Trusted Platform Module(TPM)によるWindows向けDevice Trustのセキュリティ強化

このドキュメントでは、TPM 1.2または2.0を備えた、ドメインに参加している、Device Trustで保護されたWindowsコンピューターにOktaデバイス登録タスクのバージョン1.4.1以降をインストールすることにより、Trusted Platform Module(TPM)のセキュリティ上の利点を活用する方法について説明します。このドキュメントは、Windows用のOkta Device Trustの主なドキュメントである、「管理対象のWindowsコンピューター用のOkta Device Trustを実行する」と組み合わせて使用します。

TPMは、ほとんどのWindowsコンピューターに組み込まれているマイクロチップです。主に暗号化鍵を含む、改ざん防止のセキュリティ機能を提供するために設計されています。TPMをWindowsコンピューター用のOkta Device Trustソリューションと併用すると、悪意を持った者がWindowsデバイスから秘密鍵をコピーするのを防ぐことができます。TPMが存在し、デバイスで有効になっている場合は、Oktaデバイス登録タスクのバージョン1.4.1以降をインストールすると、Windowsコンピューター用のOkta Device Trustソリューションで使用されるハードウェアベースのキーが生成されます。デバイスにTPMがない場合、またはTPMのサポートをスキップする方法(以下で説明)で登録タスクのバージョン1.4.1以降をインストールした場合、登録タスクではソフトウェアベースのキーが生成されます(1.4.1より前の動作)。

前提条件

  • Oktaデバイス登録タスク1.4.1以降
  • Windowsのドメインに参加しているコンピューター
  • Windows 8および10、32および64ビット
  • Internet Explorer、Edge、およびChromeのブラウザー
  • TPMが有効化およびアクティブ化され、所有されている。これらの用語の定義については、Microsoftのドキュメントの「TPM Fundamentals」を参照してください。
  • v1803ビルド17134.254以前を実行しているWindows 10コンピューターには、累積的な更新プログラムKB4346783が必要です
  • TPMのセキュリティ上の利点は、証明書が更新されるまで、このDevice Trustソリューションにすでに登録されているWindowsデバイスで有効になりません。
  • 一部のWindowsコンピューターでは、BIOSでTPMを有効にする必要がある場合があります(通常はデフォルトで有効になっています)。TPMが有効になっていない場合は、Oktaデバイス登録タスクでハードウェアベースのキーではなくソフトウェアベースのキーが生成されます。
ヒント

ヒント

GPOを使用して、複数のTPMサービスを一元的に構成できます。

手順

デバイス登録タスクの取得とインストールのための手順を実行します。実装に適している場合は、その他の手順を実行します。

デバイス登録タスクを取得してインストールする

  1. Admin Console[Settings(設定)][Downloads(ダウンロード)]に進み、Okta Device TrustWindowsエージェントまでスクロールして、Oktaデバイス登録タスクのバージョン1.4.1以降をダウンロードします。
  2. 管理対象のWindowsコンピューター用のOkta Device Trustを実行する」のセクション2.2の説明に従って、登録タスクをインストールします。

    管理対象のWindowsコンピューターにOktaDevice Trustを強制適用する」の「ドメイン参加WindowsコンピューターにDevice Trust証明書を登録する」に記載のプロキシサーバーと証明書処理に関する情報を必ずお読みください。

    Windows 10コンピューターでv1803ビルド17134.254以前を実行している場合、累積的な更新プログラムKB4346783をインストールする必要があります。この更新プログラムでは、「秘密鍵がTPM 2.0デバイスに保存されている場合にMicrosoft Edgeまたはその他のUWPアプリケーションでクライアント認証を実行できない問題が対処されます」(Microsoftの記事「KB4346783(OS Build 17134.254)」を参照)。この更新プログラムがないと、信頼できるWindowsコンピューターを使用しているユーザーが、Device Trustで保護されたUWPアプリまたはEdgeにアクセスできません。

TPMのセキュリティ強化なしでデバイス登録タスクをインストールする(オプション)

バージョン1.4.1は、TPMのセキュリティ強化を有効または無効にしてインストールできます。いずれの場合も、バージョン1.4.1では次のことが修正されます。

  • デバイス登録タスクのアンインストール時に、Chromeブラウザーの設定が削除される問題が修正されます。

  • デバイス登録タスクのアンインストール時に、Chromeの証明書の自動選択設定が削除される問題が修正されます。この設定は、Device Trustのフロー中に、エンドユーザーがブラウザーから証明書の選択を求められないようにするために設計されています。

Oktaデバイス登録タスクのバージョン1.4.1によって有効化されたTPMのセキュリティ上の利点を活用しない場合は、以下に示すように、引数SkipTPM=trueをインストールコマンドに含めることができます。

OktaDeviceRegistrationTaskSetup.exe /q2 OktaURL=<URL> SkipTPM=true

TPMのステータスを確認する(オプション)

TPMのステータスを確認することが役立つ場合があります。これを行うには、コマンドプロンプトか[Start(スタート)]メニューからTPM管理者コンソールを開きます。

  • コマンドプロンプトから、TPM.mscと入力します
  • [Start(スタート)]ボタンの[Search(検索)]フィールドから、TPMと入力します

既知の問題

  • Oktaデバイス登録タスクのバージョン1.4.1がWindows 7コンピューターにインストールされている場合は、TPMのセキュリティが実装されません:バージョン1.4.1はWindows 7コンピューターで動作しますが、TPMのセキュリティ強化はありません。ハードウェアベースのキーの代わりにソフトウェアベースのキーが生成されます。さらに、バージョン1.4.1により、TPMのセキュリティに関係のないその他の修正が提供されます。
  • v1803ビルド17134.254以前を実行しているWindows 10マシンには更新が必要です。

    Windows 10コンピューターでv1803ビルド17134.254以前を実行している場合、累積的な更新プログラムKB4346783をインストールする必要があります。この更新プログラムでは、「秘密鍵がTPM 2.0デバイスに保存されている場合にMicrosoft Edgeまたはその他のUWPアプリケーションでクライアント認証を実行できない問題が対処されます」(Microsoftの記事「KB4346783(OS Build 17134.254)」を参照)。この更新プログラムがないと、信頼できるWindowsコンピューターを使用しているユーザーが、Device Trustで保護されたUWPアプリまたはEdgeにアクセスできません。

  • デバイス登録タスクをバージョン1.4.0から1.3.1に戻す場合は、古い証明書を手動で削除する必要があります:削除しないと、[Invalid provider type specified(無効なプロバイダーの種類が指定されました)]という例外がスローされます。

    • 証明書を手動で削除する

    1. [Start(スタート)]に移動して、[Search(検索)]フィールドにmmcと入力してコンソールを開きます。
    2. [File(ファイル)]に移動して[Add/Remove Snap-in(スナップインの追加と削除)]をクリックします。
    3. [Certificates(証明書)]を選択し、[Add(追加)]をクリックします。
    4. [Certificates snap-in(証明書スナップイン)]ダイアログボックスで、[My user account(マイユーザーアカウント)]を選択します。
    5. [Finish(終了)]をクリックします。
    6. [OK]をクリックします。
    7. [コンソールルート]で[Certificates - Current User(証明書 - 現在のユーザー)]を展開します。
    8. [個人]フォルダーを展開して[Certificates(証明書)]をクリックし、[Okta MTLS certificate(Okta MTLS証明書)]を右クリックして[Delete(削除)]を選択します。