トラステッドプラットフォームモジュール(TPM)によるWindows Device Trustセキュリティの強化
このドキュメントでは、Okta Device Registration Taskバージョン1.4.1以降を、デバイスの信頼で保護された、TPM 1.2または2.0を持つドメイン参加Windowsコンピューターにインストールして、トラステッドプラットフォームモジュール(TPM)のセキュリティ上の利点を活用する方法について説明します。このドキュメントは、Windows用のOkta Device Trustのメインのドキュメント、 管理対象のWindowsコンピューター用のOkta Device Trustを実行すると合わせて使用します。
TPMは、ほとんどのWindowsコンピューターに組み込まれているマイクロチップです。改ざん防止のセキュリティ機能を提供するために設計されており、主に暗号化キーに関するものです。TPMをWindowsコンピューター用のOkta Device Trustと組み合わせて使用することで、悪意のあるアクターがWindowsデバイスから秘密鍵をコピーすることを防止できます。TPMがデバイス上に存在して有効化されている場合、Okta Device Registration Taskバージョン1.4.1以降をインストールすると、Windowsコンピューター用のOkta Device Trustソリューションで使用されるハードウェアベースのキーが生成されます。デバイスにTPMが存在しない場合や、TPMのサポートをスキップする方法(後述)を使用してRegistration Taskバージョン1.4.1以降をインストールする場合、Registration Taskはソフトウェアベースのキーを生成します(1.4.1以前の動作)。
前提条件
- Okta Device Registration Task 1.4.1以降
- Windowsドメイン参加コンピューター
- Windows 8およびWindows 10、32ビットおよび64ビット
- Internet Explorer、Edge、Chromeブラウザ
- TPMが有効化、アクティベートされ、所有されている。用語の定義については、Microsoftのドキュメント、TPMの基本をご覧ください。
- Windows 10コンピューターでv1803 Build 17134.254以前を実行している場合、累積アップデートKB4346783をインストールする必要があります。
- TPMのセキュリティ上の利点は、証明書が更新されるまでこのデバイスの信頼ソリューションに登録済みのWindowsデバイスで有効になりません。
- 一部のWindowsコンピューターでは、TPMをBIOSで有効化する必要があります(通常はデフォルトで有効化されます)。TPMが有効化されない場合、Okta Device Registration Taskはハードウェアベースのキーの代わりにソフトウェアベースのキーを生成します。
手順
この手順を実行して、Device Registration Taskを取得してインストールします。実装で適当な場合には、別の手順を行います。
Device Registration Taskの取得とインストール
- 管理コンソールで、[設定] > に移動します [Downloads(ダウンロード)]で、Okta Device Trust Windowsエージェントまでスクロールして、Okta Device Registration Taskバージョン1.4.1以降をダウンロードします。
- セクション2.2、 管理対象のWindowsコンピューター用のOkta Device Trustを実行するの説明に従い、Registration Taskをインストールします。
Windows 10コンピューターでv1803 Build 17134.254以前を実行している場合、累積アップデートKB4346783をインストールする必要があります。このアップデートは、秘密鍵がTPM 2.0デバイスに保存されていて、Microsoft Edgeやその他のUWPアプリケーションがクライアント認証を実行できない場合の問題を処理します。(Microsoftの記事KB4346783 (OS Build 17134.254)をご覧ください)。このアップデートを行わない場合、信頼できるWindowsコンピューターを使用するユーザーがデバイスの信頼で保護されたUWPやEdgeにアクセスできなくなります。
TPMのセキュリティ強化なしでDevice Registration Taskをインストールする(オプション)
TPM のセキュリティ強化ありとなしのいずれかでバージョン1.4.1をインストールできます。いずれの場合でも、バージョン1.4.1では次の内容が修正されています:
- Device Registration Taskをアンインストールすると、Chromeブラウザの設定が削除されてしまう問題が修正されました。
-
Device Registration Taskをアンインストールすると、Chromeで証明書の自動選択の設定が削除されてしまう問題が修正されました。この設定は、デバイスの信頼フローの中で、ブラウザがエンドユーザーに証明書の選択を求めないようにするためのものです。
Okta Device Registration Taskバージョン1.4.1で利用できるTPMのセキュリティ上の利点を活用しない場合は、引数SkipTPM=trueを以下に示すようにインストールコマンドに含めます:
OktaDeviceRegistrationTaskSetup.exe /q2 OktaURL=<URL> SkipTPM=true
TPMのステータスの確認(オプション)
TPMのステータスの確認が役に立つ場合があります。これを行うには、コマンドプロンプトか[Start(スタート)]メニューからTPM管理コンソールを開きます。
- コマンドプロンプトで、TPM.mscと入力する
- [Start(スタート)]ボタンの検索フィールドで、TPMと入力する
既知の問題
- Okta Device Registration Task 1.4.1がWindows 7コンピューターにインストールされる場合、TPM セキュリティは導入されません – バージョン1.4.1はWindows 7コンピューターで機能しますが、TPM セキュリティ強化はなしになります。ハードウェアベースのキーの代わりに、ソフトウェアベースのキーが生成されます。また、バージョン1.4.1ではTPMセキュリティとは関係のないその他の修正が提供されています。
- 1803 Build 17134.254以前を実行するWindows 10マシンでは、アップデートが必須です – Windows 10コンピューターでv1803 Build 17134.254以前を実行している場合、累積アップデートKB4346783をインストールする必要があります。このアップデートは、秘密鍵がTPM 2.0デバイスに保存されていて、Microsoft Edgeやその他のUWPアプリケーションがクライアント認証を実行できない場合の問題を処理します。(Microsoftの記事KB4346783 (OS Build 17134.254)をご覧ください)。このアップデートを行わない場合、信頼できるWindowsコンピューターを使用するユーザーがデバイスの信頼で保護されたUWPやEdgeにアクセスできなくなります。
- Device Registration Taskを1.4.0から1.3.1に戻す場合、古い証明書を手動で削除する必要があります – これを行わないと、Invalid provider type specified(提供されたプロバイダータイプが無効です)の例外が発生します。
- [Start(開始)]に移動して、検索フィールドにmmcと入力してコンソールを開きます。
- [File(ファイル)]に移動して、[Add/Remove Snap-in(スナップインの追加/削除)]をクリックします。
- [Certificates(証明書)]を選択して、[Add(追加)]をクリックします。
- [Certificates snap-in(証明書スナップイン)]のダイアログボックスで、[My user account(マイユーザーアカウント)]を選択します。
- [Finish(完了)]をクリックします。
- [OK]をクリックします。
- [Console Root(コンソールルート)]で、[Certificates - Current User(証明書 - 現在のユーザー)]を展開します。
- [Personal(個人)]フォルダを展開して、[Certificates(証明書)]をクリックし、[Okta MTLS certificate(Okta MTLS 証明書)]を右クリックして[Delete(削除)]を選択します。
証明書を手動で削除するには:
