュリティ・タイプで構成されたWiFiプロファイルの場合、Oktaで証明書を削除するとデバイスからも証明書が削除されるかどうかは、次のようにデバイスのタイプによって異なります。

• ネイティブAndroid：Googleは、OktaがネイティブAndroidデバイスから証明書を削除する機能をサポートしていません。
• Samsung SAFE：Oktaから証明書を削除しても、Okta Mobileバージョン2.14.0以前を実行しているSamsung SAFEデバイスからは証明書は削除されません。Oktaでは、Okta Mobile（Android版）の次のリリース向けに、Samsung SAFEデバイスのこの制限を取り除く方向で取り組んでいます
• AfW：Oktaからすべてではなく一部の証明書を削除すると、Oktaで削除した証明書はAfWデバイスからも削除されます。しかし、Oktaを通じてインストールされているすべての証明書を削除しても、AfWデバイスからは何も削除されません。Oktaでは、Okta Mobile（Android版）の次のリリースで、AfWデバイスのこの制限を取り除く方向で取り組んでいます

同じ編集セッションで証明書を追加および削除しないでください。1つの編集セッションで証明書を追加および削除したり、間違った順序で追加および削除したりすると、削除タスクは成功しますが、追加タスクは失敗します。この状態になると、エンドユーザーはWiFiネットワークへの接続を失うことになります。WiFiプロファイルを編集して1つ以上の証明書を追加し、1つ以上の証明書を削除する必要がある場合、追加と削除を別々の操作として扱い、以下の順序でプロファイルを編集してください。

1. ［Edit（編集）］をクリックします。
2. 証明書を追加します。
3. ［Save（保存）］をクリックします。
4. ［Edit（編集）］を再度クリックして再度編集モードに切り替えます。
5. 証明書の横にある［X］をクリックして証明書を削除します。
6. ［Save（保存）］をクリックします。

WiFiポリシーの構成

Okta WiFiポリシーは、Oktaの初期のWiFi機能です。1つまたは複数のWiFiポリシーを設定し、Okta Mobility Management（OMM）に登録されたエンドユーザーに自動的にプッシュすることができます。これにより、エンドユーザーはセキュリティ情報を入力することなく、確立されたWiFiネットワークに接続することができます。

開始する前に

WiFiポリシーは、サインオン・ポリシーと似ています。WiFiポリシーとその関連ルールの追加、削除、編集が可能です。

• WiFiポリシーまたはWiFiプロファイルのどちらかを実装することはできますが、両方を実装することはできません。WiFiポリシー機能は、ほとんどの組織で一般提供（GA）されていますが、WiFiプロファイル早期アクセス（EA）機能が組織で有効になっている場合は、利用することができません。この機能は、管理コンソールの異なる領域に配置されています。組織がどのWiFi機能を実装しているかを判断するには、このスクリーンショットにマウスを重ねてください。



• 共有鍵は現在マスクされていません。
• ユーザー資格情報による認証はサポートされていません。
• 証明書ベースの認証はサポートされていません。
• Androidデバイスでは、非表示ネットワークへの接続はサポートされていません。
• WiFiポリシー機能は、一度に1つのデバイス上で1つのWiFiポリシーのみをサポートします。
  デバイスで複数のWiFiプロファイルを構成するには、「WiFiプロファイルの構成」を参照してください。

手順

WiFiポリシーの作成

1. ［Security（セキュリティ）］ > ［Policies（ポリシー）］を開き、［Wifi Config（Wifi構成）］タブをクリックします。
2. ［Add New Policy（新しいポリシーを追加）］をクリックし、以下の情報を入力します。

新しいポリシーの場合

• ［Policy name（ポリシー名）］：一意の名前を入力します。
• ［Policy description（ポリシーの説明）］：説明を入力します。
• ［Assign to groups（グループに割り当て）］：このポリシーが適用されるグループの名前を入力します。

すべてのポリシーの場合

• ［SSID］：WiFiネットワーク名を入力します。
• ［Encryption Type（暗号化タイプ）］：［None（なし）］、［WPA/WP2］、または［WEP］のいずれかを入力します。
• ［Shared Key（共有鍵）］：このWiFiネットワークの共有鍵（パスワード）を入力します。
3. ［Update（アップデート）］、または［Create Policy（ポリシーの作成）］をクリックします。

WiFiポリシーにルールを追加する

WiFiルールは、ユーザーがWiFi接続にアクセスできるかどうかを決定します。デフォルトのポリシーが存在する組織（レガシー組織）では、WiFiアクセスは［Disabled（無効）］に設定されています。新しいWiFiポリシーでは、アクセスが有効になっているアクティブなルールを少なくとも1つ作成する必要があります。デフォルト・ルールは編集できません。

1. 鉛筆アイコンをクリックして既存のルールを編集するか（デフォルト以外のポリシーのみ）、［Add Rule（ルールの追加）］をクリックしてユーザーにWiFiアクセスを提供する新しいルールを作成します。
2. ［Access is（アクセスは次のとおりです：）］ドロップダウン・メニューを使用して、WiFiアクセスを有効にするよう指定します。
3. ［Update Rule（ルールを更新）］または［Create Rule（ルールを作成）］をクリックします。
4. ルールを作成したら、ドロップダウンメニューから［Status（ステータス）］を選択してアクティベートします。