OMMマネージドiOSデバイスのネイティブアプリとSafariに対してOkta デバイスの信頼を強制適用

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

OMMマネージドiOSデバイスのネイティブアプリとSafariに対するこのOkta デバイスの信頼ソリューションにより、アンマネージドiOSデバイスがブラウザやネイティブアプリを介してエンタープライズサービスにアクセスするのを防止できます。このソリューションでは次のことも可能です。

  • OMM登録iOSデバイスのユーザーのみがSAMLとWS-Fedクラウドアプリにアクセスできるようにします。
  • Okta Mobile for iOSを使用することで、スムーズなエンドユーザーエクスペリエンスを提供します。

前提条件

  • 以下を使用する:
    • Okta統合ネットワーク内の任意のSAMLまたはWS-Fedクラウドアプリ
    • Oktaへのウェブベース連携認証をサポートするiOSアプリとSafariモバイルブラウザ
  • デバイスがiOSのOktaサポートバージョンを実行している
  • Org用にOkta Mobility Management(OMM)が構成されている
  • エンドユーザーデバイスにOkta Mobileがインストールされている(インストールされていないと、エンドユーザーはインストールするように求められる)
  • エンドユーザー・デバイスがOMM登録されている(登録されていないと、エンドユーザーは登録フローに従ってガイドされる)

開始する前に

  • デバイスの信頼は、Okta Mobile内からアクセスされるアプリには適用されません。

  • Oktaはパスワードなし認証をOffice 365アプリ用にのみサポート:その他のアプリはすべて、エンドユーザーが表示されるOktaサインインページで資格情報を入力します。ユーザーはその後、Okta Mobileでデバイスの信頼ステータスを評価することが求められます。デバイスが信頼されている(OMM登録されている)場合、エンドユーザーはアプリにアクセスできます。デバイスが信頼されていない場合、エンドユーザーはOkta Mobility Management(OMM)に登録するように求められます。
  • エンドユーザーが設定アプリに戻されない場合がある:OMM登録されていないiOSエンドユーザーがiOS Settings(設定)アプリを使用してGmailアカウントをネイティブメールアプリに追加する場合、OMMに登録するように求められます。登録後、エンドユーザーは[Home(ホーム)]ボタンをタップしてSettings(設定)に戻るように求められます。エンドユーザーはGmailサインイン画面にリダイレクトされず、[Okta MDM Configuration(Okta MDM構成)]ページが表示されます。エンドユーザーにもう一度Gmailを構成するようにアドバイスします。
  • 信頼または非信頼条件でのサインオンポリシールール — 信頼または非信頼条件で構成されたアプリのサインオンポリシールールを処理する場合、Oktaは通常のルール処理を一時停止し、Okta Mobileにユーザーをリダイレクトしてデバイスが信頼できるかどうか(OMMに登録されているかどうか)を評価します。Oktaでデバイスが非信頼と評価されると、ユーザーはOMMに登録するように求められます。
  • 非信頼条件が適用されない:Not trusted(非信頼) 条件を含むルールを作成することはできますが、Oktaはそのようなルールをこの機能の早期アクセスバージョンには適用しません。これは、非信頼デバイスを持つエンドユーザーが信頼されるようデバイスのOMM登録を強制されるためです。そのため、MFAアクションなしで、下に示すルール2に類似したTrusted-Allowルールを作成することを推奨します。
  • エンドユーザーがアプリサインインページにリダイレクトされないことがある:デバイスの信頼ソリューションが有効になっている場合、エンドユーザーがOkta連帯認証GmailまたはSalesforceアカウントにサインインした後にそのアカウントを削除すると、アプリのサインインページではなくOktaホームページにリダイレクトされます。
  • デバイスの信頼によって保護されたアプリは、Okta End-User Dashboard(Oktaエンドユーザーダッシュボード)にロック済みとして表示されます。次の条件下でデバイスの信頼によって保護されたアプリの横に、ロックアイコンが表示されます。

    • エンドユーザーがデスクトップまたはモバイルのブラウザー(Okta Mobile以外)でダッシュボードにアクセスした。
    • Orgでデバイスの信頼が有効になっている。
    • デバイスが信頼されていない。
    • エンドユーザーがダッシュボードからデバイスの信頼で保護されたアプリにアクセスしようとした。

手順

ステップ1. Orgのグローバルデバイスの信頼設定を有効にする

  1. OrgのOMMを構成します。
  2. 管理者コンソールで、[Security(セキュリティ)][Device Trust(デバイスの信頼)]に移動します。
  3. [Edit(編集)]をクリックします。
  4. [iOS Device Trust(iOSデバイスの信頼)] セクションで[Enable iOS Device Trust(iOS デバイスの信頼を有効にする)]を選択します。
  5. [Trust is establish by(信頼構築者:)][Okta Mobility Management]が選択されていることを確認します。
  6. [Save(保存)]をクリックします。

ステップ2. Oktaでアプリサインオンポリシールールを構成する

アプリサインオンポリシールールについて

[App Sign On Rule(アプリ・サインオン・ルール)]ダイアログ・ボックス内のすべてのクライアント・オプションはデフォルトで事前選択されています。アプリへのアクセスを詳細設定するには、以下を反映させるルールを作成します。

  • 対象となるユーザー、または対象者が属するグループ
  • 対象者がネットワークに接続しているか、接続していないか、定義されたネットワークゾーンに属しているか
  • 対象者のデバイスで実行されているクライアントのタイプ(Office 365アプリのみ)
  • 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
  • 対象者のデバイスが信頼されているかどうか

サインオン・ポリシー・ルールへの許可リストによるアプローチ

    1. アプリへのアクセスを許可するシナリオをサポートする1つまたは複数の許可ルールを作成し、これらのルールに最高優先度を割り当てます。
    2. ステップ1で作成した許可シナリオに一致しないユーザーに適用するキャッチオール拒否ルールを作成します。キャッチオール拒否ルールに、デフォルトルールのすぐ上の最低優先度を割り当てます。ここで説明した許可リストアプローチでは、デフォルトルールは事実上キャッチオール拒否ルールで否定されるため、これに達することはありません。

    アプリサインオンポリシールールの作成についての重要なセキュリティ情報は、「アプリのサインオンポリシーについて」を参照してください。

手順

:この例は、Office 365へのアクセスを管理するためのデバイスの信頼ルールを示しています。他のアプリでは、[If the user's client is any of these(ユーザーのクライアントが次のいずれかに該当する場合)]セクションは表示されません。

  1. 管理者コンソール[Applications(アプリケーション)]>[Applications(アプリケーション)]に進み、デバイスの信頼で保護するSAMLまたはWS対応アプリをクリックします。
  2. [Sign On(サインオン)]タブをクリックします。
  3. [Sign On Policy(サインオン・ポリシー)]まで下にスクロールしてから、[Add Rule(ルールを追加)]をクリックします。
  4. 次の例をガイドとして使用して、1つ以上のルールを構成します。

<MadCap:dropDownHotspot>Example Rule 1: Web browser or Modern Auth; iOS; Trusted; Allow access + MFA </MadCap:dropDownHotspot>

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [PEOPLE(ユーザー)]で、ルールを個人のみに適用するか、個人とグループに適用するかを指定します。選択する[People(ユーザー)]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、ルールを適用するユーザーのロケーションを指定します。選択するLocation(場所)オプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。
  4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択解除します。

    モバイル

    [iOS]を選択します。

    [Android]を選択解除します。

    [Other mobile(他のモバイル)]を選択解除します。

    デスクトップ

    [Windows]を選択解除します。

    [macOS]を選択解除します。

    [Other desktop(他のデスクトップ)]を選択解除します。

  5. [デバイスの信頼]で以下を構成します。
  6. [Any(すべて)]を選択解除します。

    [Trusted(信頼)] を選択します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。
  2. [Allowed(許可)]を選択します。

  3. [Prompt for factor(要素をプロンプト)]を選択します。

  4. [Save(保存)]をクリックします。
  5. [Rule 2(ルール2)]を作成します。

<MadCap:dropDownHotspot>Example Rule 2: Web Browser or Modern Auth; All platforms except iOS; Any Trust; Allow access + MFA </MadCap:dropDownHotspot>

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [PEOPLE(ユーザー)]で、[Rule 1(ルール1)]で選択したものと同じ[People(ユーザー)]オプションを選択します。[People(ユーザー)]オプションは、この例のすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。[Location(場所)]オプションは、この例のすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。
  4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択解除します。

    モバイル

    [iOS]を選択解除します。

    [Android]を選択します。

    [Other mobile(他のモバイル)]を選択します。

    デスクトップ

    [Windows]を選択します。

    [macOS]を選択します。

    [Other desktop(他のデスクトップ)]を選択します。

  5. [デバイスの信頼]で以下を構成します。
  6. [Any(すべて)]を選択します。

    [Trusted(信頼)]を選択解除します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。
  2. [Allowed(許可)]を選択します。

  3. [Prompt for factor(要素をプロンプト)]を選択します。

  4. [Save(保存)]をクリックします。

<MadCap:dropDownHotspot>Example Rule 3: Any client; All platforms; Any Trust; Deny access</MadCap:dropDownHotspot>

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [PEOPLE(ユーザー)]で、[Rule 1(ルール1)]で選択したものと同じ[People(ユーザー)]オプションを選択します。選択する[People(ユーザー)]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。選択する[Location(場所)]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。
  4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択します。

    モバイル

    [iOS]を選択します。

    [Android]を選択します。

    [Other mobile(他のモバイル)]を選択します。

    デスクトップ

    [Windows]を選択します。

    [macOS]を選択します。

    [Other desktop(他のデスクトップ)]を選択します。

  5. [デバイスの信頼]で以下を構成します。
  6. [Any(すべて)]を選択します。

    [Trusted(信頼)]を選択解除します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。
  2. [Denied(拒否)]を選択します。

  3. [Save(保存)]をクリックします。

例:Rule 4 - Default sign on rule – Any client, All platforms; Any Trust; Allow access

デフォルト・サインオン・ルールは作成済みであり、編集できません。この例では、デフォルト・ルールがルール3により実質的に無効化されているため、デフォルト・ルールに到達することはありません。

既知の問題

  • このデバイスの信頼ソリューションではBoxは現在サポートされていません。Box for EMMを使用することを推奨します。
  • Trust(信頼)メッセージが混乱を引き起こす可能性がある:[Security(セキュリティ)][デバイスの信頼]デバイスの信頼が構成された場合、[Add/Edit Sign On Rule(サインオンルールの追加/編集)]ダイアログボックスの[デバイスの信頼]セクションで「"Trusted" and "Not trusted" are available only after configuring デバイスの信頼(デバイスの信頼を構成した後にのみ「信頼」と「非信頼」が利用可能)」というメッセージが表示されることがあります。ダイアログボックスの[Client(クライアント)]セクションで正しいプラットフォームが選択されていることを確認してください。
  • 特定の状況でデバイスの信頼の設定を[Any(任意)]に変更する:OktaサポートにOrgのデバイスの信頼機能の無効化を依頼する場合は、事前にアプリサインオンポリシールールでデバイスの信頼の設定を[Any(任意)]に変更してください([Applications(アプリケーション)] > [app(アプリ)] > [Sign On(サインオン)])。この変更を行わず、後でOktaサポートにOrgのデバイスの信頼機能の再有効化を依頼した場合、アプリサインオンポリシールールのデバイスの信頼設定がすぐに有効になるという予期しない動作が発生します。