アプリ・サインオン・ポリシーについて

アプリ・サインオン・ポリシーでは、アプリケーションへのアクセスを許可または制限します。[アプリのサインオン・ルール]ダイアログ・ボックスの[クライアント]について、デフォルトではすべてのオプションが事前に選択されています。アプリへのより詳細なアクセスを構成するには、以下に基づいて1つ以上の優先度が設定されたルールを作成するときに、条件を選択的に適用します。

  • 対象となるユーザー/対象者が属するグループ
  • 対象者がネットワークに接続しているか、接続していないか、定義されたネットワーク・ゾーンに属しているか
  • 対象者のデバイスで実行されているクライアントのタイプ(Office 365アプリのみ)
  • 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
  • 対象者のデバイスが信頼されているかどうか

User-Agentについて知っておくべき重要事項

Oktaのクライアント・アクセス・ポリシー(CAP)を使用すると、クライアント・タイプとデバイス・プラットフォームに基づいて、エンタープライズ・アプリへのアクセスを管理できます。Okta CAPでは、 ユーザーのブラウザーから送信されるUser-Agent要求ヘッダーに含まれる情報が評価されます。User-Agentは悪意のあるアクターによってなりすまされる可能性があり、そのようなアクターはおそらく、ポリシー内で最も制限の少ないCAPルールを標的にするという点に注意してください。このような理由から、CAPルールは会社のセキュリティー・ニーズを満たすようにしてください。また、次のベスト・プラクティスで説明されているように、CAPを作成し、多要素認証またはデバイスの信頼を要求する場合は、許可リストのアプローチの使用を検討してください。

  1. アプリへのアクセスを許可するクライアント・タイプ、デバイス・プラットフォーム、および信頼状態の組み合わせを指定する、1つ以上のルールから成る許可リストを実装します。
  2. アプリへのアクセスに、デバイスの信頼または多要素認証を要求します。
  3. 前述のルールでCAPのいずれにも一致しないものへのアクセスを拒否する最終的なキャッチオール・ルールを含めます。

多要素認証とレガシー・プロトコル

エンド・ユーザーに多要素認証を求めるようにアプリ・サインオン・ポリシーを構成できますが、Oktaサインイン用に多要素認証が構成されている場合でも、POPやIMAPなどのレガシー・プロトコルでは多要素認証がサポートされないことに注意してください。

アプリへの認証の安全性を確保するため、Oktaでは以下を評価することを強くお勧めします。

  • Microsoft Office 365アプリケーションでのレガシー・プロトコルの使用、および必要に応じてそれらを無効にするかどうか
  • セキュリティーを向上させるためにMicrosoft Office 365テナントでモダン認証を有効にするかどうか


関連項目

アプリ・サインオン・ポリシーを構成する

多要素認証登録ポリシーについて

パスワード・ポリシーについて

Oktaサインオン・ポリシーについて

Oktaサインオン・ポリシーを構成する

多要素認証登録ポリシーを構成する

パスワード・ポリシーを構成する