
Okta Mobility Managementについて
- OMMメニューは、Okta Mobility Management(OMM)を実装する組織でのみ使用できます。
- このページに記載されている手順は、組織ですでにOMMを購入しているお客様のみが利用できます。OMMの新規販売はサポートされていません。詳細については、Oktaサポートにお問い合わせください。
Okta Mobility Managementの構成
Okta Mobility Management(OMM)を使用して、エンド・ユーザーのコンピューター、モバイル・デバイス、アプリケーション、データを管理できます。エンド・ユーザーは、サービスに登録し、アプリ・ストアから管理対象アプリをダウンロードして使用できます。管理対象アプリは、通常はBoxやConcurなどの仕事関連のアプリです。管理者は、エンド・ユーザーのデバイスからいつでも管理対象アプリと関連データを削除できます。データ共有制御などのポリシーは、任意の管理対象アプリで構成できます。

- エンド・ユーザーのデバイスでサポート対象バージョンのOSが実行されていることを確認します。
- エンド・ユーザーのデバイスにOkta Mobileがインストールされていることを確認します。
- iOS – OMMへの登録後、エンド・ユーザーがデバイスからOkta Mobileを削除しても、構成したセキュリティ・ポリシーはアクティブなままになります。
- Android – Androidデバイスのユーザーは、OMMから登録を解除しない限り、デバイスからOkta Mobileを削除することはできません。
- iOSおよびmacOSデバイス:
Apple Push Notification Serviceの設定を完了できるように、Apple IDをhttp://appleid.apple.comで作成しておきます。 - iOSデバイスのみ:
Apple iOS 10に関する既知の問題を確認しておきます。
- モバイル・ポリシーを構成する前に、組織でグループが作成されていることを確認してください。グループはOktaで作成するか、ディレクトリーからインポートできます。詳細については、以下の「グループの追加と使用」を参照してください。
Okta Mobility Managementの登録プロセスを正常に完了するには、エンド・ユーザーのデバイスにOkta Mobileがインストールされている必要があります。
次の点に注意してください。

- [デバイス]> [モバイル・ポリシー]に移動します。
- [OMM]> [OMMポリシー]に移動します。
- 有効にするOMM登録のタイプに対応するボタンをクリックします。

AfWの設定手順については、「Okta Mobility ManagementとAndroid for Work」を参照してください。Samsung SAFEおよびネイティブのAndroidデバイスの場合、追加の設定は必要ありません。

Apple iOSデバイスまたはmacOSコンピューター用にOkta Mobility Managementを構成するには、まずApple Push Notification Service(APNS)証明書を構成する必要があります。このプロセスでは、Oktaから証明書署名要求(CSR)をダウンロードし、デジタル署名のためにCSRをAppleにアップロードし、最後に署名済み証明書をOkta組織にアップロードする必要があります。手順は次のとおりです。
[Appleの証明書の設定]ボタンを確認します。
黄色の感嘆符は、プッシュ証明書がまだ構成されていないことを示します。
緑色のチェック・マークは、有効なプッシュ証明書がすでに構成されていることを示します。
赤色の感嘆符は、現在のプッシュ証明書の有効期限が切れているか近づいていることを示します。
[Appleの証明書の設定]ダイアログ・ボックスの手順に従います。
証明書署名要求のダウンロード
[ダウンロード]をクリックして、Oktaから証明書署名要求(okta-apns-CSR.dat)を取得します。
Apple Push Notification Service証明書の取得
表示されるリンク(https://identity.apple.com/pushcert)を使用して、Apple Push Certificates管理ポータルに移動します。
このポータルにログインするにはApple IDが必要です。
証明書を初めて設定する場合は、Appleの利用規約に同意するように求められます。1つ以上の証明書をすでに構成している場合は、ポータルに一覧表示されます。
- [証明書を作成]をクリックします。
- [ファイルの選択]をクリックし、Appleに署名を要求するために前にダウンロードしたCSRファイル(okta-apns-CSR.dat)を選択して、[アップロード]をクリックします。要求が正常にアップロードされると、確認画面が表示されます。
確認画面で[ダウンロード]をクリックして、APNS MDM証明書をダウンロードします。
APNS証明書には有効期限があることに注意してください。Apple Push Certificates Portalにログインし、[サードパーティ・サーバーの証明書]セクションで、証明書の[更新]や[取り消し]が可能です。
Appleプッシュ証明書のアップロード
[Appleの証明書の設定]ダイアログ・ボックスに戻り、[参照]をクリックして前の手順でダウンロードしたAPNSを選択し、[アップロード]をクリックしてCSR署名プロセスを完了します。
Apple Push Notification Service(APNS)証明書を構成した後、ユーザーがApple App StoreからOkta Mobileアプリをダウンロードしてインストールする必要があります。Okta Mobileを検索し、ダウンロードとインストールのプロセスを進めます。

要件
Apple IDが必要です。APNS証明書の管理
Apple Push Certificates Portal(https://identity.apple.com/pushcert/)にアクセスします(このポータルにログインするにはApple IDが必要です)。
以前に1つ以上の証明書を構成している場合、以下に示すようにポータルに一覧表示されます。このポータルから、APNS証明書の[更新]、[ダウンロード]、[取り消し]が可能です。
重要:[取り消し]オプションは使用しないことをお勧めします。証明書を取り消した場合、その後にすべてのエンド・ユーザーについてOkta Mobility Managementへの再登録が必要になります。
情報アイコン(i)をクリックすると、各証明書に関する詳細(以下の黄色で強調表示された箇所)を確認できます。この情報を使用して、このポータルの証明書とOktaの証明書を比較します。
APNS証明書の更新
APNS証明書は期限切れにならないように更新することが重要です。 APNS証明書の有効期限が切れると、現在登録されているデバイスにコマンドを送信できなくなり、新しいデバイスも登録できなくなります。証明書の有効期限が切れる可能性を減らすために、次の対策を講じてあります。
- 最初に証明書を作成するときに証明書の有効期限が表示されます。
- 有効期限の30日前と7日前にメール通知が届きます。
- 証明書の有効期限が残り30日を切ると、[モバイル・ポリシー]ページの[Appleの証明書の設定]ボタンにエラー・アイコンが表示されます。
Oktaでは既存の証明書を上書きすることはできないため、誤って間違った証明書を更新する心配はありません。ただし、以下の手順に慎重に従うことで、同じ証明書を再読み込みする手間を省くことができます。
APNS証明書は1年後に有効期限が切れます。証明書を更新する必要がある場合、次のように、まずOktaから新しい証明書署名要求(CSR)をダウンロードする必要があります。
- [デバイス]> [モバイル・ポリシー]に移動します。
- [OMM]> [OMMポリシー]に移動します。
[Appleの証明書の設定]ボタンをクリックします。
[Appleの証明書の設定]ボタンの緑色のチェック・マークはプッシュ証明書がすでに構成されていることを示し、赤色の感嘆符は構成された証明書の有効期限が切れているか近づいていることを示します。
[Appleの証明書の設定]ダイアログが表示されます。
この画面のステップ2には、期限切れか否かの、現在のAPNS証明書に関する情報(上記の黄色で強調表示された箇所)が表示されることに注意してください。この情報を使用して、更新が必要なポータルの証明書を特定します。
[ダウンロード]をクリックして、Oktaから証明書署名要求(okta-apns-CSR.dat)を取得します。
Apple Push Certificates Portal(https://identity.apple.com/pushcert/)にアクセスします(このポータルにログインするにはApple IDが必要です)。
期限が切れているか近づいている証明書を探し、[更新]をクリックします。
情報アイコン(i)をクリックすると、各証明書に関する情報を確認できます。この情報を使用して証明書を比較します。
[ファイルの選択]をクリックし、Appleに署名を要求するために前にダウンロードしたCSRファイル(okta-apns-CSR.dat)を選択して、[アップロード]をクリックします。
要求が正常にアップロードされると、確認画面が表示されます。
確認画面で[ダウンロード]をクリックします。
Oktaの[Appleの証明書の設定]ダイアログ・ボックスに戻り、[Appleプッシュ証明書のアップロード]セクションで、[参照]をクリックしてダウンロードした更新後のAPNSを選択し、[アップロード]をクリックしてプロセスを完了します。

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。
エンド・ユーザーが不正アクセスされたiOSおよびAndroidデバイス(ジェイルブレイクまたはルート化されたデバイス)をOkta Mobility Management(OMM)に登録しないように防ぐことができます。不正アクセスされたデバイスは、組織のセキュリティーやユーザーがアクセスする機密性の高いアプリのセキュリティーにリスクをもたらします。指定したオペレーティング・システムのバージョンに登録を制限することもできます。
- [デバイス]> [モバイル・ポリシー]に移動します。
- [OMM]> [OMMポリシー]に移動します。
- 既存のデバイス・ポリシーを選択するか、新規に追加します。
- 既存のプラットフォーム・ルールを編集するか、新規に追加します。
- [登録]で[デバイスを許可]を選択します。
- [登録の例外]セクションで次の設定を構成します。
- [ジェイルブレイク/ルート化]
- [ジェイルブレイクまたはルート化された新規デバイスを拒否]
- [ジェイルブレイクまたはルート化された既存のデバイスから会社のデータをワイプ]
- OSのバージョン
- [OSのバージョンにより新規デバイスを拒否] – 新規デバイスのアクセスを拒否するOSのバージョンを指定します。
- [OSのバージョンにより会社のデータを既存のデバイスからワイプ – 既存のデバイスから会社のデータをワイプするOSのバージョンを指定します。
- [次へ]をクリックして次に進みます。
- パスコードの要件やデータの分離の構成については、「Okta Mobility ManagementとAndroid for Work」を参照してください。
- 構成が完了したら、[保存]をクリックします。
重要:
- [新規デバイスを拒否]は選択せずに、[既存のデバイスから会社のデータをワイプ]を選択してワイプするOSのバージョンを指定した場合、そのバージョンを実行しているデバイスのエンド・ユーザーの登録は可能ですが、デバイスがOktaで検出されるとプロビジョニングが解除されます。
- Okta Mobile Androidエンド・ユーザーの登録を制限した後に、ポリシーを変更して登録を許可した場合、エンド・ユーザーが登録を行うにはOkta Mobileからサインアウトしてサインインし直す必要があります。

すでにユーザーをインポートしている場合は、次のセクションに進みます。まだ追加していない場合は、いくつかの方法で組織にユーザーを追加できます。「ユーザーのインポート」の説明に従ってインポートしたり、「ユーザーの追加」の説明に従って個別に追加したりできます。既存のディレクトリーからユーザーをインポートすることもできます。Active Directory、LDAP、およびその他のディレクトリーからのユーザーのインポートについては、「利用可能なディレクトリー統合」を参照してください。

Okta Mobility Management(OMM)によってインストールされたすべての管理対象アプリに、Oktaから事前構成済みのキーと値のペアを送信できます。
モバイル管理者は、OMMにアップロードする際に構成フィールドの名前、値、データ型を作成します。エンド・ユーザーがインストールするように選択したときに、それらの値が管理対象アプリに送信されます。
注:すべてのアプリがキーと値のペアの構成をサポートしているわけではありません。
ダッシュボードから、[アプリケーション] > [アプリケーション名] > [モバイル]の順に選択します。
事前構成するアプリケーションの横にある[編集]アイコンをクリックします。
[事前構成]セクションで、[キーを追加](iOS)または[キーを表示](Android)をクリックします。
注:Android for Workアプリの場合、キーはすでに事前入力されています。この記事の後半で説明するように表示することは可能です。
以下を入力します(Android for Workの場合、これらのフィールドは読み取り専用です)。
[キー]:選択したアプリに対して事前構成するキーの名前。
[データ型]:string、integer、boolean、または*multi(*Android for Workのみ)。
[値]:そのキーに対して事前構成する値。値はデータ型と一致する必要があります。
[他を追加]をクリックして、キーと値のペアをさらに追加します(iOSのみ)。
[保存]をクリックします。
式言語の使用
管理対象アプリの構成では簡単な式言語をサポートしています。定数文字列の代わりにユーザーのユーザー名を送信するには、appuser.userNameを使用します。Oktaの機能でのSpELの使用の詳細については、「Okta式言語」を参照してください。

OMMを構成したら、「モバイル・ポリシーの構成」の説明に従って、1つ以上のモバイル・ポリシーを構成する必要があります。
セキュリティ・ポリシーの設定が完了すると、ユーザーはOkta Mobileにサインインして登録できます。エンド・ユーザーの登録手順については、「Okta Mobility Management - エンド・ユーザーの設定」を参照してください。
エンド・ユーザーのプライバシー状況の確認
Okta Mobile 5.0以降(iOS)および2.16.0以降(Android)では、登録フローが強化され、エンド・ユーザーがデバイスをOMMに登録するときにデバイスのプライバシー状況を確認できます。これにより、エンド・ユーザーは非公開のデータと会社がアクセス可能なデータを簡単に区別できます。
管理の構成
以下の手順では、OMMを有効にし、1つ以上のモバイル・ポリシーを作成済みであることを前提としています。iOS用またはAndroid用のポリシーの作成の詳細については、「モバイル・ポリシーの構成」を参照してください。
エンド・ユーザーに対するポリシーを有効にした後、エンド・ユーザーがOkta Mobileにサインインすると、次の登録フローが表示されます。
エンド・ユーザーの構成
エンド・ユーザーには3つのオプションがあります。
- [開始]を選択すると、OMMのエンド・ユーザーの登録が始まります。
- [プライバシーの保護状況を確認]を選択すると、以下に示すように、エンド・ユーザーのデバイス上のデータのうち接続後に管理者がアクセスできるデータのリストが表示されます。
- [スキップ]を選択すると、ユーザーは後で戻ることができます。
エンド・ユーザーが登録をスキップするように選択した場合、すぐにOktaの[アプリ]ページに移動します。[詳細]を選択すると、OMMの最初のページに戻って登録を再開できます。これは、アプリの[設定]セクションからもアクセスできます。
登録後は、エンド・ユーザーは[設定]画面からデバイスのステータスを確認できます。以前にOMMから登録を解除したことがある場合は、ここから再登録することもできます。