Okta Mobility Managementの構成

1. エンド・ユーザーのデバイスでサポート対象バージョンのOSが実行されていることを確認します。
2. エンド・ユーザーのデバイスにOkta Mobileがインストールされていることを確認します。

Okta Mobility Managementの登録プロセスを正常に完了するには、エンド・ユーザーのデバイスにOkta Mobileがインストールされている必要があります。

次の点に注意してください。

• iOS – OMMへの登録後、エンド・ユーザーがデバイスからOkta Mobileを削除しても、構成したセキュリティ・ポリシーはアクティブなままになります。
• Android – Androidデバイスのユーザーは、OMMから登録を解除しない限り、デバイスからOkta Mobileを削除することはできません。
3. iOSおよびmacOSデバイス：
   Apple Push Notification Serviceの設定を完了できるように、Apple IDをhttp://appleid.apple.comで作成しておきます。
4. iOSデバイスのみ：

   Apple iOS 10に関する既知の問題を確認しておきます。

5. モバイル・ポリシーを構成する前に、組織でグループが作成されていることを確認してください。グループはOktaで作成するか、ディレクトリーからインポートできます。詳細については、以下の「グループの追加と使用」を参照してください。

1. ［デバイス］> ［モバイル・ポリシー］に移動します。
2. ［OMM］> ［OMMポリシー］に移動します。
3. 有効にするOMM登録のタイプに対応するボタンをクリックします。

Android for Workの設定

AfWの設定手順については、「Okta Mobility ManagementとAndroid for Work」を参照してください。Samsung SAFEおよびネイティブのAndroidデバイスの場合、追加の設定は必要ありません。

Appleの証明書の設定

Apple iOSデバイスまたはmacOSコンピューター用にOkta Mobility Managementを構成するには、まずApple Push Notification Service（APNS）証明書を構成する必要があります。このプロセスでは、Oktaから証明書署名要求（CSR）をダウンロードし、デジタル署名のためにCSRをAppleにアップロードし、最後に署名済み証明書をOkta組織にアップロードする必要があります。手順は次のとおりです。

1. [Appleの証明書の設定]ボタンを確認します。

• 黄色の感嘆符は、プッシュ証明書がまだ構成されていないことを示します。

• 緑色のチェック・マークは、有効なプッシュ証明書がすでに構成されていることを示します。

• 赤色の感嘆符は、現在のプッシュ証明書の有効期限が切れているか近づいていることを示します。

2. [Appleの証明書の設定]ダイアログ・ボックスの手順に従います。

   

   証明書署名要求のダウンロード

   [ダウンロード]をクリックして、Oktaから証明書署名要求（okta-apns-CSR.dat）を取得します。

   Apple Push Notification Service証明書の取得

   1. 表示されるリンク（https://identity.apple.com/pushcert）を使用して、Apple Push Certificates管理ポータルに移動します。

      このポータルにログインするにはApple IDが必要です。

   2. 証明書を初めて設定する場合は、Appleの利用規約に同意するように求められます。1つ以上の証明書をすでに構成している場合は、ポータルに一覧表示されます。

      

   3. [証明書を作成]をクリックします。
   4. [ファイルの選択]をクリックし、Appleに署名を要求するために前にダウンロードしたCSRファイル（okta-apns-CSR.dat）を選択して、[アップロード]をクリックします。要求が正常にアップロードされると、確認画面が表示されます。

      

   5. 確認画面で[ダウンロード]をクリックして、APNS MDM証明書をダウンロードします。

      APNS証明書には有効期限があることに注意してください。Apple Push Certificates Portalにログインし、[サードパーティ・サーバーの証明書]セクションで、証明書の[更新]や[取り消し]が可能です。

   Appleプッシュ証明書のアップロード

   [Appleの証明書の設定]ダイアログ・ボックスに戻り、[参照]をクリックして前の手順でダウンロードしたAPNSを選択し、[アップロード]をクリックしてCSR署名プロセスを完了します。

Apple Push Notification Service（APNS）証明書を構成した後、ユーザーがApple App StoreからOkta Mobileアプリをダウンロードしてインストールする必要があります。Okta Mobileを検索し、ダウンロードとインストールのプロセスを進めます。

Apple Push Notification Service（APNS）証明書の管理/更新

要件

Apple IDが必要です。

APNS証明書の管理

Apple Push Certificates Portal（https://identity.apple.com/pushcert/）にアクセスします（このポータルにログインするにはApple IDが必要です）。

以前に1つ以上の証明書を構成している場合、以下に示すようにポータルに一覧表示されます。このポータルから、APNS証明書の[更新]、[ダウンロード]、[取り消し]が可能です。

重要：[取り消し]オプションは使用しないことをお勧めします。証明書を取り消した場合、その後にすべてのエンド・ユーザーについてOkta Mobility Managementへの再登録が必要になります。

情報アイコン（i）をクリックすると、各証明書に関する詳細（以下の黄色で強調表示された箇所）を確認できます。この情報を使用して、このポータルの証明書とOktaの証明書を比較します。

APNS証明書の更新

APNS証明書は期限切れにならないように更新することが重要です。 APNS証明書の有効期限が切れると、現在登録されているデバイスにコマンドを送信できなくなり、新しいデバイスも登録できなくなります。証明書の有効期限が切れる可能性を減らすために、次の対策を講じてあります。

• 最初に証明書を作成するときに証明書の有効期限が表示されます。
• 有効期限の30日前と7日前にメール通知が届きます。
• 証明書の有効期限が残り30日を切ると、[モバイル・ポリシー]ページの[Appleの証明書の設定]ボタンにエラー・アイコンが表示されます。

Oktaでは既存の証明書を上書きすることはできないため、誤って間違った証明書を更新する心配はありません。ただし、以下の手順に慎重に従うことで、同じ証明書を再読み込みする手間を省くことができます。

APNS証明書は1年後に有効期限が切れます。証明書を更新する必要がある場合、次のように、まずOktaから新しい証明書署名要求（CSR）をダウンロードする必要があります。

1. ［デバイス］> ［モバイル・ポリシー］に移動します。
2. ［OMM］> ［OMMポリシー］に移動します。

3. [Appleの証明書の設定]ボタンをクリックします。

   

   [Appleの証明書の設定]ボタンの緑色のチェック・マークはプッシュ証明書がすでに構成されていることを示し、赤色の感嘆符は構成された証明書の有効期限が切れているか近づいていることを示します。

   [Appleの証明書の設定]ダイアログが表示されます。

   

   この画面のステップ2には、期限切れか否かの、現在のAPNS証明書に関する情報（上記の黄色で強調表示された箇所）が表示されることに注意してください。この情報を使用して、更新が必要なポータルの証明書を特定します。

4. [ダウンロード]をクリックして、Oktaから証明書署名要求（okta-apns-CSR.dat）を取得します。

5. Apple Push Certificates Portal（https://identity.apple.com/pushcert/）にアクセスします（このポータルにログインするにはApple IDが必要です）。

6. 期限が切れているか近づいている証明書を探し、[更新]をクリックします。

   情報アイコン（i）をクリックすると、各証明書に関する情報を確認できます。この情報を使用して証明書を比較します。

7. [ファイルの選択]をクリックし、Appleに署名を要求するために前にダウンロードしたCSRファイル（okta-apns-CSR.dat）を選択して、[アップロード]をクリックします。

   

   要求が正常にアップロードされると、確認画面が表示されます。

   

8. 確認画面で[ダウンロード]をクリックします。

9. Oktaの[Appleの証明書の設定]ダイアログ・ボックスに戻り、[Appleプッシュ証明書のアップロード]セクションで、[参照]をクリックしてダウンロードした更新後のAPNSを選択し、[アップロード]をクリックしてプロセスを完了します。

[すべてのデバイスのデータをワイプ]オプションを無効化

[すべてのデバイスのデータをワイプ]オプションは、デフォルトで有効になっていますが、新しいOMM登録に対してiOSモバイル・ポリシーごとに無効にすることができます。無効にすると、次のようなiOSデバイスの[デバイス・アクション]メニューで[すべてをワイプ...]オプションを使用できなくなります。

• 関連するiOSモバイル・ポリシーの対象です。
• モバイル・ポリシーで[すべてをワイプ...]オプションを無効にした後で、OMMに登録しました。[すべてをワイプ...]オプションが無効になる前にOMMに登録されたiOSデバイスでは、引き続きこのオプションを使用できます。詳細

1. 管理コンソールで、[OMM] > に移動します [OMMポリシー]。
2. 左側のペインでポリシーを選択します。
3. [プラットフォーム]で、 関連するiOSデバイスのルールを見つけて、鉛筆アイコンをクリックします。
4. [iOSルールを編集]ダイアログ・ボックスで、[次へ]をクリックして2番目の画面に進みます。
5. [iOS権限]セクションまで下にスクロールし、[すべてのデバイスをワイプする権限を無効化]を選択します。



6. [保存]をクリックします。

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

エンド・ユーザーが不正アクセスされたiOSおよびAndroidデバイス（ジェイルブレイクまたはルート化されたデバイス）をOkta Mobility Management（OMM）に登録しないように防ぐことができます。不正アクセスされたデバイスは、組織のセキュリティーやユーザーがアクセスする機密性の高いアプリのセキュリティーにリスクをもたらします。指定したオペレーティング・システムのバージョンに登録を制限することもできます。

1. ［デバイス］> ［モバイル・ポリシー］に移動します。
2. ［OMM］> ［OMMポリシー］に移動します。
3. 既存のデバイス・ポリシーを選択するか、新規に追加します。
4. 既存のプラットフォーム・ルールを編集するか、新規に追加します。
5. [登録]で[デバイスを許可]を選択します。
6. [登録の例外]セクションで次の設定を構成します。
• [ジェイルブレイク/ルート化]
  • [ジェイルブレイクまたはルート化された新規デバイスを拒否]
  • [ジェイルブレイクまたはルート化された既存のデバイスから会社のデータをワイプ]
• OSのバージョン
  • ［OSのバージョンにより新規デバイスを拒否］ – 新規デバイスのアクセスを拒否するOSのバージョンを指定します。
  • [OSのバージョンにより会社のデータを既存のデバイスからワイプ – 既存のデバイスから会社のデータをワイプするOSのバージョンを指定します。
7. ［次へ］をクリックして次に進みます。
8. パスコードの要件やデータの分離の構成については、「Okta Mobility ManagementとAndroid for Work」を参照してください。
9. 構成が完了したら、[保存]をクリックします。

すでにユーザーをインポートしている場合は、次のセクションに進みます。まだ追加していない場合は、いくつかの方法で組織にユーザーを追加できます。「ユーザーのインポート」の説明に従ってインポートしたり、「ユーザーの追加」の説明に従って個別に追加したりできます。既存のディレクトリーからユーザーをインポートすることもできます。Active Directory、LDAP、およびその他のディレクトリーからのユーザーのインポートについては、「利用可能なディレクトリー統合」を参照してください。

Okta Mobility Managementのセキュリティ・ポリシーは、グループ・レベルで構成および適用されます。個々のユーザーにポリシーを割り当てることはできません。Oktaでグループを追加したり、ディレクトリーやアプリからインポートしたグループを使用したりできます。Oktaでグループを追加する方法の詳細については、「ユーザーの管理」の「グループ」のセクションを参照してください。ディレクトリーからグループをインポートする詳しい説明など、Oktaでのグループの使用に関する全体的な概要については、「グループについて」を参照してください。

Okta Mobility Management（OMM）によってインストールされたすべての管理対象アプリに、Oktaから事前構成済みのキーと値のペアを送信できます。

モバイル管理者は、OMMにアップロードする際に構成フィールドの名前、値、データ型を作成します。エンド・ユーザーがインストールするように選択したときに、それらの値が管理対象アプリに送信されます。

注：すべてのアプリがキーと値のペアの構成をサポートしているわけではありません。

1. ダッシュボードから、［アプリケーション］ > ［アプリケーション名］ > ［モバイル］の順に選択します。

2. 事前構成するアプリケーションの横にある[編集]アイコンをクリックします。

3. [事前構成]セクションで、[キーを追加]（iOS）または[キーを表示]（Android）をクリックします。

   注：Android for Workアプリの場合、キーはすでに事前入力されています。この記事の後半で説明するように表示することは可能です。

   

4. 以下を入力します（Android for Workの場合、これらのフィールドは読み取り専用です）。

   • [キー]：選択したアプリに対して事前構成するキーの名前。

   • [データ型]：string、integer、boolean、または*multi（*Android for Workのみ）。

   • [値]：そのキーに対して事前構成する値。値はデータ型と一致する必要があります。

     

   • [他を追加]をクリックして、キーと値のペアをさらに追加します（iOSのみ）。

   • [保存]をクリックします。

式言語の使用

管理対象アプリの構成では簡単な式言語をサポートしています。定数文字列の代わりにユーザーのユーザー名を送信するには、appuser.userNameを使用します。Oktaの機能でのSpELの使用の詳細については、「Okta式言語」を参照してください。

OMMを構成したら、「モバイル・ポリシーの構成」の説明に従って、1つ以上のモバイル・ポリシーを構成する必要があります。

セキュリティ・ポリシーの設定が完了すると、ユーザーはOkta Mobileにサインインして登録できます。エンド・ユーザーの登録手順については、「Okta Mobility Management - エンド・ユーザーの設定」を参照してください。

エンド・ユーザーのプライバシー状況の確認

Okta Mobile 5.0以降（iOS）および2.16.0以降（Android）では、登録フローが強化され、エンド・ユーザーがデバイスをOMMに登録するときにデバイスのプライバシー状況を確認できます。これにより、エンド・ユーザーは非公開のデータと会社がアクセス可能なデータを簡単に区別できます。

管理の構成

以下の手順では、OMMを有効にし、1つ以上のモバイル・ポリシーを作成済みであることを前提としています。iOS用またはAndroid用のポリシーの作成の詳細については、「モバイル・ポリシーの構成」を参照してください。

エンド・ユーザーに対するポリシーを有効にした後、エンド・ユーザーがOkta Mobileにサインインすると、次の登録フローが表示されます。

エンド・ユーザーの構成

エンド・ユーザーには3つのオプションがあります。

• [開始]を選択すると、OMMのエンド・ユーザーの登録が始まります。
• [プライバシーの保護状況を確認]を選択すると、以下に示すように、エンド・ユーザーのデバイス上のデータのうち接続後に管理者がアクセスできるデータのリストが表示されます。
• [スキップ]を選択すると、ユーザーは後で戻ることができます。

エンド・ユーザーが登録をスキップするように選択した場合、すぐにOktaの[アプリ]ページに移動します。[詳細]を選択すると、OMMの最初のページに戻って登録を再開できます。これは、アプリの[設定]セクションからもアクセスできます。

登録後は、エンド・ユーザーは[設定]画面からデバイスのステータスを確認できます。以前にOMMから登録を解除したことがある場合は、ここから再登録することもできます。

Okta Mobility Managementポリシーを構成する

デバイス

Okta Mobileの使い方

Oktaでサポートされているモバイル・オペレーティング・システムのバージョン