OMMマネージドiOSデバイスのネイティブアプリとSafariに対してOktaDevice Trustを強制適用

早期アクセスリリース

OMM管理対象iOSデバイスのネイティブアプリおよびSafari向けのこのOkta Device Trustソリューションを利用することで、管理対象外のiOSデバイスがブラウザーやネイティブアプリを介してエンタープライズサービスにアクセスするのを防止できます。このソリューションのその他の機能:

  • OMM登録iOSデバイスのユーザーのみがSAMLとWS-Fedクラウドアプリにアクセスできるようにします。
  • Okta Mobile for iOSを使用することで、スムーズなエンドユーザーエクスペリエンスを提供します。

前提条件

  • 以下を使用する:
    • Okta統合ネットワーク内の任意のSAMLまたはWS-Fedクラウドアプリ
    • Oktaへのウェブベース連携認証をサポートするiOSアプリとSafariモバイルブラウザー
  • デバイスがiOSのOktaサポートバージョンを実行している
  • Org用にOkta Mobility Management(OMM)が構成されている
  • エンドユーザーデバイスにOkta Mobileがインストールされている(インストールされていない場合、エンドユーザーはインストールを求められます)
  • エンドユーザーデバイスがOMM登録されている(登録されていない場合、エンドユーザーは登録フローに従ってガイドされます)

はじめに

  • Device Trustは、Okta Mobile内からアクセスされるアプリには適用されません。

  • Oktaは、Office 365アプリに対してのみパスワードなしの認証をサポートしています。その他すべてのアプリでは、資格情報を入力するためのOkta Sign-In Widgetがエンドユーザーに表示されます。ユーザーはその後、Okta MobileでDevice Trustステータスを評価することが求められます。デバイスが信頼されている(OMM登録されている)場合、エンドユーザーはアプリにアクセスできます。デバイスが信頼されていない場合、エンドユーザーはOkta Mobility Management(OMM)への登録を求められます。
  • 一部の状況では、エンドユーザーは設定アプリに戻されません。OMM登録されていないiOSエンドユーザーがiOS設定アプリを使ってGmailアカウントをネイティブメールアプリに追加すると、OMMへの登録を求められます。登録後、エンドユーザーは[Home(ホーム)]ボタンをタップして設定に戻ることが求められます。エンドユーザーはGmailサインインページにリダイレクトされず、[Okta MDM Configuration(Okta MDM構成)]ページが表示されます。影響を受けるエンドユーザーには、Gmailの再構成を試してみるよう助言してください。
  • TrustedまたはNot trusted条件があるサインオンポリシールール。TrustedまたはNot trusted条件が構成されたアプリのサインオンポリシールールを処理する場合、Oktaは通常のルール処理を一時停止し、ユーザーをOkta Mobileにリダイレクトしてデバイスが信頼できるかどうか(OMMに登録されているかどうか)評価します。Oktaでデバイスが非信頼と評価されると、ユーザーはOMMへの登録を求められます。
  • Not trusted条件は適用されません。Not trusted 条件が含まれるルールを作成することはできますが、Oktaはそのようなルールをこの機能の早期アクセスバージョンには適用しません。これは、非信頼デバイスを持つエンドユーザーが信頼されるようデバイスのOMM登録を強制されるためです。そのために、次に示すルール2に類似したTrusted-AllowルールをMFAアクションあり、またはなしで作成することをお勧めします。
  • 一部の状況では、エンドユーザーはアプリのサインインページにリダイレクトされません。Device Trustソリューションが有効な場合、エンドユーザーがOkta連帯認証GmailまたはSalesforceアカウントにサインインし、その後でそのアカウントを削除すると、ユーザーはアプリのサインインページではなくOktaホームページにリダイレクトされます。
  • Device Trustによって保護されたアプリは、Okta End-User Dashboardにロック済みとして表示されます。次の条件下でDevice Trustによって保護されたアプリの横に、ロックアイコンが表示されます。

    • エンドユーザーがデスクトップまたはモバイルのブラウザー(Okta Mobile以外)でダッシュボードにアクセスした。
    • OrgでDevice Trustが有効になっている。
    • デバイスが信頼されていない。
    • エンドユーザーがダッシュボードからDevice Trustで保護されたアプリにアクセスしようとした。

タスク

orgのグローバルのDevice Trustの設定を有効化する

  1. orgのOMMを構成します。
  2. Admin Consoleで、[Security(セキュリティ)][Device Trust(Device Trust)]に移動します。
  3. [Edit(編集)]をクリックします。
  4. [iOS Device Trust] セクションで[Enable iOS Device Trust(iOS Device Trustを有効にする)]を選択します。
  5. [Trust is establish by(信頼構築者:)][Okta Mobility Management]が選択されていることを確認します。
  6. [Save(保存)]をクリックします。

Oktaでアプリサインオンポリシールールを構成する

アプリサインオンポリシールールについて

[App Sign On Rule(アプリサインオンルール)]ダイアログボックス内のすべてのクライアント​オプションはデフォルトで事前選択されています。アプリへのアクセスを詳細設定するには、以下を反映させるルールを作成します。

  • 対象となるユーザー、または対象者が属するグループ
  • 対象者がネットワークに接続しているか、接続していないか、定義されたネットワークゾーンに属しているか
  • 対象者のデバイスで実行されているクライアントのタイプ(Office 365アプリのみ)
  • 対象者のモバイルまたはデスクトップ​デバイスのプラットフォーム
  • 対象者のデバイスが信頼されているかどうか

サインオンポリシールールへの許可リストによるアプローチ

    1. アプリへのアクセスを許可するシナリオをサポートする1つまたは複数の許可ルールを作成し、これらのルールに最高優先度を割り当てます。
    2. ステップ1で作成した許可シナリオに一致しないユーザーに適用するキャッチオール拒否ルールを作成します。キャッチオール拒否ルールに、デフォルトルールのすぐ上の最低優先度を割り当てます。ここで説明した許可リストのアプローチでは、デフォルトルールは事実上キャッチオール拒否ルールで否定されるため、これに達することはありません。

    アプリサインオンポリシールールの作成に関する重要なセキュリティ情報については、「アプリのサインオンポリシー」を参照してください。

サインオン手順

この例は、Office 365へのアクセスを管理するためのDevice Trustルールを示しています。他のアプリでは、[If the user's client is any of these(ユーザーのクライアントが次のいずれかに該当する場合)]セクションは表示されません。

  1. Admin Console[Applications(アプリケーション)] [Applications(アプリケーション)] に進み、Device Trustで保護するSAMLまたはWS対応アプリをクリックします。
  2. [Sign On(サインオン)]タブをクリックします。
  3. 下にスクロールして[Sign On Policy(サインオンポリシー)]に移動し、[Add Rule(ルールを追加)]をクリックします。
  4. 次の例をガイドとして使用して、1つ以上のルールを構成します。

Example Rule 1: Web browser or Modern Auth; iOS; Trusted; Allow access + MFA

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [PEOPLE(ユーザー)]で、ルールを個人のみに適用するか、個人とグループに適用するかを指定します。選択する[ユーザー]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、ルールを適用するユーザーのロケーションを指定します。選択するLocation(場所)オプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。
  4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択解除します。

    モバイル

    [iOS]を選択します。

    [Android]を選択解除します。

    [Other mobile(他のモバイル)]を選択解除します。

    デスクトップ

    [Windows]を選択解除します。

    [macOS]を選択解除します。

    [Other desktop(他のデスクトップ)]を選択解除します。

  5. [Device Trust]で以下を構成します。
  6. [Any(すべて)]を選択解除します。

    [Trusted(信頼)] を選択します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。
  2. [Allowed(許可)]を選択します。

  3. [Prompt for factor(要素をプロンプト)]を選択します。

  4. [Save(保存)]をクリックします。
  5. [Rule 2(ルール2)]を作成します。

Example Rule 2: Web Browser or Modern Auth; All platforms except iOS; Any Trust; Allow access + MFA

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [ユーザー]で、[Rule 1(ルール1)]で選択したものと同じ[ユーザー]オプションを選択します。[ユーザー]オプションは、この例のすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。[Location(場所)]オプションは、この例のすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。
  4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択解除します。

    モバイル

    [iOS]を選択解除します。

    [Android]を選択します。

    [Other mobile(他のモバイル)]を選択します。

    デスクトップ

    [Windows]を選択します。

    [macOS]を選択します。

    [Other desktop(他のデスクトップ)]を選択します。

  5. [Device Trust]で以下を構成します。
  6. [Any(すべて)]を選択します。

    [Trusted(信頼)]を選択解除します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。
  2. [Allowed(許可)]を選択します。

  3. [Prompt for factor(要素をプロンプト)]を選択します。

  4. [Save(保存)]をクリックします。

Example Rule 3: Any client; All platforms; Any Trust; Deny access

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [ユーザー]で、[Rule 1(ルール1)]で選択したものと同じ[ユーザー]オプションを選択します。選択する[ユーザー]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。選択する[Location(場所)]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。
  4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択します。

    モバイル

    [iOS]を選択します。

    [Android]を選択します。

    [Other mobile(他のモバイル)]を選択します。

    デスクトップ

    [Windows]を選択します。

    [macOS]を選択します。

    [Other desktop(他のデスクトップ)]を選択します。

  5. [Device Trust]で以下を構成します。
  6. [Any(すべて)]を選択します。

    [Trusted(信頼)]を選択解除します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。
  2. [Denied(拒否)]を選択します。

  3. [Save(保存)]をクリックします。

例:Rule 4 - Default sign on rule – Any client, All platforms; Any Trust; Allow access

デフォルトサインオンルールは作成済みであり、編集できません。この例では、デフォルトルールがルール3により実質的に無効化されているため、デフォルトルールに到達することはありません。

既知の問題

  • このDevice TrustソリューションではBoxは現在サポートされていません。Box for EMMを使用することをお勧めします。
  • Trust(信頼)メッセージが混乱を引き起こす可能性がある:[Security(セキュリティ)][Device Trust]Device Trustが構成された場合、[サインオンルールの追加/編集]ダイアログボックスの[Device Trust]セクションで「"Trusted" and "Not trusted" are available only after configuring Device Trust(Device Trustを構成した後にのみ「信頼」と「非信頼」が利用可能)」というメッセージが表示されることがあります。ダイアログボックスの[クライアント]セクションで正しいプラットフォームが選択されていることを確認してください。
  • 特定の状況でDevice Trust(Device Trust)の設定を[任意]に変更する:OktaサポートにOrgのDevice Trust機能の無効化を依頼する場合は、事前にアプリサインオンポリシールールでDevice Trustの設定を[Any(任意)]に変更してください([Applications(アプリケーション)][app(アプリ)][Sign On(サインオン)])。この変更を行わずに後でOktaサポートにOrgのDevice Trust機能の再有効化を依頼した場合、アプリサインオンポリシールールのDevice Trust設定がすぐに有効になるという予期しない動作が発生します。