Okta Mobility Management(OMM)ポリシーを構成する

Okta Mobility Managementについて
- OMMメニューは、Okta Mobility Management(OMM)を実装する組織でのみ使用できます。
- このページに記載されている手順は、組織ですでにOMMを購入しているお客様のみが利用できます。OMMの新規販売はサポートされていません。詳細については、Oktaサポートにお問い合わせください。
この記事で説明されているモバイル・ポリシーを使用して、Okta Mobility Management(OMM)に登録されているモバイル・デバイスでの会社のリソースの使用を管理できます。ポリシーは、以下を適用できるプラットフォームベースのルールで構成されています。
- サポートするプラットフォーム(iOS、macOS、Android)
注: 管理コンソールでは、Appleのデスクトップ・オペレーティング・システムはOS Xと呼ばれます。ドキュメントでは、現在の用語であるmacOSを使用しています。 - 各プラットフォームのデバイス・パスコード要件。
詳細
- 管理対象アプリと非管理対象アプリの間でのデータの共有方法
複数のモバイル・ポリシーを作成し、それらを特定のユーザーのグループに適用して、組織のリソースへのアクセスを調整できます。別のポリシーが適用されない限り、すべてのエンド・ユーザーに読み取り専用のデフォルト・ポリシーが適用され、すべてのデバイスへの登録が拒否されます。ポリシーを変更しても、ユーザーのプロビジョニングが解除されることはありません。

OMMに登録されたユーザーとそのデバイスは、優先度順に処理されます。これらは、グループ・メンバーシップに基づいて適用される最初のアクティブなポリシー(および最初のルール)の対象となります。ポリシーの優先度を変更するには、ルールの点線のハンドルをクリックしてドラッグします。
デバイス・ポリシーを作成するには、次の手順を行います。
[OMM] > [OMMポリシー]に移動するか、[Okta Mobility Management]ページで[Okta Mobility Managementを構成]をクリックします。
- [デバイス・ポリシーを追加]をクリックします。
- 以下を指定します:
- [ポリシー名]:一意なポリシーの名前。
- [説明]:オプションの説明。
- [グループに割り当て]:このポリシーが適用されるユーザーのグループ。
- [ユーザー同意書]:(オプション)選択してから、簡単なカスタムのユーザー同意書を入力します。ユーザーにこの同意書が表示され、ユーザーはOMMの登録に進む前に、この同意書に同意する必要があります。OMM登録プロセスの一環として、OMMに登録すると管理者がデバイスをある程度制御できるようになるという警告がエンド・ユーザーに表示されます。このユーザー同意書では、エンド・ユーザーの同意が必要な追加のカスタム利用規約を提供します。
- [保存してプラットフォーム・ルールを追加]をクリックして続行します。
重要:すべての新しいポリシーは、デフォルトでは非アクティブです。新しいポリシーをアクティブ化するには、[非アクティブ]ドロップダウン・メニューから[アクティブ化]を選択します。

ルールは、iOS、macOS、またはAndroidのプラットフォームごとに作成して適用します。 使用できるオプションは、選択したプラットフォームによって異なります。

- ユーザーによるOkta Mobileを介したiOSデバイスの登録を許可するかどうかを選択します。
- [デバイスを許可]:このオプションを選択する場合は、[次へ]をクリックしてルールをさらに定義します。
- [デバイスを拒否]:このオプションを選択する場合は、追加のオプションはありません。[保存]をクリックするとルールが作成されます。
- iOSのパスコードの要件を構成します。
- [必須またはオプション]:ユーザーにデバイス・パスコードの入力を求める場合に選択します。その場合、以下を指定します。
- [単純な値を許容]:エンド・ユーザーが、繰り返される文字や、増えていく文字または減っていく文字(123やCBAなど)を使用できるようにする場合に選択します。
- [PINの最小の長さ]:PINの最小の長さ(4~30)を指定します。
- [文字]:パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
- [有効期限切れ]:パスコードが期限切れにならないよう指定するか(デフォルト)、期限切れになるまでの有効日数([最長期間])および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数([履歴の制限])を指定します。
- [ワイプが実行されるまでに試行できる回数]:デバイスがワイプされるまでに、エンド・ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
- パスコードの試行の失敗によってデバイスをワイプしない場合は、[試行制限なし]を選択します。
- ユーザーが間違ったパスコードを3回まで入力しても、デバイスはワイプされません。
- デバイスがワイプされるまでに、最大で10回の試行失敗を許可できます。
- [必須またはオプション]:ユーザーにデバイス・パスコードの入力を求める場合に選択します。その場合、以下を指定します。
- iOSのロックのタイミングの設定を構成します。
- [画面表示のオフ]:表示がオフになるまでの、ユーザーが非アクティブであった時間を指定します。
- [その場合はパスコードを求める]:デバイスのロックを解除するためにパスコードを入力する必要が生じる、(自動ロックまたはユーザーによる手動で)表示がオフになってからの時間を指定します。
- iOSのデータの分離の設定を構成します。
これらの設定を使用して、Okta管理対象アプリがデバイス上の他の管理対象外アプリにアクセスしてデータを共有すること(およびその逆)を許可するかどうかを指定します。
- [マネージドから個人用]:管理対象アプリが個人用アプリにデータを転送できるようにする場合に選択します。
- [個人用からマネージド]:個人用アプリが管理対象アプリにデータを転送できるようにする場合に選択します。

- ユーザーによるOkta Mobility Managementを介したmacOSデバイスの登録を許可するかどうかを選択します。
- [デバイスを許可]:このオプションを選択する場合は、[次へ]をクリックしてルールをさらに定義します。
- [デバイスを拒否]:このオプションを選択する場合は、追加のオプションはありません。[保存]をクリックするとルールが作成されます。
- macOSのパスコードの要件を構成します
- [必須またはオプション]:ユーザーにデバイス・パスコードの入力を求める場合に選択します。その場合、以下を指定します。
- [単純な値を許容]:エンド・ユーザーが、繰り返される文字や、増えていく文字または減っていく文字(123やCBAなど)を使用できるようにする場合に選択します。
- [最小の長さ]:PINの最小の長さ(4~30)を指定します。
- [文字]:パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
- [有効期限切れ]:パスコードが期限切れにならないよう指定するか(デフォルト)、期限切れになるまでの有効日数([最長期間])および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数([履歴の制限])を指定します。
- [ロックが実行されるまでに試行できる回数]:デバイスがロックされるまでに、エンド・ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
- パスコードの試行の失敗によってデバイスをロックしない場合は、[試行制限なし]を選択します。
- ユーザーが間違ったパスコードを3回まで入力しても、デバイスはロックされません。
重要:ユーザーに4回以上の試行失敗を許可する場合は、macOSデバイスにユーザーと管理者のアカウントの両方が必要です。
- デバイスがロックされるまでに、最大で10回の試行失敗を許可できます。
既知の問題
- macOSのパスコード・ポリシーを有効にした後は、エンド・ユーザーがポリシーに準拠するようにデバイスでパスコードを作成または変更する必要があります。 macOSでは、エンド・ユーザーにパスコードの作成または変更を求めるメッセージをプッシュすることはできません。ただし、このルールは現在のパスコードの有効期限が切れるとすぐに有効になります。ユーザーに連絡してパスコードの変更を求めてください。
- ユーザーがデバイスからロックアウトされている場合は、管理者がデバイスにサインインしてユーザーのパスワードをリセットする必要があります。
- 管理者アカウントがデバイスにすでに設定されている場合は、管理者がパスワードのリセットをトリガーできます。

- ユーザーによるOkta Mobileを介したAndroidデバイスの登録を許可するかどうかを選択します。
- [デバイスを許可]:このオプションを選択する場合は、サポートされるデバイスのタイプを指定します。
- 新しいOMMポリシー・ルールを構成する場合は、Android 10以降のデバイスのユーザーが登録して引き続き準拠できるように、Android for Workの登録タイプを選択してください。
- 既存のOMMポリシー・ルールを確認し、ネイティブAndroidやSamsung SAFEのオプションで現在構成されているものを更新して、Android 10以降のデバイスのユーザーが登録して引き続き準拠できるように、Android for Workのオプションも含めるようにしてください。
- Android 10以降のユーザーにAndroid for Workの登録オプションへの再登録を強制するために、Okta OMMデバイスのダッシュボード([OMM] > [Okta Mobility Management])に移動し、ネイティブAndroidまたはSamsung SAFEの登録オプションで登録されている可能性があるAndroid 10以降のデバイスのユーザーの登録を解除します。
Android for Work。このオプションが使用できない場合は、[AfWを設定]をクリックします。
Samsung SAFE
ネイティブAndroid
重要
2020年11月1日に、GoogleはネイティブAndroidおよびSamsung SAFEの登録タイプのサポートを終了しました。Oktaでは、Android 10以降を実行しているデバイスのOMMポリシー・ルールで、ネイティブAndroidおよびSamsung SAFEの登録タイプがサポートされなくなります。Android 9以前のデバイスでは、ネイティブAndroidおよびSamsung SAFEの登録オプションが引き続き機能します。以下を行います。
詳細については、 「お知らせのログ」を参照してください。
登録オプションは優先度の順に並んでいます。複数を選択した場合、一番上の選択したオプションがOktaで使用されて、最初にデバイスの登録が試みられます。選択したオプションがデバイスでサポートされていない場合、次の(下の)選択したオプションがOktaで使用されて、デバイスの登録が試みられます。
- [デバイスを拒否]:このオプションを選択する場合は、追加のオプションはありません。[保存]をクリックするとルールが作成されます。
- [次へ]をクリックします。
- パスコード設定を構成します。
- [デバイスのパスコードを求める]:ユーザーにデバイス・パスコードの入力を求める場合に選択します。その場合、以下を指定します。
- [PINの最小の長さ]:PINの最小の長さ(4~30)を指定します。
- [文字]:パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
- [有効期限切れ]:パスコードが期限切れにならないよう指定するか(デフォルト)、期限切れになるまでの有効日数([最長期間])および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数([履歴の制限])を指定します。
- [ワイプが実行されるまでに試行できる回数]:デバイスがワイプされるまでに、ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
- パスコードの試行の失敗によってデバイスをワイプしない場合は、[試行制限なし]を選択します。
Android for Workでは、ワーク・プロファイルだけがワイプの対象となります。
- ユーザーが間違ったパスコードを3回まで入力しても、デバイスはワイプされません。
- デバイスがワイプされるまでに、最大で10回の試行失敗を許可できます。
- [デバイス・ロック・タイムアウト]:表示がオフになってから、 デバイスのロックを解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。
注:Okta Mobile 2.8以降を実行しているAndroidデバイスでのみサポートされます。
- Androidのデータの分離を構成します。
- [ワーク・プロファイルから個人用]:個人用プロファイル内のアプリで、ワーク・プロファイル内のファイルを開くことを許可する場合に選択します。
詳細については、「管理対象アプリケーションの構成」を参照してください。
- オプション:Android 7.0以降のワーク・パスコードの要件を構成します。
注:このセクションは、前のページの[デバイスを許可]で[Android for Work]を選択した場合にのみ表示されます。
- [ワーク・パスコードを求める]:Android 7.0以降のユーザーがデバイスで管理対象アプリケーションを開くためにパスコードの入力を求める場合はこのオプションを選択し、以下に示されているパスコードの要件を指定します。重要:このオプションを選択すると、一般的なAndroidデバイスのパスコードの要件が、Android 7.0以降のデバイスに適用されなくなります。Android 7.0以降のユーザーに対してワーク・プロファイルだけでなくデバイス全体をロックする場合は、このオプションと、以下で説明されている[7.0以降でデバイスのパスコードを求める]オプションを選択します。
- [PINの最小の長さ]:PINの最小の長さ(4~30)を指定します。
- [文字]:パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
- [有効期限切れ]:パスコードが期限切れにならないよう指定するか(デフォルト)、期限切れになるまでの有効日数([最長期間])および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数([履歴の制限])を指定します。
- [ワイプが実行されるまでに試行できる回数]:デバイスがワイプされるまでに、ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
- パスコードの試行の失敗によってデバイスをワイプしない場合は、[試行制限なし]を選択します。
Android for Workでは、ワーク・プロファイルだけがワイプの対象となります。
- ユーザーが間違ったパスコードを3回まで入力しても、デバイスはワイプされません。
- デバイスがワイプされるまでに、最大で10回の試行失敗を許可できます。
- [デバイス・ロック・タイムアウト]:表示がオフになってから、 デバイスのロックを解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。
注:Okta Mobile 2.8以降を実行しているAndroidデバイスでのみサポートされます。
- [7.0以降でデバイスのパスコードを求める]:Android 7.0以降のユーザーに、デバイスのロックを解除するためにパスコードの入力を求める場合は、このオプションを選択します。これを選択する場合は、上記の[ワーク・パスコードを求める]の項目に記載されているパスコードの要件も指定する必要があります。

作成すると、すべてのプラットフォーム・ルールが[プラットフォーム]の下にリストとして表示されます。プラットフォームのアイコンをクリックすると、そのプラットフォームに対して現在構成されているルールが表示されます。ルールを変更するには、鉛筆アイコンをクリックします。
注:ルールのリストは、Android、iOS、およびmacOSデバイスで同様です。一般的なAndroidのルール・リストを次に示します。
既知の問題
- (バージョン7.1または7.1.1を実行しているAndroidデバイスに適用。7.1.2で修正)管理者がグループのワーク・プロファイルのパスコード・ポリシーを強化した後、エンド・ユーザーは更新されたポリシーに準拠するためにパスコードを更新するよう求められます。しかし、エンド・ユーザーが求めに応じると、ワーク・プロファイルのパスコードではなくデバイスのパスコードが更新されます。エンド・ユーザーの[セキュリティー]設定でデバイスとワーク・プロファイルの異なるパスコードが許可されている場合、デバイス設定でワーク・プロファイルのパスコードを変更するまで、更新を求められ続けます。
2020年11月1日に、GoogleはネイティブAndroidおよびSamsung SAFEの登録タイプのサポートを終了しました。Oktaでは、Android 10以降を実行しているデバイスのOMMポリシー・ルールで、ネイティブAndroidおよびSamsung SAFEの登録タイプがサポートされなくなります。Android 9以前のデバイスでは、ネイティブAndroidおよびSamsung SAFEの登録オプションが引き続き機能します。以下を行います。
- 新しいOMMポリシー・ルールを構成する場合は、Android 10以降のデバイスのユーザーが登録して引き続き準拠できるように、Android for Workの登録タイプを選択してください。
- 既存のOMMポリシー・ルールを確認し、ネイティブAndroidやSamsung SAFEのオプションで現在構成されているものを更新して、Android 10以降のデバイスのユーザーが登録して引き続き準拠できるように、Android for Workのオプションも含めるようにしてください。
- Android 10以降のユーザーにAndroid for Workの登録オプションへの再登録を強制するために、Okta OMMデバイスのダッシュボード([OMM] > [Okta Mobility Management])に移動し、ネイティブAndroidまたはSamsung SAFEの登録オプションで登録されている可能性があるAndroid 10以降のデバイスのユーザーの登録を解除します。
詳細については、 「お知らせのログ」を参照してください。