Okta Admin ConsoleのMFAを有効にする
Admin Consoleにアクセスする際にMFAを必須にします。必要な要素を管理者が登録していなかった場合、Admin Consoleへのアクセスを試みると要素の登録が求められます。
開始する前に
org向けに少なくとも2つの要素を有効にします。「多要素認証について」を参照してください。FIDO2(WebAuthn)Authenticatorのようなフィッシング耐性のあるAuthenticatorを少なくとも1つ有効にすることをお勧めします。
ポリシーでMFAを有効にする
- Admin Consoleで に移動します。
- Okta Admin Consoleアプリを開きます。
- [サインオン]タブで[Admin App Policy(管理者アプリポリシー)]ルールを[Edit(編集)]モードで開きます。
- [アプリサインオンルール]ページで[Disable rule(ルールを無効化)]チェックボックスが選択されていないことを確認します。このチェックボックスを選択すると、管理者のMFAは無効になります。
- [Actions(アクション)]セクションで[Prompt for factor(要素を求める)]を選択します。その上で頻度を選択します。[every sign on(サインオンのたび)]に求めることをお勧めします。
- [Save(保存)]をクリックします。
Admin ConsoleへのアクセスにMFAを強制適用する
この機能を有効にするには、次のことを行う必要があります。
-
MFAに必要なAuthenticatorがあることを確認する。
-
管理者が認証要件を満たせるように、MFA登録ポリシーで十分な要素が有効になっていることを確認する。
-
すべての管理者が2つ以上の要素に登録されていることを確認する。
この機能は、Admin Consoleにアクセスする際にMFAを必須にします。単一要素でAdmin Consoleを保護する認証ポリシールールを自動的に2要素に更新します。新しいルールも2要素にすることが求められます。
この機能を無効にしても、2要素に更新されたポリシーが自動的に単一要素に戻ることはありません。
Identity Governance管理者アプリのMFAを強制適用する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
orgがOkta Identity Governanceを利用しているときは、これらのファーストパーティアプリにアクセスする管理者にMFAを求めることができます。この機能は、[Enforce MFA to access the Admin Console(Admin ConsoleへのアクセスにMFAを強制適用する)]機能が有効になっている場合にのみ使用できます。Admin Consoleでこの機能を有効にするには、 に移動します。[機能]ページでこの機能が使用できない場合は、サポートに連絡してください。
この機能を有効にすると、次のIdentity Governanceアプリに適用される単一要素アプリサインオンポリシールールが自動的に更新され、2要素が必須となります。
- Okta Access Certifications
- Okta Entitlement Management
- Okta Access Requests Admin
この機能を無効にしても、変更は自動的に元に戻りません。単一要素アクセスを許可するには、ルールを手動で編集する必要があります。