OMMマネージドiOSデバイスのネイティブアプリとSafariに対してOkta Device Trustを強制適用

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

OMMマネージドiOSデバイスのネイティブアプリとSafariに対するこのOkta Device Trustソリューションにより、アンマネージドiOSデバイスがブラウザやネイティブアプリを介してエンタープライズサービスにアクセスするのを防止できます。このソリューションでは次のことも可能です。

  • OMM登録iOSデバイスのユーザーのみがSAMLとWS-Fedクラウドアプリにアクセスできるようにします。
  • Okta Mobile for iOSを使用することで、スムーズなエンドユーザーエクスペリエンスを提供します。

前提条件

  • 以下を使用する:
    • Okta統合ネットワーク内の任意のSAMLまたはWS-Fedクラウドアプリ
    • Oktaへのウェブベース連携認証をサポートするiOSアプリとSafariモバイルブラウザ
  • デバイスがiOSのOktaサポートバージョンを実行している
  • 組織用にOkta Mobility Management(OMM)が構成されている
  • エンドユーザーデバイスにOkta Mobileがインストールされている(インストールされていないと、エンドユーザーはインストールするように求められる)
  • エンドユーザー・デバイスがOMM登録されている(登録されていないと、エンドユーザーは登録フローに従ってガイドされる)

開始する前に

  • Device Trustは、Okta Mobile内からアクセスされるアプリには適用されません。

  • Oktaはパスワードなし認証をOffice 365アプリ用にのみサポート:その他のアプリはすべて、エンドユーザーが表示されるOktaサインインページで資格情報を入力します。ユーザーはその後、Okta Mobileでデバイスの信頼ステータスを評価することが求められます。デバイスが信頼されている(OMM登録されている)場合、エンドユーザーはアプリにアクセスできます。デバイスが信頼されていない場合、エンドユーザーはOkta Mobility Management(OMM)に登録するように求められます。
  • エンドユーザーが設定アプリに戻されない場合がある:OMM登録されていないiOSエンドユーザーがiOS Settings(設定)アプリを使用してGmailアカウントをネイティブメールアプリに追加する場合、OMMに登録するように求められます。登録後、エンドユーザーは[Home(ホーム)]ボタンをタップしてSettings(設定)に戻るように求められます。エンドユーザーはGmailサインイン画面にリダイレクトされず、[Okta MDM Configuration(Okta MDM構成)]ページが表示されます。エンドユーザーにもう一度Gmailを構成するようにアドバイスします。
  • 信頼または非信頼条件でのサインオンポリシールール — 信頼または非信頼条件で構成されたアプリのサインオンポリシールールを処理する場合、Oktaは通常のルール処理を一時停止し、Okta Mobileにユーザーをリダイレクトしてデバイスが信頼できるかどうか(OMMに登録されているかどうか)を評価します。Oktaでデバイスが非信頼と評価されると、ユーザーはOMMに登録するように求められます。
  • 非信頼条件が適用されない:Not trusted(非信頼) 条件を含むルールを作成することはできますが、Oktaはそのようなルールをこの機能の早期アクセスバージョンには適用しません。これは、非信頼デバイスを持つエンドユーザーが信頼されるようデバイスのOMM登録を強制されるためです。そのため、MFAアクションなしで、下に示すルール2に類似したTrusted-Allowルールを作成することを推奨します。
  • エンドユーザーがアプリサインインページにリダイレクトされないことがある:Device Trustソリューションが有効になっている場合、エンドユーザーがOkta連帯認証GmailまたはSalesforceアカウントにサインインした後にそのアカウントを削除すると、アプリのサインインページではなくOktaホームページにリダイレクトされます。
  • Device Trustによって保護されたアプリは、Okta End-User Dashboard(Oktaエンドユーザーダッシュボード)にロック済みとして表示されます。次の条件下でDevice Trustによって保護されたアプリの横に、ロックアイコンが表示されます。

    • エンドユーザーがデスクトップまたはモバイルのブラウザー(Okta Mobile以外)でダッシュボードにアクセスした。
    • 組織でDevice Trustが有効になっている。
    • デバイスが信頼されていない。
    • エンドユーザーがダッシュボードからDevice Trustで保護されたアプリにアクセスしようとした。

手順

ステップ1. 組織のグローバルDevice Trust設定を有効にする

  1. 組織のOMMを構成します。
  2. 管理コンソールで、[Security(セキュリティ)]>[Device Trust]に移動します。
  3. [Edit(編集)]をクリックします。
  4. [iOS Device Trust(iOSデバイスの信頼)] セクションで[Enable iOS Device Trust(iOS Device Trustを有効にする)]を選択します。
  5. [Trust is establish by(信頼構築者:)][Okta Mobility Management]が選択されていることを確認します。
  6. [Save(保存)]をクリックします。

ステップ2. Oktaでアプリのサインオンポリシールールを構成する

アプリのサインオンポリシールールについて

[App Sign On Rule(アプリ・サインオン・ルール)]ダイアログ・ボックス内のすべてのクライアント・オプションはデフォルトで事前選択されています。アプリへのアクセスを詳細設定するには、以下を反映させるルールを作成します。

  • 対象となるユーザー、または対象者が属するグループ
  • 対象者がネットワークに接続しているか、接続していないか、定義されたネットワーク・ゾーンに属しているか
  • 対象者のデバイスで実行されているクライアントのタイプ(Office 365アプリのみ)
  • 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
  • 対象者のデバイスが信頼されているかどうか

サインオン・ポリシー・ルールへの許可リストによるアプローチ

    1. アプリへのアクセスを許可するシナリオをサポートする1つまたは複数の許可ルールを作成し、これらのルールに最高優先度を割り当てます。
    2. ステップ1で作成した許可シナリオに一致しないユーザーに適用するキャッチオール拒否ルールを作成します。キャッチオール拒否ルールに、デフォルトルールのすぐ上の最低優先度を割り当てます。ここで説明した許可リストアプローチでは、デフォルトルールは事実上キャッチオール拒否ルールで否定されるため、これに達することはありません。

    アプリのサインオンポリシールールの作成についての重要なセキュリティ情報は、「アプリのサインオンポリシーについて」を参照してください。

手順

:この例は、Office 365へのアクセスを管理するためのDevice Trustルールを示しています。他のアプリでは、[If the user's client is any of these(ユーザーのクライアントが次のいずれかに該当する場合)]セクションは表示されません。

  1. 管理コンソール[Applications(アプリケーション)]>[Applications(アプリケーション)]に進み、Device Trustで保護するSAMLまたはWS対応アプリをクリックします。
  2. [Sign On(サインオン)]タブをクリックします。
  3. [Sign On Policy(サインオン・ポリシー)]まで下にスクロールしてから、[Add Rule(ルールを追加)]をクリックします。
  4. 次の例をガイドとして使用して、1つ以上のルールを構成します。

<MadCap:dropDownHotspot>Example Rule 1: Web browser or Modern Auth; iOS; Trusted; Allow access + MFA </MadCap:dropDownHotspot>

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [PEOPLE(ユーザー)]で、ルールを個人のみに適用するか、個人とグループに適用するかを指定します。選択する[People(ユーザー)]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、ルールを適用するユーザーのロケーションを指定します。選択するLocation(場所)オプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。
  4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択解除します。

    モバイル

    [iOS]を選択します。

    [Android]を選択解除します。

    [Other mobile(他のモバイル)]を選択解除します。

    デスクトップ

    [Windows]を選択解除します。

    [macOS]を選択解除します。

    [Other desktop(他のデスクトップ)]を選択解除します。

  5. [DEVICE TRUST]で以下を構成します。
  6. [Any(すべて)]を選択解除します。

    [Trusted(信頼)] を選択します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。
  2. [Allowed(許可)]を選択します。

  3. [Prompt for factor(要素をプロンプト)]を選択します。

  4. [Save(保存)]をクリックします。
  5. [Rule 2(ルール2)]を作成します。

<MadCap:dropDownHotspot>Example Rule 2: Web Browser or Modern Auth; All platforms except iOS; Any Trust; Allow access + MFA </MadCap:dropDownHotspot>

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [PEOPLE(ユーザー)]で、[Rule 1(ルール1)]で選択したものと同じ[People(ユーザー)]オプションを選択します。[People(ユーザー)]オプションは、この例のすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。[Location(場所)]オプションは、この例のすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。
  4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択解除します。

    モバイル

    [iOS]を選択解除します。

    [Android]を選択します。

    [Other mobile(他のモバイル)]を選択します。

    デスクトップ

    [Windows]を選択します。

    [macOS]を選択します。

    [Other desktop(他のデスクトップ)]を選択します。

  5. [DEVICE TRUST]で以下を構成します。
  6. [Any(すべて)]を選択します。

    [Trusted(信頼)]を選択解除します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。
  2. [Allowed(許可)]を選択します。

  3. [Prompt for factor(要素をプロンプト)]を選択します。

  4. [Save(保存)]をクリックします。

<MadCap:dropDownHotspot>Example Rule 3: Any client; All platforms; Any Trust; Deny access</MadCap:dropDownHotspot>

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [PEOPLE(ユーザー)]で、[Rule 1(ルール1)]で選択したものと同じ[People(ユーザー)]オプションを選択します。選択する[People(ユーザー)]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。選択する[Location(場所)]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。
  4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択します。

    モバイル

    [iOS]を選択します。

    [Android]を選択します。

    [Other mobile(他のモバイル)]を選択します。

    デスクトップ

    [Windows]を選択します。

    [macOS]を選択します。

    [Other desktop(他のデスクトップ)]を選択します。

  5. [DEVICE TRUST]で以下を構成します。
  6. [Any(すべて)]を選択します。

    [Trusted(信頼)]を選択解除します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。
  2. [Denied(拒否)]を選択します。

  3. [Save(保存)]をクリックします。

例:Rule 4 - Default sign on rule – Any client, All platforms; Any Trust; Allow access

デフォルト・サインオン・ルールは作成済みであり、編集できません。この例では、デフォルト・ルールがルール3により実質的に無効化されているため、デフォルト・ルールに到達することはありません。

既知の問題

  • このDevice TrustソリューションではBoxは現在サポートされていません。Box for EMMを使用することを推奨します。
  • Trust(信頼)メッセージが混乱を引き起こす可能性がある:[Security(セキュリティ)][Device Trust]Device Trustが構成された場合、[Add/Edit Sign On Rule(サインオンルールの追加/編集)]ダイアログボックスの[Device Trust]セクションで「"Trusted" and "Not trusted" are available only after configuring Device Trust(Device Trustを構成した後にのみ「信頼」と「非信頼」が利用可能)」というメッセージが表示されることがあります。ダイアログボックスの[Client(クライアント)]セクションで正しいプラットフォームが選択されていることを確認してください。
  • 特定の状況でDevice Trustの設定を[Any(任意)]に変更する:Oktaサポートに組織のDevice Trust機能の無効化を依頼する場合は、事前にアプリのサインオンポリシールールでDevice Trustの設定を[Any(任意)]に変更してください([Applications(アプリケーション)] > [app(アプリ)] > [Sign On(サインオン)])。この変更を行わず、後でOktaサポートに組織のDevice Trust機能の再有効化を依頼した場合、アプリのサインオンポリシールールのDevice Trust設定がすぐに有効になるという予期しない動作が発生します。