これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

OMMの管理対象iOSデバイスへのネイティブ・アプリとSafariに対応したOkta Device Trustの適用

このOMM管理対象iOSデバイスに対するネイティブ・アプリとSafariに対応したOkta Device Trustソリューションを使用すると、管理対象外のiOSデバイスがブラウザーやネイティブ・アプリケーションを介してエンタープライズ・サービスにアクセスするのを防ぐことができます。このソリューションでは、さらに次のことを実現できます。

  • OMMに登録されたiOSデバイスを使用するユーザーのみにSAMLまたはWS-Fedクラウド・アプリへのアクセスを許可
  • Okta Mobile for iOSを利用することでスムーズなエンドユーザー・エクスペリエンスを提供

  • 対象:
    • Okta Integration NetworkのSAMLまたはWS-Fedクラウド・アプリ
    • OktaへのWebベースのフェデレーションをサポートするiOSアプリとSafariモバイル・ブラウザー
  • OktaでサポートされるバージョンのiOSをデバイスで実行している
  • Okta Mobility Management(OMM)が組織で構成されている
  • エンド・ユーザーのデバイスにOkta Mobileがインストールされている(インストールされていない場合、エンド・ユーザーにインストールを求めるプロンプトが表示されます)
  • エンド・ユーザーのデバイスがOMMに登録されている(登録されていない場合、エンド・ユーザーに登録フローの案内が表示されます)

  • Device TrustはOkta Mobile内のチクレット経由でアクセスされるアプリには適用されません。

  • Oktaがパスワードなし認証をサポートするのはOffice 365アプリのみ:他のすべてのアプリでは、エンド・ユーザーに資格情報を入力するためのOktaサインイン・ページが表示されます。ユーザーはその後、Okta Mobileでデバイスの信頼ステータスを評価することが求められます。デバイスが信頼されている(OMMに登録されている)場合、エンド・ユーザーはアプリにアクセスできます。デバイスが信頼されていない場合、エンド・ユーザーはOkta Mobility Management(OMM)に登録するように求められます。
  • エンド・ユーザーの画面が特定の状況下で設定アプリに戻らない:OMMに登録されていないiOSのエンド・ユーザーがiOSの設定アプリを使用してネイティブのメール・アプリにGmailアカウントを追加すると、OMMに登録するように求められます。登録後、エンド・ユーザーはホーム・ボタンをタップして設定に戻るように求められます。このとき、エンド・ユーザーはGmailのサインイン画面にリダイレクトされず、OktaのMDM構成ページが表示されます。該当するエンド・ユーザーにGmailの構成をもう一度行うように伝えてください。
  • 信頼または非信頼条件でのサインオン・ポリシー・ルール信頼または非信頼条件で構成されたアプリのサインオン・ポリシー・ルールを処理する場合、Oktaは通常のルール処理を一時停止し、Okta Mobileにユーザーをリダイレクトしてデバイスが信頼できるかどうか(OMMに登録されているかどうか)を評価します。Oktaがデバイスを信頼できないと評価した場合、ユーザーはOMMに登録するように求められます。
  • 非信頼条件は適用されない非信頼条件を含むルールを作成することは可能ですが、それらのルールはこの早期アクセス・バージョンの機能では適用されません。これは、信頼できないデバイスを使用しているエンド・ユーザーは、デバイスを信頼するためにOMMに強制的に登録されるためです。したがって、多要素認証のアクションを使用するかどうかに関係なく、以下のルール2のような信頼と許可のルールを作成することをお勧めします。
  • エンド・ユーザーが特定の状況下でアプリのサインイン・ページにリダイレクトされない:このDevice Trustソリューションが有効になっている場合、エンド・ユーザーがOktaフェデレーション認証済みのGmailまたはSalesforceアカウントにサインインし、後でそのアカウントを削除すると、アプリのサインアウト・ページの代わりにOktaホームページにリダイレクトされます。

  • Device Trustによって保護されたアプリは、Okta End-User Dashboardにロック済みとして表示されます。以下の条件に該当する場合、Device Trustによって保護されたアプリの横にロック・アイコンが表示されます。

    • エンド・ユーザーがデスクトップまたはモバイルのブラウザー(Okta Mobile以外)でダッシュボードにアクセスした。
    • 組織でDevice Trustが有効になっている。
    • デバイスが信頼されていない。
    • エンド・ユーザーがダッシュボードからDevice Trustで保護されたアプリにアクセスしようとした。

この手順には2つの主要なステップがあります。

  1. 組織のOMMを構成します。
  2. 管理コンソールで、[セキュリティー] > に移動します [Device Trust]
  3. [編集]をクリックします。
  4. [iOS Device Trust]セクションで、[iOS Device Trustを有効化]を選択します。
  5. [信頼の確立元]で、[Okta Mobility Management]が選択されていることを確認します。
  6. [保存]をクリックします。

挙動とアプリのサインオン・ポリシー

[App Sign On Rule(アプリサインオンルール)] ダイアログボックス内のすべてのクライアントオプションはデフォルトで事前選択されています。アプリへのアクセスをより細かく構成するには、以下を反映したルールを作成します。

  • ユーザーが誰であるか、または所属しているグループ
  • ネットワークに接続されているかいないか、または定義されたネットワークゾーン内か
  • デバイスで稼働しているクライアントのタイプ(Office 365アプリのみ)
  • 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
  • デバイスが信頼されているか

サインオン・ポリシー・ルールへの許可リストによるアプローチ

手順

注:この例は、Office 365へのアクセスを管理するためのDevice Trustルールを示しています。その他のアプリの場合、セクション[ユーザーのクライアントが次のいずれかに該当する場合]が存在しないことに注意してください。

  1. 管理コンソールで、[アプリケーション] > に移動します。[アプリケーション]、Device Trustで保護するSAMLまたはWS対応アプリをクリックします。
  2. [サインオン]タブをクリックし、[サインオン・ポリシー]まで下にスクロールして、[ルールを追加]をクリックします。
  3. 次の例をガイドとして使用して、1つ以上のルールを構成します。

許可リストの例

  1. ルールにわかりやすい名前を入力します。

条件

  1. [ユーザー]の下で、ルールを個人のみに適用するか、個人とグループに適用するかを指定します。選択する[ユーザー]オプションは、この例で作成するすべてのルールで同じにする必要があります。
  2. [場所]の下で、ルールを適用するユーザーのロケーションを指定します。選択する[場所]オプションは、この例で作成するすべてのルールで同じにする必要があります。
  3. クライアント設定を構成します。

    4. タイプ:

    þ [Webブラウザーまたはモダン認証クライアント]:選択します。

    ¨ [Exchange ActiveSyncクライアント]:選択しません。

    モバイル:

    þ [iOS]:選択します。

    ¨ [Android]:選択しません。

    ¨ [その他のモバイル]:選択しません。

    デスクトップ:

    ¨ [Windows]:選択しません。

    ¨ [macOS]:選択しません。

    ¨ [その他のデスクトップ]:選択しません。

  4. [Device Trust]を構成します。

    5. ¨ [任意]:選択しません。

    þ [信頼済み]:選択します。

    ¨ [信頼できない]:選択しません。

アクション

  1. [アクセス]を構成します。

    2. [許可]を選択します。

  2. þ [要素を求める]:選択します。

  3. [保存]をクリックします。
  4. ルール2を作成します。

  1. ルールにわかりやすい名前を入力します。

条件

  1. [ユーザー]の下で、ルール1で選択したものと同じ[ユーザー]オプションを選択します。この例のすべてのルールで[ユーザー]オプションは同じにする必要があります。
  2. [場所]の下で、ルール1で選択したものと同じ[場所]オプションを選択します。この例のすべてのルールで[場所]オプションは同じにする必要があります。
  3. クライアント設定を構成します。

    4. タイプ:

    þ [Webブラウザーまたはモダン認証クライアント]:選択します。

    ¨ [Exchange ActiveSyncクライアント]:選択しません。

    モバイル:

    ¨ [iOS]:選択しません。

    þ [Android]:選択します。

    þ [その他のモバイル]:選択します。

    デスクトップ:

    þ [Windows]:選択します。

    þ [macOS]:選択します。

    þ [その他のデスクトップ]:選択します。

  4. [Device Trust]を構成します。

    5. þ [任意]:選択します。

    ¨ [信頼済み]:選択しません。

    ¨ [信頼できない]:選択しません。

アクション

  1. [アクセス]を構成します。

    2. [許可]を選択します。

  2. þ [要素を求める]:選択します。

  3. [保存]をクリックします。

  1. ルールにわかりやすい名前を入力します。

条件

  1. [ユーザー]の下で、ルール1で選択したものと同じ[ユーザー]オプションを選択します。選択する[ユーザー]オプションは、この例で作成するすべてのルールで同じにする必要があります。
  2. [場所]の下で、ルール1で選択したものと同じ[場所]オプションを選択します。選択する[場所]オプションは、この例で作成するすべてのルールで同じにする必要があります。
  3. クライアント設定を構成します。

    4. タイプ:

    þ [Webブラウザーまたはモダン認証クライアント]:選択します。

    þ [Exchange ActiveSyncクライアント]:選択します。

    モバイル:

    þ [iOS]:選択します。

    þ [Android]:選択します。

    þ [その他のモバイル]:選択します。

    デスクトップ:

    þ [Windows]:選択します。

    þ [macOS]:選択します。

    þ [その他のデスクトップ]:選択します。

  4. [Device Trust]を構成します。

    5. þ [任意]:選択します。

    ¨ [信頼済み]:選択しません。

    ¨ [信頼できない]:選択しません。

アクション

  1. [アクセス]を構成します。

    2. [拒否]を選択します。

  2. [保存]をクリックします。

デフォルトのサインオン・ルールはすでに作成されており、編集できません。この例では、デフォルトのルールはルール3によって事実上無効になっているため、到達することはありません。



  • 現在、Boxについては、このDevice Trustソリューションでサポートされていません。Box for EMMを使用することをお勧めします。
  • 信頼に関する混乱を招くメッセージ[サインオン・ルールの追加/編集]ダイアログ・ボックスの[Device Trust]セクションに、[セキュリティー] > [Device Trust]でDevice Trustが構成されていても、特定の状況で「[信頼済み]および[信頼できない]は、Device Trustを構成してからでないと選択できません」というメッセージが表示され、混乱を招く可能性があります。ダイアログ・ボックスの[クライアント]セクションで正しいプラットフォームを選択していることを確認してください。
  • 特定の状況でDevice Trustの設定を[任意]に変更する:Oktaサポートに組織のDevice Trust機能の無効化を依頼する場合は、その前にアプリのサインオン・ポリシー・ルールでDevice Trustの設定を[任意]に変更してください([アプリケーション] > アプリ > [サインオン])。この変更を行わず、後でOktaサポートに組織のDevice Trust機能の再有効化を依頼した場合、アプリのサインオン・ポリシー・ルールのDevice Trust設定がすぐに有効になるという予期しない動作が発生します。

Device Trust

Microsoft Exchange ActiveSync(EAS)を構成する

Office 365クライアント・アクセス・ポリシー

Okta Mobility Managementの構成

Microsoft Office 365との統合によるOktaの機能強化