Trusted Platform Module(TPM)によるWindows Device Trustのセキュリティー強化
このドキュメントでは、TPM 1.2または2.0を備えた、ドメインに参加している、Device Trustで保護されたWindowsコンピューターにOkta Device Registration Taskバージョン1.4.1以降をインストールすることにより、Trusted Platform Module(TPM)のセキュリティー上の利点を活用する方法について説明します。このドキュメントは、Windows用のOkta Device Trustの主なドキュメントである、 管理対象のWindowsコンピューター用のOkta Device Trustを実行すると組み合わせて使用します。
TPMは、ほとんどのWindowsコンピューターに組み込まれているマイクロチップです。主に暗号化鍵を含む、改ざん防止のセキュリティー機能を提供するために設計されています。TPMをWindowsコンピューター用のOkta Device Trustソリューションと併用すると、悪意を持った者がWindowsデバイスから秘密鍵をコピーするのを防ぐことができます。TPMが存在し、デバイスで有効になっている場合、Okta Device Registration Taskバージョン1.4.1以降をインストールすると、Windowsコンピューター用のOkta Device Trustソリューションで使用されるハードウェアベースのキーが生成されます。デバイスにTPMがない場合、またはTPMのサポートをスキップする方法(以下で説明)を使用してRegistration Taskバージョン1.4.1以降をインストールした場合、Registration Taskではソフトウェアベースのキーが生成されます(1.4.1より前の動作)。
前提条件
- Okta Device Registration Task 1.4.1以降
- Windowsのドメインに参加しているコンピューター
- Windows 8および10、32および64ビット
- Internet Explorer、Edge、およびChromeのブラウザー
- TPMが有効化およびアクティブ化され、所有されている。これらの用語の定義については、Microsoftのドキュメントの「TPM Fundamentals」を参照してください。
- v1803ビルド17134.254以前を実行しているWindows 10コンピューターには、累積的な更新プログラムKB4346783が必要です
- TPMのセキュリティー上の利点は、証明書が更新されるまで、このDevice Trustソリューションにすでに登録されているWindowsデバイスで有効になりません。
- 一部のWindowsコンピューターでは、BIOSでTPMを有効にする必要がある場合があります(通常はデフォルトで有効になっています)。TPMが有効になっていない場合は、Okta Device Registration Taskでハードウェアベースのキーではなくソフトウェアベースのキーが生成されます。
手順
Device Registration Taskの取得とインストールのための手順を実行します。実装に適している場合は、その他の手順を実行します。
Device Registration Taskを取得してインストールする
- 管理コンソールで、[設定] > に移動します [ダウンロード]、[Okta Device Trust Windowsエージェント]までスクロールし、Okta Device Registration Taskバージョン1.4.1以降をダウンロードします。
- 管理対象のWindowsコンピューター用のOkta Device Trustを実行するのセクション2.2の説明に従って、Registration Taskをインストールします。
Windows 10コンピューターでv1803ビルド17134.254以前を実行している場合、累積的な更新プログラムKB4346783をインストールする必要があります。この更新プログラムでは、「秘密鍵がTPM 2.0デバイスに保存されている場合にMicrosoft Edgeまたはその他のUWPアプリケーションでクライアント認証を実行できない問題が対処されます」(Microsoftの記事「KB4346783 (OS Build 17134.254)」を参照)。この更新プログラムがないと、信頼できるWindowsコンピューターを使用しているユーザーが、デバイスの信頼で保護されたUWPアプリまたはEdgeにアクセスできません。
TPMのセキュリティー強化なしでDevice Registration Taskをインストールする(オプション)
バージョン1.4.1は、TPMのセキュリティー強化を有効または無効にしてインストールできます。 いずれの場合も、バージョン1.4.1では次のことが修正されます。
- Device Registration Taskのアンインストール時に、Chromeブラウザーの設定が削除される問題が修正されます。
-
Device Registration Taskのアンインストール時に、Chromeの証明書の自動選択設定が削除される問題が修正されます。この設定は、デバイスの信頼のフロー中に、エンド・ユーザーがブラウザーから証明書の選択を求められないようにするために設計されています。
Okta Device Registration Taskバージョン1.4.1によって有効化されたTPMのセキュリティー上の利点を活用しない場合は、以下に示すように、引数SkipTPM=trueをインストール・コマンドに含めることができます。
OktaDeviceRegistrationTaskSetup.exe /q2 OktaURL=<URL> SkipTPM=true
TPMのステータスを確認する(オプション)
TPMのステータスを確認することが役立つ場合があります。これを行うには、コマンド・プロンプトまたは[スタート]メニューからTPM管理コンソールを開きます。
- コマンド・プロンプトから、TPM.mscと入力します
- [スタート]ボタンの検索フィールドから、TPMと入力します
既知の問題
- Okta Device Registration Task 1.4.1がWindows 7コンピューターにインストールされている場合はTPMのセキュリティーが実装されません:バージョン1.4.1はWindows 7コンピューターで動作しますが、TPMのセキュリティー強化はありません。 ハードウェアベースのキーの代わりにソフトウェアベースのキーが生成されます。さらに、バージョン1.4.1により、TPMのセキュリティーに関係のないその他の修正が提供されます。
- v1803ビルド17134.254以前を実行しているWindows 10マシンには更新プログラムが必要です: Windows 10コンピューターでv1803ビルド17134.254以前を実行している場合、累積的な更新プログラムKB4346783をインストールする必要があります。この更新プログラムでは、「秘密鍵がTPM 2.0デバイスに保存されている場合にMicrosoft Edgeまたはその他のUWPアプリケーションでクライアント認証を実行できない問題が対処されます」(Microsoftの記事「KB4346783 (OS Build 17134.254)」を参照)。この更新プログラムがないと、信頼できるWindowsコンピューターを使用しているユーザーが、デバイスの信頼で保護されたUWPアプリまたはEdgeにアクセスできません。
- Device Registration Task 1.4.0から1.3.1に戻す場合は古い証明書を手動で削除する必要があります:削除しないと、[無効なプロバイダーの種類が指定されました]という例外がスローされます。
- [スタート]に移動し、検索フィールドにmmcと入力してコンソールを開きます。
- [ファイル]に移動して[スナップインの追加と削除]をクリックします。
- [証明書]を選択し、[追加]をクリックします。
- [証明書スナップイン]ダイアログ・ボックスで、[ユーザー アカウント]を選択します。
- [終了]をクリックします。
- [OK]をクリックします。
- [コンソール ルート]の下で、[証明書 - 現在のユーザー]を展開します。
- [個人]フォルダーを展開し、[証明書]をクリックし、[Okta MTLS証明書]を右クリックして、[削除]を選択します。
証明書を手動で削除するには、次の手順を実行します。
追加情報
管理対象のWindowsコンピューター用のOkta Device Trustを実行する