Trusted Platform Module（TPM）によるWindows向けDevice Trustのセキュリティ強化

このドキュメントでは、TPM 1.2または2.0を備えた、ドメインに参加している、Device Trustで保護されたWindowsコンピューターにOktaデバイス登録タスクのバージョン1.4.1以降をインストールすることにより、Trusted Platform Module（TPM）のセキュリティ上の利点を活用する方法について説明します。このドキュメントは、Windows用のOkta Device Trustの主なドキュメントである、「管理対象のWindowsコンピューター用のOkta Device Trustを実行する」と組み合わせて使用します。

TPMは、ほとんどのWindowsコンピューターに組み込まれているマイクロチップです。主に暗号化鍵を含む、改ざん防止のセキュリティ機能を提供するために設計されています。TPMをWindowsコンピューター用のOkta Device Trustソリューションと併用すると、悪意を持った者がWindowsデバイスから秘密鍵をコピーするのを防ぐことができます。TPMが存在し、デバイスで有効になっている場合は、Oktaデバイス登録タスクのバージョン1.4.1以降をインストールすると、Windowsコンピューター用のOkta Device Trustソリューションで使用されるハードウェアベースのキーが生成されます。デバイスにTPMがない場合、またはTPMのサポートをスキップする方法（以下で説明）で登録タスクのバージョン1.4.1以降をインストールした場合、登録タスクではソフトウェアベースのキーが生成されます（1.4.1より前の動作）。

前提条件

Oktaデバイス登録タスク1.4.1以降
Windowsのドメインに参加しているコンピューター
Windows 8および10、32および64ビット
Internet Explorer、Edge、およびChromeのブラウザー
TPMが有効化およびアクティブ化され、所有されている。これらの用語の定義については、Microsoftのドキュメントの「TPM Fundamentals」を参照してください。
v1803ビルド17134.254以前を実行しているWindows 10コンピューターには、累積的な更新プログラムKB4346783が必要です
TPMのセキュリティ上の利点は、証明書が更新されるまで、このDevice Trustソリューションにすでに登録されているWindowsデバイスで有効になりません。
一部のWindowsコンピューターでは、BIOSでTPMを有効にする必要がある場合があります（通常はデフォルトで有効になっています）。TPMが有効になっていない場合は、Oktaデバイス登録タスクでハードウェアベースのキーではなくソフトウェアベースのキーが生成されます。

注:

GPOを使用して、複数のTPMサービスを一元的に構成できます。

手順

デバイス登録タスクの取得とインストールのための手順を実行します。実装に適している場合は、その他の手順を実行します。

デバイス登録タスクを取得してインストールする

Admin Consoleで設定（Settings） > ダウンロード（Downloads）Okta Device Trust Windowsエージェントまでスクロールして、Oktaデバイス登録タスクのバージョン1.4.1以降をダウンロードします。
管理対象のWindowsコンピューターにOkta Device Trustを適用するの説明に従って、登録タスクをインストールします。
注:
管理対象のWindowsコンピューターにOkta Device Trustを適用するに記載のプロキシサーバーと証明書処理に関する情報を必ずお読みください。

Windows 10コンピューターでv1803ビルド17134.254以前を実行している場合、累積的な更新プログラムKB4346783をインストールする必要があります。この更新プログラムでは、「秘密鍵がTPM 2.0デバイスに保存されている場合にMicrosoft Edgeまたはその他のUWPアプリケーションでクライアント認証を実行できない問題が対処されます」（Microsoftの記事「KB4346783（OS Build 17134.254）」を参照）。この更新プログラムがないと、信頼できるWindowsコンピューターを使用しているユーザーが、Device Trustで保護されたUWPアプリまたはEdgeにアクセスできません。

TPMのセキュリティ強化なしでデバイス登録タスクをインストールする（オプション）

バージョン1.4.1は、TPMのセキュリティ強化を有効または無効にしてインストールできます。いずれの場合も、バージョン1.4.1では次のことが修正されます。

デバイス登録タスクのアンインストール時に、Chromeブラウザーの設定が削除される問題が修正されます。
デバイス登録タスクのアンインストール時に、Chromeの証明書の自動選択設定が削除される問題が修正されます。この設定は、Device Trustのフロー中に、エンドユーザーがブラウザーから証明書の選択を求められないようにするために設計されています。

Oktaデバイス登録タスクのバージョン1.4.1によって有効化されたTPMのセキュリティ上の利点を活用しない場合は、以下に示すように、引数SkipTPM=trueをインストールコマンドに含めることができます。

OktaDeviceRegistrationTaskSetup.exe /q2 OktaURL=<URL>  SkipTPM=true

TPMのステータスを確認する（オプション）

TPMのステータスを確認することが役立つ場合があります。これを行うには、コマンドプロンプトか［Start（スタート）］メニューからTPM管理者コンソールを開きます。

コマンドプロンプトから、TPM.mscと入力します
スタート（Start）ボタンの［Search（検索）］フィールドから、TPMと入力します

既知の問題OktaをMDMソフトウェアと統合する

Oktaデバイス登録タスクのバージョン1.4.1がWindows 7コンピューターにインストールされている場合は、TPMのセキュリティが実装されません：バージョン1.4.1はWindows 7コンピューターで動作しますが、TPMのセキュリティ強化はありません。ハードウェアベースのキーの代わりにソフトウェアベースのキーが生成されます。さらに、バージョン1.4.1により、TPMのセキュリティに関係のないその他の修正が提供されます。
v1803ビルド17134.254以前を実行しているWindows 10マシンには更新が必要です。
Windows 10コンピューターでv1803ビルド17134.254以前を実行している場合、累積的な更新プログラムKB4346783をインストールする必要があります。この更新プログラムでは、「秘密鍵がTPM 2.0デバイスに保存されている場合にMicrosoft Edgeまたはその他のUWPアプリケーションでクライアント認証を実行できない問題が対処されます」（Microsoftの記事「KB4346783（OS Build 17134.254）」を参照）。この更新プログラムがないと、信頼できるWindowsコンピューターを使用しているユーザーが、Device Trustで保護されたUWPアプリまたはEdgeにアクセスできません。
デバイス登録タスクをバージョン1.4.0から1.3.1に戻す場合は、古い証明書を手動で削除する必要があります：削除しないと、Invalid provider type specifiedという例外がスローされます。

証明書を手動で削除する

スタート（Start）に移動して、［Search（検索）］フィールドにmmcと入力してコンソールを開きます。
ファイル（File）に移動して、スナップインの追加と削除（Add/Remove Snap-in）をクリックします。
証明書（Certificates）を選択し、追加（Add）をクリックします。
証明書スナップイン（［Certificates snap-in）］ダイアログボックスで、マイユーザーアカウント（My user account）を選択します。
終了（Finish）をクリックします。
OKをクリックします。
［コンソールルート］で証明書 - 現在のユーザー（Certificates - Current User）を展開します。
［個人］フォルダーを展開して証明書（Certificates）をクリックし、Okta MTLS証明書（Okta MTLS certificate）を右クリックして削除（Delete）を選択します。