WiFiプロファイルとポリシーの構成

  • [OMM]メニューは、Okta Mobility Management(OMM)を実装している組織のみが利用可能です。
  • このページに文書化されている手順は、自組織用にOMMを既に購入されているお客様のみご利用いただけます。OMMの新規ご購入はサポートされていません。詳細については、Oktaサポートにお問い合わせください。

  • [Devices(デバイス)]メニューは、Okta Mobility Management(OMM)を実装している組織で使用できます。
  • [OMM]メニューは、Okta Mobility Management(OMM)を実装している組織で使用できます。

Oktaでは、WiFiポリシーとWiFiプロファイルの2つのWiFi機能を提供しています。これらの機能は、1つの組織に1つだけ実装することができます。WiFiポリシー機能は、ほとんどの組織で一般提供(GA)されていますが、WiFiプロファイル早期アクセス(EA)機能が組織で有効になっている場合は、利用することができません。この機能は、管理コンソールの異なる領域に配置されています。次の画像を使用して、組織で実装するWiFi機能を決定してください。

WiFiプロファイルの構成

これは早期アクセス機能です。有効にするには、Oktaサポートにお問い合わせください。

WiFiプロファイルでは、複数のWiFiプロファイルを作成し、OMMに登録されたモバイル・デバイスに割り当てることで、ユーザーがデバイス上で単一のWiFiプロファイルに制限されないようにすることができます。また、WPA/WPA2エンタープライズ・プロトコルに対応し、以下を実現します。

  • RADIUSサーバーによるユーザー名とパスワードの認証(共有鍵認証に限定されなくなりました)。
  • WiFiネットワークへの安全な接続を確立するために必要な1つまたは複数のサーバー証明書を追加するオプション。

機能の制限と回避策については「既知の問題」を参照し、一般提供されているWiFiポリシーの詳細については「WiFiポリシーの構成」を参照してください。

要件

認証環境

  • Active Directory(AD)やLDAPなどのディレクトリ・サービス(他のディレクトリ・サービスでも動作する場合があります)。
    ADやLDAP環境とOktaを統合している場合:
    • 指定されたドメイン・サーバーに、最新バージョンのOkta ADまたはLDAPエージェントをインストールする必要があります。
    • すべてのADまたはLDAPインスタンスで代理認証を有効にする必要があります。
  • PEAP/MSCHAPv2認証プロトコルをサポートするRADIUSサーバー(現在のOkta RADIUSエージェントは、このプロトコルをサポートしていません)。
  • ユーザーがOktaにサインインするために入力するパスワードは、ユーザーがネットワークにログインするために入力するパスワードと同じでなければなりません。
  • CA証明書(WPA/WPA2エンタープライズ・ネットワーク)

デバイス構成

  • OMMに登録されたiOS、OSX、Androidのモバイル・デバイス
  • Okta Mobile(Android版) バージョン2.12以降
  • Okta Mobile(iOS版)すべてのバージョン
  • Androidデバイスにはパスコードの設定が必要です(WPA/WPA2エンタープライズ・セキュリティ・ネットワークを想定)

手順

  1. [Devices(デバイス)] > [WiFi]に進みます。
  2. [OMM]>[WiFi]に移動します。
  3. [Add WiFi Network(WiFiネットワークを追加)]をクリックします。
  4. [Add WiFi Network(WiFiネットワークを追加)]画面で以下を構成します。
  1. [Save and Assign(保存して割り当て)]をクリックします。
  2. WiFiプロファイルをユーザーとグループに割り当てます。

既知の問題

すべてのネットワーク・セキュリティ・タイプに適用

[Password prompts(パスワード・プロンプト)]:ユーザーがOkta Mobileにサインインすると、Oktaよりパスワードが10分間キャッシュされます。キャッシュの有効期限が切れる前にユーザーにWiFiプロファイルを割り当てた場合、プロファイルの割り当てを完了するためのパスワード入力のプロンプトは表示されません。キャッシュの有効期限が切れた後にWiFiプロファイルを割り当てた場合、ユーザーは割り当てを完了するためにパスワードの入力を促されます。iOSとAndroidデバイスのユーザーは、異なるタイミングでパスワードの入力を求められます。

  • Appleでは、ユーザーがパスワードを入力する前にWiFiプロファイルの割り当てを完了することが許可されています。この場合、デバイスがWiFiネットワークに接続しようとすると、iOSデバイスのユーザーはパスワードの入力を促されます。
  • Googleでは、プロファイルの割り当てを完了する前に、ユーザーによるパスワードの入力が要求されます。キャッシュの有効期限が切れている場合、Androidユーザーはプロファイルの割り当て時にパスワードの入力を促されます。

[Auto join(自動接続)]:[Auto join(自動接続)]オプションは、Androidデバイスではサポートされていません。

WPA/WPA2エンタープライズのネットワークに適用

[Android passcode is required(Androidのパスコードが必要)]:信頼済みサーバー証明書によって保護されたWiFiプロファイルを割り当てるには、Androidデバイスにパスコードを設定する必要があります。設定しないとWiFiプロファイルの割り当てに失敗します。

[Always enter the correct password(常に正しいパスワードを入力する)]:エンド・ユーザーは、WiFiネットワーク認証の際にパスワードを正しく入力するよう、特に注意する必要があります。OktaのWiFiプロファイル認証プロセスでは、間違ったパスワードをすぐに検出することはできませんが、WiFiネットワークへの接続がある時点で失敗します。間違ったパスワードを入力したiOSユーザーは、デバイスがネットワークに接続しようとしたときにパスワードの再入力を促されます。Androidユーザーは誤ったパスワードを入力しても再入力を求めるプロンプトは表示されず、単にネットワークへの接続が失敗します。

[Certificate prompts(証明書のプロンプト)]:WiFiネットワークに1つ以上の証明書を指定した場合、ユーザーはAndroidおよびSamsung SAFEデバイスにすべての証明書をインストールするよう求められます。これらのデバイスのユーザーに、複数の証明書で保護された複数のWiFiプロファイルを割り当てた場合、追加のインストール・プロンプトが各WiFiネットワークに対して繰り返し表示されます。

[Deleting certificates from devices(デバイスからの証明書の削除)]:[WPA/WPA2 Enterprise(WPA/WPA2エンタープライズ)]セキュリティ・タイプで構成されたWiFiプロファイルの場合、Oktaで証明書を削除するとデバイスからも証明書が削除されるかどうかは、次のようにデバイスのタイプによって異なります。

  • ネイティブAndroid:Googleは、OktaがネイティブAndroidデバイスから証明書を削除する機能をサポートしていません。
  • Samsung SAFE:Oktaから証明書を削除しても、Okta Mobileバージョン2.14.0以前を実行しているSamsung SAFEデバイスからは証明書は削除されません。Oktaでは、Okta Mobile(Android版)の次のリリース向けに、Samsung SAFEデバイスのこの制限を取り除く方向で取り組んでいます
  • AfW:Oktaからすべてではなく一部の証明書を削除すると、Oktaで削除した証明書はAfWデバイスからも削除されます。しかし、Oktaを通じてインストールされているすべての証明書を削除しても、AfWデバイスからは何も削除されません。Oktaでは、Okta Mobile(Android版)の次のリリースで、AfWデバイスのこの制限を取り除く方向で取り組んでいます

同じ編集セッションで証明書を追加および削除しないでください。1つの編集セッションで証明書を追加および削除したり、間違った順序で追加および削除したりすると、削除タスクは成功しますが、追加タスクは失敗します。この状態になると、エンドユーザーはWiFiネットワークへの接続を失うことになります。WiFiプロファイルを編集して1つ以上の証明書を追加し、1つ以上の証明書を削除する必要がある場合、追加と削除を別々の操作として扱い、以下の順序でプロファイルを編集してください。

  1. [Edit(編集)]をクリックします。
  2. 証明書を追加します。
  3. [Save(保存)]をクリックします。
  4. [Edit(編集)]を再度クリックして再度編集モードに切り替えます。
  5. 証明書の横にある[X]をクリックして証明書を削除します。
  6. [Save(保存)]をクリックします。

WiFiポリシーの構成

Okta WiFiポリシーは、Oktaの初期のWiFi機能です。1つまたは複数のWiFiポリシーを設定し、Okta Mobility Management(OMM)に登録されたエンドユーザーに自動的にプッシュすることができます。これにより、エンドユーザーはセキュリティ情報を入力することなく、確立されたWiFiネットワークに接続することができます。

開始する前に

WiFiポリシーは、サインオン・ポリシーと似ています。WiFiポリシーとその関連ルールの追加、削除、編集が可能です。

  • WiFiポリシーまたはWiFiプロファイルのどちらかを実装することはできますが、両方を実装することはできません。WiFiポリシー機能は、ほとんどの組織で一般提供(GA)されていますが、WiFiプロファイル早期アクセス(EA)機能が組織で有効になっている場合は、利用することができません。この機能は、管理コンソールの異なる領域に配置されています。組織がどのWiFi機能を実装しているかを判断するには、このスクリーンショットにマウスを重ねてください。
  • 共有鍵は現在マスクされていません。
  • ユーザー資格情報による認証はサポートされていません。
  • 証明書ベースの認証はサポートされていません。
  • Androidデバイスでは、非表示ネットワークへの接続はサポートされていません。
  • WiFiポリシー機能は、一度に1つのデバイス上で1つのWiFiポリシーのみをサポートします。
    デバイスで複数のWiFiプロファイルを構成するには、「WiFiプロファイルの構成」を参照してください。

手順

WiFiポリシーの作成

  1. [Security(セキュリティ)] > [Policies(ポリシー)]を開き、[Wifi Config(Wifi構成)]タブをクリックします。
  2. [Add New Policy(新しいポリシーを追加)]をクリックし、以下の情報を入力します。
  3. 新しいポリシーの場合

    • [Policy name(ポリシー名)]:一意の名前を入力します。
    • [Policy description(ポリシーの説明)]:説明を入力します。
    • [Assign to groups(グループに割り当て)]:このポリシーが適用されるグループの名前を入力します。

    すべてのポリシーの場合

    • [SSID]:WiFiネットワーク名を入力します。
    • [Encryption Type(暗号化タイプ)][None(なし)][WPA/WP2]、または[WEP]のいずれかを入力します。
    • [Shared Key(共有鍵)]:このWiFiネットワークの共有鍵(パスワード)を入力します。
  4. [Update(アップデート)]、または[Create Policy(ポリシーの作成)]をクリックします。

WiFiポリシーにルールを追加する

WiFiルールは、ユーザーがWiFi接続にアクセスできるかどうかを決定します。デフォルトのポリシーが存在する組織(レガシー組織)では、WiFiアクセスは[Disabled(無効)]に設定されています。新しいWiFiポリシーでは、アクセスが有効になっているアクティブなルールを少なくとも1つ作成する必要があります。デフォルト・ルールは編集できません。

  1. 鉛筆アイコンをクリックして既存のルールを編集するか(デフォルト以外のポリシーのみ)、[Add Rule(ルールの追加)]をクリックしてユーザーにWiFiアクセスを提供する新しいルールを作成します。
  2. [Access is(アクセスは次のとおりです:)]ドロップダウン・メニューを使用して、WiFiアクセスを有効にするよう指定します。
  3. [Update Rule(ルールを更新)]または[Create Rule(ルールを作成)]をクリックします。
  4. ルールを作成したら、ドロップダウン・メニューから[Status(ステータス)]を選択してアクティベートします。