Okta Mobility Management（OMM）ポリシーを構成する

1. ユーザーによるOkta Mobileを介したiOSデバイスの登録を許可するかどうかを選択します。
   • [デバイスを許可]：このオプションを選択する場合は、[次へ]をクリックしてルールをさらに定義します。
   • [デバイスを拒否]：このオプションを選択する場合は、追加のオプションはありません。[保存]をクリックするとルールが作成されます。

2. iOSのパスコードの要件を構成します。
   • [必須またはオプション]：ユーザーにデバイス・パスコードの入力を求める場合に選択します。その場合、以下を指定します。
     • [単純な値を許容]：エンド・ユーザーが、繰り返される文字や、増えていく文字または減っていく文字（123やCBAなど）を使用できるようにする場合に選択します。
     • [PINの最小の長さ]：PINの最小の長さ（4～30）を指定します。
     • [文字]：パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
     • [有効期限切れ]：パスコードが期限切れにならないよう指定するか（デフォルト）、期限切れになるまでの有効日数（[最長期間]）および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数（[履歴の制限]）を指定します。
     • [ワイプが実行されるまでに試行できる回数]：デバイスがワイプされるまでに、エンド・ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
       • パスコードの試行の失敗によってデバイスをワイプしない場合は、[試行制限なし]を選択します。
       • ユーザーが間違ったパスコードを3回まで入力しても、デバイスはワイプされません。
       • デバイスがワイプされるまでに、最大で10回の試行失敗を許可できます。

3. iOSのロックのタイミングの設定を構成します。
   • [画面表示のオフ]：表示がオフになるまでの、ユーザーが非アクティブであった時間を指定します。
   • [その場合はパスコードを求める]：デバイスのロックを解除するためにパスコードを入力する必要が生じる、（自動ロックまたはユーザーによる手動で）表示がオフになってからの時間を指定します。

4. iOSのデータの分離の設定を構成します。

これらの設定を使用して、Okta管理対象アプリがデバイス上の他の管理対象外アプリにアクセスしてデータを共有すること（およびその逆）を許可するかどうかを指定します。

• [マネージドから個人用]：管理対象アプリが個人用アプリにデータを転送できるようにする場合に選択します。
• [個人用からマネージド]：個人用アプリが管理対象アプリにデータを転送できるようにする場合に選択します。

1. ユーザーによるOkta Mobility Managementを介したmacOSデバイスの登録を許可するかどうかを選択します。
   • [デバイスを許可]：このオプションを選択する場合は、[次へ]をクリックしてルールをさらに定義します。
   • [デバイスを拒否]：このオプションを選択する場合は、追加のオプションはありません。[保存]をクリックするとルールが作成されます。

2. macOSのパスコードの要件を構成します

• [必須またはオプション]：ユーザーにデバイス・パスコードの入力を求める場合に選択します。その場合、以下を指定します。
  • [単純な値を許容]：エンド・ユーザーが、繰り返される文字や、増えていく文字または減っていく文字（123やCBAなど）を使用できるようにする場合に選択します。
  • [最小の長さ]：PINの最小の長さ（4～30）を指定します。
  • [文字]：パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
  • [有効期限切れ]：パスコードが期限切れにならないよう指定するか（デフォルト）、期限切れになるまでの有効日数（[最長期間]）および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数（[履歴の制限]）を指定します。
  • [ロックが実行されるまでに試行できる回数]：デバイスがロックされるまでに、エンド・ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
    • パスコードの試行の失敗によってデバイスをロックしない場合は、[試行制限なし]を選択します。
    • ユーザーが間違ったパスコードを3回まで入力しても、デバイスはロックされません。

      重要：ユーザーに4回以上の試行失敗を許可する場合は、macOSデバイスにユーザーと管理者のアカウントの両方が必要です。

    • デバイスがロックされるまでに、最大で10回の試行失敗を許可できます。

既知の問題

• macOSのパスコード・ポリシーを有効にした後は、エンド・ユーザーがポリシーに準拠するようにデバイスでパスコードを作成または変更する必要があります。 macOSでは、エンド・ユーザーにパスコードの作成または変更を求めるメッセージをプッシュすることはできません。ただし、このルールは現在のパスコードの有効期限が切れるとすぐに有効になります。ユーザーに連絡してパスコードの変更を求めてください。
• ユーザーがデバイスからロックアウトされている場合は、管理者がデバイスにサインインしてユーザーのパスワードをリセットする必要があります。
• 管理者アカウントがデバイスにすでに設定されている場合は、管理者がパスワードのリセットをトリガーできます。

1. ユーザーによるOkta Mobileを介したAndroidデバイスの登録を許可するかどうかを選択します。
   • [デバイスを許可]：このオプションを選択する場合は、サポートされるデバイスのタイプを指定します。
   

   重要

   2020年11月1日に、GoogleはネイティブAndroidおよびSamsung SAFEの登録タイプのサポートを終了しました。Oktaでは、Android 10以降を実行しているデバイスのOMMポリシー・ルールで、ネイティブAndroidおよびSamsung SAFEの登録タイプがサポートされなくなります。Android 9以前のデバイスでは、ネイティブAndroidおよびSamsung SAFEの登録オプションが引き続き機能します。以下を行います。

   • 新しいOMMポリシー・ルールを構成する場合は、Android 10以降のデバイスのユーザーが登録して引き続き準拠できるように、Android for Workの登録タイプを選択してください。
   • 既存のOMMポリシー・ルールを確認し、ネイティブAndroidやSamsung SAFEのオプションで現在構成されているものを更新して、Android 10以降のデバイスのユーザーが登録して引き続き準拠できるように、Android for Workのオプションも含めるようにしてください。
   • Android 10以降のユーザーにAndroid for Workの登録オプションへの再登録を強制するために、Okta OMMデバイスのダッシュボード（[OMM] > [Okta Mobility Management]）に移動し、ネイティブAndroidまたはSamsung SAFEの登録オプションで登録されている可能性があるAndroid 10以降のデバイスのユーザーの登録を解除します。

   詳細については、 「お知らせのログ」を参照してください。

   • Android for Work。このオプションが使用できない場合は、[AfWを設定]をクリックします。

   • Samsung SAFE

   • ネイティブAndroid

   登録オプションは優先度の順に並んでいます。複数を選択した場合、一番上の選択したオプションがOktaで使用されて、最初にデバイスの登録が試みられます。選択したオプションがデバイスでサポートされていない場合、次の（下の）選択したオプションがOktaで使用されて、デバイスの登録が試みられます。

• [デバイスを拒否]：このオプションを選択する場合は、追加のオプションはありません。[保存]をクリックするとルールが作成されます。

2. [次へ]をクリックします。
3. パスコード設定を構成します。

• [デバイスのパスコードを求める]：ユーザーにデバイス・パスコードの入力を求める場合に選択します。その場合、以下を指定します。

• [PINの最小の長さ]：PINの最小の長さ（4～30）を指定します。
• [文字]：パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
• [有効期限切れ]：パスコードが期限切れにならないよう指定するか（デフォルト）、期限切れになるまでの有効日数（[最長期間]）および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数（[履歴の制限]）を指定します。
• [ワイプが実行されるまでに試行できる回数]：デバイスがワイプされるまでに、ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
  • パスコードの試行の失敗によってデバイスをワイプしない場合は、[試行制限なし]を選択します。

  • Android for Workでは、ワーク・プロファイルだけがワイプの対象となります。

  • ユーザーが間違ったパスコードを3回まで入力しても、デバイスはワイプされません。
  • デバイスがワイプされるまでに、最大で10回の試行失敗を許可できます。
• [デバイス・ロック・タイムアウト]：表示がオフになってから、 デバイスのロックを解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。

  注：Okta Mobile 2.8以降を実行しているAndroidデバイスでのみサポートされます。

4. Androidのデータの分離を構成します。

• [ワーク・プロファイルから個人用]：個人用プロファイル内のアプリで、ワーク・プロファイル内のファイルを開くことを許可する場合に選択します。

  重要：上記のデータの分離オプションの構成に関係なく、Oktaでは少なくとも次のタイプのアプリをユーザーにデプロイすることをお勧めします。

  • ブラウザー（Chromeなど）
  • PDFリーダー（Adobe Acrobat Readerなど）
  • 画像ビューワー（Google Photosなど）
  • 音楽プレーヤー（Google Play Musicなど）

  詳細については、「管理対象アプリケーションの構成」を参照してください。

5. オプション：Android 7.0以降のワーク・パスコードの要件を構成します。

   注：このセクションは、前のページの[デバイスを許可]で[Android for Work]を選択した場合にのみ表示されます。

• [ワーク・パスコードを求める]：Android 7.0以降のユーザーがデバイスで管理対象アプリケーションを開くためにパスコードの入力を求める場合はこのオプションを選択し、以下に示されているパスコードの要件を指定します。重要：このオプションを選択すると、一般的なAndroidデバイスのパスコードの要件が、Android 7.0以降のデバイスに適用されなくなります。Android 7.0以降のユーザーに対してワーク・プロファイルだけでなくデバイス全体をロックする場合は、このオプションと、以下で説明されている[7.0以降でデバイスのパスコードを求める]オプションを選択します。

• [PINの最小の長さ]：PINの最小の長さ（4～30）を指定します。
• [文字]：パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
• [有効期限切れ]：パスコードが期限切れにならないよう指定するか（デフォルト）、期限切れになるまでの有効日数（[最長期間]）および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数（[履歴の制限]）を指定します。
• [ワイプが実行されるまでに試行できる回数]：デバイスがワイプされるまでに、ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
  • パスコードの試行の失敗によってデバイスをワイプしない場合は、[試行制限なし]を選択します。

  • Android for Workでは、ワーク・プロファイルだけがワイプの対象となります。

  • ユーザーが間違ったパスコードを3回まで入力しても、デバイスはワイプされません。
  • デバイスがワイプされるまでに、最大で10回の試行失敗を許可できます。
• [デバイス・ロック・タイムアウト]：表示がオフになってから、 デバイスのロックを解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。

  注：Okta Mobile 2.8以降を実行しているAndroidデバイスでのみサポートされます。

• [7.0以降でデバイスのパスコードを求める]：Android 7.0以降のユーザーに、デバイスのロックを解除するためにパスコードの入力を求める場合は、このオプションを選択します。これを選択する場合は、上記の[ワーク・パスコードを求める]の項目に記載されているパスコードの要件も指定する必要があります。