アプリサインオンポリシーについて
アプリサインオンポリシーでアプリケーションへのアクセスを許可または拒否します。[App Sign On Rule(アプリサインオンルール)]ダイアログ内のすべてのクライアントオプションはデフォルトで事前選択されています。アプリへのより詳細なアクセスを構成するには、以下に基づいて1つ以上の優先度が設定されたルールを作成するときに、条件を選択的に適用します。
- 対象となるユーザー/対象者が属するグループ
- 対象者がネットワークに接続しているか、接続していないか、定義されたネットワークゾーンに属しているか
- 対象者のデバイスで実行されているクライアントのタイプ(Office 365アプリのみ)
- 対象者のモバイルまたはデスクトップデバイスのプラットフォーム
- 対象者のデバイスが信頼されているかどうか
User-Agentについて知っておくべき重要事項
Oktaのクライアント・アクセス・ポリシー(CAP)を使用すると、クライアント・タイプとデバイス・プラットフォームに基づいて、エンタープライズ・アプリへのアクセスを管理できます。Okta CAPでは、ユーザーのブラウザから送信されるUser-Agentリクエストヘッダーに含まれる情報が評価されます。User-Agentは悪意のあるアクターによってなりすまされる可能性があり、そのようなアクターはおそらく、ポリシー内で最も制限の少ないCAPルールを標的にするという点に注意してください。このような理由から、CAPルールは会社のセキュリティー・ニーズを満たすようにしてください。また、次のベスト・プラクティスで説明されているように、CAPを作成し、多要素認証またはDevice Trustを要求する場合は、許可リストのアプローチの使用を検討してください。
- アプリへのアクセスを許可するクライアント・タイプ、デバイス・プラットフォーム、および信頼状態の組み合わせを指定する、1つ以上のルールから成る許可リストを実装します。
- アプリへのアクセスに、Device Trustまたは多要素認証を要求します。
- 前述のルールでCAPのいずれにも一致しないものへのアクセスを拒否する最終的なキャッチオールルールを含めます。
MFAとレガシープロトコル
POPやIMAPなどのレガシープロトコルは、OktaサインインにMFAが構成されている場合でも、 MFAをサポートしません。
アプリへの認証の安全性を確保するため、Oktaでは以下を評価することを強くお勧めします。
- Microsoft Office 365アプリケーションでのレガシー・プロトコルの使用、および必要に応じてそれらを無効にするかどうか
- セキュリティーを向上させるためにMicrosoft Office 365テナントでモダン認証を有効にするかどうか