WiFiのプロファイルとポリシーを構成する

Okta Mobility Managementについて
- OMMメニューは、Okta Mobility Management(OMM)を実装する組織でのみ使用できます。
- このページに記載されている手順は、組織ですでにOMMを購入しているお客様のみが利用できます。OMMの新規販売はサポートされていません。詳細については、Oktaサポートにお問い合わせください。
Oktaでは、2つの異なるWiFi機能が提供されています。詳細を以下に示します。これらのいずれか1つのみを組織に実装できます。WiFiポリシー機能はほとんどの組織で一般的に利用可能(GA)ですが、組織でWiFiプロファイル早期アクセス(EA)機能が有効になっている場合は使用できません。これらの機能は管理コンソールのさまざまな領域にあります。組織で実装されているWiFi機能を確認するには、次のスクリーンショットを参照してください。
注:[デバイス]メニューは、Okta Mobility Management(OMM)を実装する組織でのみ使用できます。
注:[OMM]メニューは、Okta Mobility Management(OMM)を実装する組織でのみ使用できます。

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。
WiFiプロファイルを使用すると、複数のWiFiプロファイルを作成してOMMに登録されたモバイル・デバイスに割り当てることができるため、ユーザーはデバイス上の単一のWiFiプロファイルに制限されません。また、WPA/WPA2エンタープライズ・プロトコルもサポートされ、以下を有効にできます。
- RADIUSサーバーを使用したユーザー名とパスワードの認証(共有キー認証に制限されなくなります)
- WiFiネットワークへの安全な接続を確立するために必要な1つ以上のサーバー証明書を追加するオプション
制限や回避策などの、この機能に関する重要な情報については、「既知の問題」を参照してください。
一般的に利用可能なWiFiポリシーの詳細については、 を参照してください。

認証環境
- Active Directory(AD)やLDAPなどのディレクトリー・サービス(他のディレクトリー・サービスも機能する場合があります)。
ADまたはLDAP環境をOktaと統合している場合:
指定したドメイン・サーバーに最新バージョンのOkta ADまたはLDAPエージェントがインストールされている必要があります。
すべてのADまたはLDAPインスタンスで委任認証が有効になっている必要があります。
PEAP/MSCHAPv2認証プロトコルをサポートしているRADIUSサーバー(現在のOkta RADIUSエージェントはこのプロトコルをサポートしていません)。
Oktaにサインインするためにユーザーが入力するパスワードは、ネットワークにログインするためにユーザーが入力するパスワードと同じである必要があります。
- CA証明書(WPA/WPA2エンタープライズのネットワーク)。
デバイス構成
OMMに登録されたiOS、OSX、およびAndroidモバイル・デバイス
- Okta Mobile for Androidバージョン2.12以降
- 任意のバージョンのOkta Mobile for iOS
- Androidデバイスは、パスコードを使用して構成する必要があります(WPA/WPA2エンタープライズのセキュリティー・ネットワークを想定)

- [デバイス] > [WiFi]に移動します。
- [OMM] > [WiFi]に移動します。
- [WiFiネットワークを追加(または編集)]をクリックします。
- [WiFiネットワークを追加]モーダルで情報を入力(または編集)します。
基本情報
- [ネットワークSSID]:WiFiネットワークの名前を入力します。
- [説明]:このWiFiプロファイルの説明を入力します。
- [非表示]:非表示のネットワークSSIDのWiFiプロファイルを確立する場合、このオプションを選択します。
- [自動接続]:OMMに登録されたユーザーをこのネットワークに自動的に接続させる場合、このオプションを選択します。組織に複数のWiFiネットワーク・プロファイルが構成されている場合、信号が最も強いネットワークへの自動接続が優先されます。
注:自動参加オプションはAndroidデバイスではサポートされていません。
ネットワーク・セキュリティー
このネットワークSSIDに対して構成されているセキュリティー・タイプを選択します。
- [なし]:このオプションではネットワーク・セキュリティーが提供されません(非推奨)。
- [WEP]または[WPA/WPA2パーソナル]:これらのネットワークでは、事前共有キーを使用してユーザーを認証します。[ネットワーク認証]の下にある[共有キー]フィールドを参照してください。
- [WPA/WPA2エンタープライズ]:このネットワークでは、ユーザー名とパスワードの認証情報を使用してユーザーを認証します。[ネットワーク認証]の下にある対応するフィールドを参照してください。
- [認証プロトコル](現在はPEAP-MSCHAPv2のみをサポート)
ネットワーク認証
(WEPまたはWPA/WPA2パーソナルのネットワークのみ)
- [共有キー]:このSSIDの事前共有キーを入力します。
(WPA/WPA2エンタープライズのネットワークのみ)
- [ユーザー名]:ユーザーを認証する環境で使用されているネットワーク・ユーザー名の形式と一致する形式を選択します。この形式に基づいて生成されたユーザー名が、WiFiネットワークへのログ・オンに使用されます。
たとえば、ユーザー名がjohn.doe@example.comの場合は、次のようになります。
- [メール]:Oktaユーザーのメール・アドレス。たとえば、john.doe@example.okta.comとなります。
- [AD従業員ID]:ユーザーのAD従業員ID。 たとえば、223となります。
- [AD SAMアカウント名]:たとえば、jdoeとなります。
- [AD SAMアカウント名+ドメイン]:たとえば、jdoe@example.comとなります。
- [ADユーザー・プリンシパル名]:たとえば、john.doe@example.comとなります。
- [ADユーザー・プリンシパル名のプレフィックス]:たとえば、john.doeとなります。
- [メールのプレフィックス]:たとえば、john.doeとなります。
- [Oktaユーザー名]:たとえば、john.doe@okta.comとなります。
- [Oktaユーザー名のプレフィックス]:たとえば、john.doeとなります。
- パスワード
- [Oktaパスワード]:ユーザーはOktaパスワードを使用して認証され、自動的にネットワークに接続されます。パスワードを入力する必要はありません(「既知の問題」で詳しく説明されている場合を除く)。
- [信頼できるサーバー証明書]:(オプション)WiFiネットワークへの安全なアクセス権を付与するために、必要に応じて1つ以上の証明書を指定します。WiFiネットワーク・アクセスが2つ以上のCAまたは信頼のチェーンによって保護されている場合、[別途追加]をクリックして、必要な数の証明書を追加します。プロファイルを編集して証明書を追加および削除する場合は、「既知の問題」を参照してください。
注:信頼できるサーバー証明書で保護されたWiFiプロファイルを割り当てる前に、パスコードを使用してAndroidデバイスを構成する必要があります。構成していない場合、WiFiプロファイルの割り当てが失敗します。
- [保存]をクリックします。
- WiFiプロファイルをユーザーとグループに割り当てます。

すべてのネットワーク・セキュリティー・タイプに適用
パスワード・プロンプト:ユーザーがOkta Mobileにサインインすると、Oktaによりパスワードが10分間キャッシュされます。このキャッシュの有効期限が切れる前にWiFiプロファイルをユーザーに割り当てた場合、ユーザーはプロファイルの割り当てを完了するためにパスワードの入力を求められません。キャッシュの有効期限が切れた後にWiFiプロファイルを割り当てると、ユーザーは割り当てを完了するためにパスワードの入力を求められます。iOSおよびAndroidデバイスのユーザーは、異なるタイミングでパスワードを求められます。
Appleでは、ユーザーがパスワードを入力する前にWiFiプロファイルの割り当てを完了することが許可されています。この場合、iOSデバイス・ユーザーは、デバイスによりWiFiネットワークへの接続が試みられたときにパスワードの入力を求められます。
Googleでは、プロファイルの割り当てを完了する前にユーザーのパスワードが必要です。キャッシュの有効期限が切れている場合、Androidユーザーは、プロファイルの割り当て時にパスワードの入力を求められます。
自動接続:自動接続オプションはAndroidデバイスではサポートされていません。
WPA/WPA2エンタープライズのネットワークに適用
Androidパスコードが必要:信頼できるサーバー証明書で保護されたWiFiプロファイルを割り当てるには、パスコードを使用してAndroidデバイスを構成する必要があります。そうしないと、WiFiプロファイルの割り当てが失敗します。
常に正しいパスワードを入力する:エンド・ユーザーは、WiFiネットワーク認証中にパスワードを正しく入力するよう特に注意する必要があります。OktaのWiFiプロファイル認証プロセスでは、誤ったパスワードがすぐに検出されることはありませんが、ある時点でWiFiネットワークへの接続が失敗します。誤ったパスワードを入力したiOSユーザーは、デバイスがネットワークへの接続を試みたときに、パスワードの再入力を求められます。この場合、誤ったパスワードを入力したAndroidユーザーは入力を再度求められることはなく、単純にネットワークへの接続が失敗します。
証明書プロンプト:WiFiネットワークに1つ以上の証明書を指定した場合、ユーザーはAndroidおよびSamsung SAFEデバイスにすべての証明書をインストールするよう求められます。これらのデバイスのユーザーに、複数の証明書で保護された複数のWiFiプロファイルを割り当てると、WiFiネットワークごとに追加のインストール・プロンプトが繰り返されます。
デバイスから証明書を削除する:セキュリティー・タイプWPA/WPA2エンタープライズで構成されたWiFiプロファイルで、Oktaで証明書を削除したときにデバイスからも証明書が削除されるかどうかは、デバイス・タイプによって異なります。
- ネイティブAndroid:Googleは、OktaによってネイティブAndroidデバイスから証明書を削除する機能をサポートしていません。
- Samsung SAFE:Oktaから証明書を削除しても、Okta Mobileバージョン2.14.0以前を実行しているSamsung SAFEデバイスから証明書は削除されません。Oktaでは、Okta Mobile for Androidの次のリリースで、Samsung SAFEデバイスに対するこの制限の解除に向けて取り組んでいます。
- AfW:Oktaからすべてではなく一部の証明書を削除すると、Oktaで削除した証明書がAfWデバイスから削除されます。ただし、Oktaからインストールされているすべての証明書を削除しても、AfWデバイスからは削除されません。 Oktaでは、Okta Mobile for Androidの次のリリースで、AfWデバイスに対するこの制限の解除に向けて取り組んでいます。
同じ編集セッションで証明書を追加および削除しない:1回の編集セッションで、または間違った順序で証明書を追加および削除した場合、削除タスクは成功しますが、追加タスクは失敗します。この状態では、エンド・ユーザーはWiFiネットワークへの接続を失います。WiFiプロファイルを編集して1つ以上の証明書を追加し、さらに1つ以上の証明書を削除する必要がある場合、追加と削除を別々の操作として扱い、次の順序でプロファイルを編集します。
- [編集]をクリックして、編集モードにします。
- 証明書を追加し、[保存]をクリックします。
- もう一度[編集]をクリックして、再度編集モードにします。
- 証明書の横の[X]をクリックして、証明書を削除します。
- [保存]をクリックします。

Okta WiFiポリシーはOktaの最初のWiFi機能です。1つ以上のWiFiポリシーを構成して、Okta Mobility Management(OMM)に登録されているエンド・ユーザーに自動的にプッシュすることができます。これにより、エンド・ユーザーはセキュリティー情報を入力することなく、確立されたWiFiネットワークに接続できます。

WiFiポリシーはサインオン・ポリシーに似ています。WiFiポリシーとそれに関連するルールを追加、削除、編集できます。
- WiFiポリシーまたはWiFiプロファイルのいずれかを実装できますが、両方を実装することはできません。WiFiポリシー機能はほとんどの組織で一般的に利用可能(GA)ですが、組織でWiFiプロファイル早期アクセス(EA)機能が有効になっている場合は使用できません。これらの機能は管理コンソールのさまざまな領域にあります。組織で実装されているWiFi機能を確認するには、次のスクリーンショットにマウスを合わせてください。
- 共有キーは現在マスクされていません。
- ユーザー認証情報による認証はサポートされていません。
- 証明書ベースの認証はサポートされていません。
- Androidデバイスでは、非表示のネットワークへの接続はサポートされていません。
- WiFiポリシー機能は、デバイスで一度に1つのWiFiポリシーのみがサポートされています。デバイスで複数のWiFiプロファイルをサポートするには、「WiFiプロファイルを構成する」を参照してください。


[セキュリティー] > [ポリシー]に移動し、[WiFi構成]タブをクリックします。
[新しいポリシーを追加]をクリックし、次の情報を入力します。
[ポリシー名]:一意の名前を入力します。
[ポリシーの説明]:説明を入力します。
[グループに割り当て]:このポリシーを適用するグループの名前を入力します。
[SSID]:WiFiネットワーク名を入力します。
[暗号化タイプ]:None、WPA/WP2、またはWEPのいずれかを入力します。
[共有キー]:このWiFiネットワークの共有キー(パスワード)を入力します。
[更新]または[ポリシーを作成]をクリックします。
新しいポリシーに対して
すべてのポリシーに対して

WiFiルールにより、ユーザーがWiFi接続にアクセスできるかどうかが決定されます。デフォルト・ポリシーが存在する組織(レガシー組織)の場合、WiFiアクセスは無効に設定されています。新しいWiFiポリシーの場合、アクセスが有効になるアクティブなルールを少なくとも1つ作成する必要があります。デフォルト・ルールは編集できません。
- 鉛筆アイコンをクリックして既存のルールを編集するか(デフォルト以外のポリシーのみ)、[ルールを追加]をクリックしてユーザーにWiFiアクセスを提供する新しいルールを作成します。
- [アクセスは次のとおりです:]ドロップダウン・メニューを使用して、WiFiアクセスを有効にするよう指定します。
- [ルールを更新]または[ルールを作成]をクリックします。
- ルールを作成したら、ドロップダウン・メニューから[ステータス]を選択して[アクティブ化]します。