ステップ3：デスクトップデバイス用にVMwareでデバイスの信頼とアクセスポリシーを構成する

前提条件

ステップ1：OktaでVMware Identity ManagerをIDプロバイダーとして構成する

ステップ2：VMware Identity ManagerでOktaアプリケーション・ソースを構成する

デスクトップ・デバイスのアクセスポリシーを構成するには、OktaでIDプロバイダーのルーティングルールを構成し、VMware Identity Managerで条件付きアクセスポリシーを構成します。Okta デバイスの信頼ソリューションは、デスクトップ・デバイスではまだ利用できません。デスクトップ・デバイスのデバイスの信頼を構成するには、VMware Identity Managerアクセスポリシーの第2要素の認証方法として、デバイス・コンプライアンスを使用できます。

デスクトップデバイス向けにOktaでIDプロバイダーのルーティングルールを構成する

Okta Admin Consoleで［セキュリティ］［IDプロバイダー］に移動します。
［ルーティングルール］タブをクリックします。
［Add Routing Rule（ルーティングルールを追加）］をクリックします。
以下を構成します。

設定	アクション
ルール名	作成するルールの名前を入力します。
IF User's IP is（ユーザーのIPが次の場合）	実装に適している場合は、ルーティングを適用するネットワーク・ゾーンと適用しないネットワーク・ゾーンを指定できます。ここでゾーンを指定するには、少なくとも1つのネットワークゾーンがすでにOktaで定義されている必要があります。詳細については、「ネットワークゾーン」を参照してください。
ユーザーのデバイスプラットフォーム：	実装に応じて、［Any of these devices（これらのデバイスのいずれか）］を選択してから、［macOS］または［Windows］、あるいはその両方を選択します。
AND［User is accessing（ユーザーがアクセスしています）］	［Any of the following applications（次のアプリケーションのいずれか）］を選択してから、ルーティングルールを適用するアプリケーションを入力します。
AND［User matches（ユーザーが一致）］	適切なアクションを選択します。［Anything（すべて）］。任意のユーザーを指定します。これはデフォルトです。［Regex on login（ログインに関する正規表現）］。ユーザーのログインに基づいた、照合に使用する有効な正規表現を入力できます。これは、ドメインを指定する場合や、ユーザー属性では照合に不十分な場合に便利です。「IDプロバイダーのルーティングルール」を参照してください。［Domain list on login（ログインに関するドメイン・リスト）］。一致するドメインの一覧を指定します（例：example.com）。ドメイン名に@記号を追加しないでください。複数のドメインを追加できます。文字をエスケープする必要はないことに注意してください。［User attribute（ユーザー属性）］。左側のリストで属性名を選択し、［Starts with（次から開始：）］リストで比較のタイプを選択して、右側のテキスト・フィールドに一致させる値を入力します。
THEN［Use this identity provider（このIDプロバイダーを使用）］	「ステップ1：OktaでVMware Identity ManagerをIDプロバイダーとして構成する」の説明に従って、Oktaで作成したIDプロバイダーを［VMware Identity Manager］に選択します。

［Create Rule（ルールを作成）］をクリックします。

デスクトップ・デバイス用にVMware Identity Managerで条件付きアクセスポリシーを構成する

デスクトップ・デバイスにSSOとデバイスの信頼を提供するには、VMware Identity Managerの追加のアクセスポリシールールが必要です。

認証方法として証明書（クラウド展開）とデバイス・コンプライアンスを使用して、macOSとWindows 10のアクセスポリシーを作成します。

システム管理者としてVMware Identity Managerコンソールにログインします。
［Identity & Access Management（IDとアクセスの管理）］タブをクリックします。
［Policies（ポリシー）］タブをクリックします。
［Add Policy（ポリシーを追加）］をクリックします。
ウィザードの［Definition（定義）］ページで、次の情報を入力します。

オプション	説明
［ポリシー名］	ポリシーの名前です。
［Description（説明）］	ポリシーの説明です。
［Applies to（次に適用：）］	［Okta］を選択します。Oktaアプリケーションソースに設定されたアクセスポリシーが割り当てられます。Oktaからのすべての認証要求は、このポリシー・ルール・セットを使用して評価されます。

［Next（次へ）］をクリックします。
［Configuration（構成）］ページで、［Add Policy Rule（ポリシー・ルールを追加）］をクリックしてWindows 10用のポリシー・ルールを構成します。
1. 最初の認証方法として［Certificate (Cloud Deployment)（証明書（クラウドデプロイメント））］を設定し、フォールバック認証方法として［Device Compliance (with AirWatch)（デバイスコンプライアンス（AirWatchを使用））］を設定します。
2. ［Save（保存）］をクリックします。
［Add Policy Rule（ポリシー・ルールを追加）］をクリックして、macOS用のポリシー・ルールを構成します。
1. 最初の認証方法として［Certificate (Cloud Deployment)（証明書（クラウドデプロイメント））］を設定し、フォールバック認証方法として［Device Compliance (with AirWatch)（デバイスコンプライアンス（AirWatchを使用））］を設定します。
2. ［Save（保存）］をクリックします。
この統合のモバイル・バージョンも構成している場合は、モバイル・ポリシーを再作成する必要があります：

この手順の前のステップで作成したポリシールールは、モバイル・デバイス用のVMware Identity Managerで構成したデフォルトのアクセスポリシーを上書きするため、このアクションが必要になります。そのため、モバイルデバイス用のこのソリューションの構成時にデフォルトのアクセスポリシーに追加したルールと同様に、iOS、Android、Webブラウザー用のポリシールールをこの新しいポリシーに追加する必要があります。

最初の認証方法としてモバイルSSO（iOS）を設定し、フォールバック認証方法としてOkta認証を設定して、iOSデバイスのポリシールールを作成します。

ユーザーのネットワーク範囲が［ALL RANGES（すべての範囲）］でiOSからコンテンツにアクセスしているのであれば、［Authenticate using（認証に使用）］は［Mobile SSO (iOS)（モバイルSSO（iOS））］に設定されます。

前述の方法が失敗する、または適用できない場合は、ユーザーは［Okta Auth（Okta認証）］で認証できます。
最初の認証方法としてモバイルSSO（iOS）を設定し、フォールバック認証方法としてOkta認証を設定して、Androidデバイスのポリシールールを作成します。

ユーザーのネットワーク範囲が［ALL RANGES（すべての範囲）］でAndroidからコンテンツにアクセスしているのであれば、［Authenticate using（認証に使用）］は［Mobile SSO (Android)（モバイルSSO（Android））］に設定されます。

前述の方法が失敗する、または適用できない場合は、ユーザーは［Okta Auth（Okta認証）］で認証できます。
Oktaを認証方法として設定してWebブラウザーのポリシールールを作成します。

ユーザーのネットワーク範囲が［ALL RANGES（すべての範囲）］でWebブラウザーからコンテンツにアクセスしているのであれば、［Authenticate using（認証に使用）］は［Okta Auth（Okta認証）］に設定されます。

ポリシールールを上から順に次の順序で並べます。

Workspace ONEアプリまたはHubアプリ
Windows 10またはMac OS
Windows 10またはMac OS
iOSまたはAndroid
iOSまたはAndroid
Webブラウザー