OMMマネージドiOSデバイスのネイティブアプリとSafariに対してOktaデバイスの信頼を強制適用

早期アクセスリリース

OMM管理対象iOSデバイスのネイティブアプリおよびSafari向けのこのOkta Device Trustソリューションを利用することで、管理対象外のiOSデバイスがブラウザーやネイティブアプリを介してエンタープライズサービスにアクセスするのを防止できます。このソリューションのその他の機能:

  • OMM登録iOSデバイスのユーザーのみがSAMLとWS-Fedクラウドアプリにアクセスできるようにします。
  • Okta Mobile for iOSを使用することで、スムーズなエンドユーザーエクスペリエンスを提供します。

前提条件

  • 以下を使用する:
    • Okta統合ネットワーク内の任意のSAMLまたはWS-Fedクラウドアプリ
    • Oktaへのウェブベース連携認証をサポートするiOSアプリとSafariモバイルブラウザー
  • デバイスがiOSのOktaサポートバージョンを実行している
  • Org用にOkta Mobility Management(OMM)が構成されている
  • エンドユーザーデバイスにOkta Mobileがインストールされている(インストールされていない場合、エンドユーザーはインストールを求められます)
  • エンドユーザーデバイスがOMM登録されている(登録されていない場合、エンドユーザーは登録フローに従ってガイドされます)

はじめに

  • デバイスの信頼は、Okta Mobile内からアクセスされるアプリには適用されません。

  • Oktaは、Office 365アプリに対してのみパスワードなしの認証をサポートしています。その他すべてのアプリでは、資格情報を入力するためのOkta Sign-In Widgetがエンドユーザーに表示されます。ユーザーはその後、Okta Mobileでデバイスの信頼ステータスを評価することが求められます。デバイスが信頼されている(OMM登録されている)場合、エンドユーザーはアプリにアクセスできます。デバイスが信頼されていない場合、エンドユーザーはOkta Mobility Management(OMM)への登録を求められます。
  • 一部の状況では、エンドユーザーは設定アプリに戻されません。OMM登録されていないiOSエンドユーザーがiOS設定アプリを使ってGmailアカウントをネイティブメールアプリに追加すると、OMMへの登録を求められます。登録後、エンドユーザーは[Home(ホーム)]ボタンをタップして設定に戻ることが求められます。エンドユーザーはGmailサインインページにリダイレクトされず、[Okta MDM Configuration(Okta MDM構成)]ページが表示されます。影響を受けるエンドユーザーには、Gmailの再構成を試してみるよう助言してください。
  • TrustedまたはNot trusted条件があるサインオンポリシールール。TrustedまたはNot trusted条件が構成されたアプリのサインオンポリシールールを処理する場合、Oktaは通常のルール処理を一時停止し、ユーザーをOkta Mobileにリダイレクトしてデバイスが信頼できるかどうか(OMMに登録されているかどうか)評価します。Oktaでデバイスが非信頼と評価されると、ユーザーはOMMへの登録を求められます。
  • Not trusted条件は適用されません。Not trusted 条件が含まれるルールを作成することはできますが、Oktaはそのようなルールをこの機能の早期アクセスバージョンには適用しません。これは、非信頼デバイスを持つエンドユーザーが信頼されるようデバイスのOMM登録を強制されるためです。そのために、次に示すルール2に類似したTrusted-AllowルールをMFAアクションあり、またはなしで作成することをお勧めします。
  • 一部の状況では、エンドユーザーはアプリのサインインページにリダイレクトされません。デバイスの信頼ソリューションが有効な場合、エンドユーザーがOkta連帯認証GmailまたはSalesforceアカウントにサインインし、その後でそのアカウントを削除すると、ユーザーはアプリのサインインページではなくOktaホームページにリダイレクトされます。

  • デバイスの信頼によって保護されたアプリは、Okta End-User Dashboardにロック済みとして表示されます。次の条件下でデバイスの信頼によって保護されたアプリの横に、ロックアイコンが表示されます。

    • エンドユーザーがデスクトップまたはモバイルのブラウザー(Okta Mobile以外)でダッシュボードにアクセスした。
    • Orgでデバイスの信頼が有効になっている。
    • デバイスが信頼されていない。
    • エンドユーザーがダッシュボードからデバイスの信頼で保護されたアプリにアクセスしようとした。

タスク

orgのグローバルのデバイスの信頼の設定を有効化する

  1. orgのOMMを構成します。
  2. Admin Consoleで、[Security(セキュリティ)][デバイスの信頼]に移動します。
  3. [編集]をクリックします。
  4. [iOS Device Trust(iOSデバイスの信頼)] セクションで[Enable iOS Device Trust(iOS デバイスの信頼を有効にする)]を選択します。
  5. [Trust is establish by(信頼構築者:)][Okta Mobility Management]が選択されていることを確認します。
  6. [保存]をクリックします。

Oktaでアプリサインオンポリシールールを構成する

アプリサインオンポリシールールについて

[App Sign On Rule(アプリ・サインオン・ルール)]ダイアログ・ボックス内のすべてのクライアント・オプションはデフォルトで事前選択されています。アプリへのアクセスを詳細設定するには、以下を反映させるルールを作成します。

  • 対象となるユーザー、または対象者が属するグループ
  • 対象者がネットワークに接続しているか、接続していないか、定義されたネットワークゾーンに属しているか
  • 対象者のデバイスで実行されているクライアントのタイプ(Office 365アプリのみ)
  • 対象者のモバイルまたはデスクトップ・デバイスのプラットフォーム
  • 対象者のデバイスが信頼されているかどうか

サインオン・ポリシー・ルールへの許可リストによるアプローチ

    1. アプリへのアクセスを許可するシナリオをサポートする1つまたは複数の許可ルールを作成し、これらのルールに最高優先度を割り当てます。
    2. ステップ1で作成した許可シナリオに一致しないユーザーに適用するキャッチオール拒否ルールを作成します。キャッチオール拒否ルールに、デフォルトルールのすぐ上の最低優先度を割り当てます。ここで説明した許可リストのアプローチでは、デフォルトルールは事実上キャッチオール拒否ルールで否定されるため、これに達することはありません。

    アプリサインオンポリシールールの作成に関する重要なセキュリティ情報については、「アプリのサインオンポリシー」を参照してください。

サインオン手順

この例は、Office 365へのアクセスを管理するためのデバイスの信頼ルールを示しています。他のアプリでは、[If the user's client is any of these(ユーザーのクライアントが次のいずれかに該当する場合)]セクションは表示されません。

  1. Admin Console[アプリケーション]>[アプリケーション]に進み、デバイスの信頼で保護するSAMLまたはWS対応アプリをクリックします。
  2. [Sign On(サインオン)]タブをクリックします。
  3. 下にスクロールして[Sign On Policy(サインオン・ポリシー)]に移動し、[ルールを追加]をクリックします。
  4. 次の例をガイドとして使用して、1つ以上のルールを構成します。

<MadCap:dropDownHotspot>Example Rule 1: Web browser or Modern Auth; iOS; Trusted; Allow access + MFA </MadCap:dropDownHotspot>

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [ユーザー]で、ルールを個人のみに適用するか、個人とグループに適用するかを指定します。選択する[ユーザー]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、ルールを適用するユーザーのロケーションを指定します。選択するLocation(場所)オプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。

    4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択解除します。

    モバイル

    [iOS]を選択します。

    [Android]を選択解除します。

    [Other mobile(他のモバイル)]を選択解除します。

    デスクトップ

    [Windows]を選択解除します。

    [macOS]を選択解除します。

    [Other desktop(他のデスクトップ)]を選択解除します。

  4. [デバイスの信頼]で以下を構成します。

    5. [Any(すべて)]を選択解除します。

    [Trusted(信頼)] を選択します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。

    2. [Allowed(許可)]を選択します。

  2. [Prompt for factor(要素をプロンプト)]を選択します。

  3. [保存]をクリックします。
  4. [Rule 2(ルール2)]を作成します。

<MadCap:dropDownHotspot>Example Rule 2: Web Browser or Modern Auth; All platforms except iOS; Any Trust; Allow access + MFA </MadCap:dropDownHotspot>

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [ユーザー]で、[Rule 1(ルール1)]で選択したものと同じ[ユーザー]オプションを選択します。[ユーザー]オプションは、この例のすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。[Location(場所)]オプションは、この例のすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。

    4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択解除します。

    モバイル

    [iOS]を選択解除します。

    [Android]を選択します。

    [Other mobile(他のモバイル)]を選択します。

    デスクトップ

    [Windows]を選択します。

    [macOS]を選択します。

    [Other desktop(他のデスクトップ)]を選択します。

  4. [デバイスの信頼]で以下を構成します。

    5. [Any(すべて)]を選択します。

    [Trusted(信頼)]を選択解除します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。

    2. [Allowed(許可)]を選択します。

  2. [Prompt for factor(要素をプロンプト)]を選択します。

  3. [保存]をクリックします。

<MadCap:dropDownHotspot>Example Rule 3: Any client; All platforms; Any Trust; Deny access</MadCap:dropDownHotspot>

  1. ルールにわかりやすい名前を付けて入力します。

条件

  1. [ユーザー]で、[Rule 1(ルール1)]で選択したものと同じ[ユーザー]オプションを選択します。選択する[ユーザー]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  2. [LOCATION(ロケーション)]で、[Rule 1(ルール1)]で選択したものと同じ[Location(ロケーション)]オプションを選択します。選択する[Location(場所)]オプションは、この例で作成するすべてのルールで同じでなければなりません。
  3. [CLIENT(クライアント)]で、次の設定を構成します。

    4. [Web browser(Webブラウザー)]を選択します。

    [Modern Auth client(Modern Authクライアント)]を選択します。

    [Exchange ActiveSync client(Exchange ActiveSyncクライアント)]を選択します。

    モバイル

    [iOS]を選択します。

    [Android]を選択します。

    [Other mobile(他のモバイル)]を選択します。

    デスクトップ

    [Windows]を選択します。

    [macOS]を選択します。

    [Other desktop(他のデスクトップ)]を選択します。

  4. [デバイスの信頼]で以下を構成します。

    5. [Any(すべて)]を選択します。

    [Trusted(信頼)]を選択解除します。

    [Not trusted(非信頼)]を選択解除します。

アクション

  1. [Access(アクセス)]を構成します。

    2. [Denied(拒否)]を選択します。

  2. [保存]をクリックします。

例:Rule 4 - Default sign on rule – Any client, All platforms; Any Trust; Allow access

デフォルト・サインオン・ルールは作成済みであり、編集できません。この例では、デフォルト・ルールがルール3により実質的に無効化されているため、デフォルト・ルールに到達することはありません。

既知の問題

  • このデバイスの信頼ソリューションではBoxは現在サポートされていません。Box for EMMを使用することを推奨します。
  • Trust(信頼)メッセージが混乱を引き起こす可能性がある:[Security(セキュリティ)][デバイスの信頼]デバイスの信頼が構成された場合、[Add/Edit Sign On Rule(サインオンルールの追加/編集)]ダイアログボックスの[デバイスの信頼]セクションで「"Trusted" and "Not trusted" are available only after configuring デバイスの信頼(デバイスの信頼を構成した後にのみ「信頼」と「非信頼」が利用可能)」というメッセージが表示されることがあります。ダイアログボックスの[Client(クライアント)]セクションで正しいプラットフォームが選択されていることを確認してください。
  • 特定の状況でデバイスの信頼の設定を[Any(任意)]に変更する:OktaサポートにOrgのデバイスの信頼機能の無効化を依頼する場合は、事前にアプリサインオンポリシールールでデバイスの信頼の設定を[Any(任意)]に変更してください([Applications(アプリケーション)] > [app(アプリ)] > [Sign On(サインオン)])。この変更を行わず、後でOktaサポートにOrgのデバイスの信頼機能の再有効化を依頼した場合、アプリサインオンポリシールールのデバイスの信頼設定がすぐに有効になるという予期しない動作が発生します。