Configurer des vérifications de posture avancées pour l'assurance des appareils

Version en accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Les vérifications de posture avancées offrent un contrôle plus fin de la sécurité des appareils allant au-delà des fonctionnalités des politiques de garantie des appareils standard. Avec cette fonctionnalité, vous pouvez définir pour les appareils des conditions de posture spécifiques qui reflètent les exigences en matière de sécurité propres à votre org. Cela vous permet de configurer une org sécurisée où l'accès aux ressources sensibles n'est accordé que lorsqu'un appareil répond à un ensemble de conditions précis.

Avant de commencer

• Cette procédure nécessite un niveau de connaissance de base d'Osquery. Toutefois, les assistants en IA peuvent vous aider à rédiger et à modifier les requêtes. Passez en revue les ressources suivantes :

  • Schéma osquery version 5.18.1

  • Blog d'instructions sur l'écriture de requêtes à l'aide d'osquery

  • Exemples de requêtes

• Les appareilsmacOS doivent respecter la configuration requise minimale suivante :

  • macOS 14.4 ou version ultérieure

  • Okta Verify pour macOS 9.39.0 ou version ultérieure

    osquery est uniquement pris en charge via l'application Okta Verify téléchargée depuis l'Admin Console Okta (ParamètresTéléchargements)

  • Les appareils doivent avoir la technologie de protection de l'intégrité du système activée.

  • Les appareils sont gérés à l'aide d'un outil de gestion des appareils mobiles (MDM), tel que Microsoft Intune ou Jamf Pro

• Les appareilsWindows doivent respecter la configuration requise minimale suivante :

  • Windows 10 (22H2) ou version ultérieure, 64 bits

  • Okta Verify pour Windows 6.7.0 ou version ultérieure

  • Les appareils sont gérés à l'aide d'un MDM, comme Microsoft Intune ou Omnissa Workspace ONE

Activer les vérifications personnalisées des appareils sur les appareils des utilisateurs

Suivez la procédure adaptée au système d'exploitation de vos appareils utilisateurs.

macOS

Pour activer les vérifications osquery personnalisées sur les appareils macOS, utilisez votre MDM pour déployer Okta Verify avec un fichier plist qui comprend les propriétés de la configuration. Cela permet à Okta Verify de recueillir les vérifications personnalisées auprès des appareils.

1. Ajoutez les clés suivantes à la configuration d'Okta Verify. Consultez la section Configurations d'Okta Verify pour les appareils macOS.

   • OktaVerify.EnableOSQueryCustomChecks

   • OktaVerify.OSQueryAllowedDomains

   • OktaVerify.OSQueryCustomChecksTimeout

2. Envoyez la modification de la configuration de l'application en mode push à Okta Verify en utilisant votre MDM. Consultez la section Déployer Okta Verify sur les appareils macOS.

3. Installez Okta Verify. Si l'application Okta Verify est déjà installée sur l'appareil, réinstallez-la.

Windows

Pour activer les vérifications osquery personnalisées sur les appareils Windows, utilisez votre MDM pour déployer Okta Verify :

1. Configurez votre MDM pour installer Okta Verify, en définissant la valeur de configuration EnableOSQueryCustomChecks sur True. Consultez EnableOSQueryCustomChecks dans Configurations Okta Verify pour les appareils Windows.

2. Générez et installez le fichier manifeste du plug-in osquery. Consultez la section Installer le plug-in d'intégration osquery.

3. Envoyez la modification de la configuration de l'application en mode push à Okta Verify en utilisant votre MDM. Consultez Déployer Okta Verify sur les appareils Windows.

4. Installez Okta Verify. Si l'application Okta Verify est déjà installée sur l'appareil, réinstallez-la.

Activer osquery dans Okta

1. Dans l'Admin Console, accédez à SécuritéIntégrations d'appareils.

2. Dans l'onglet Sécurité des points de terminaison, cliquez sur Ajouter une intégration de point de terminaison et sélectionnez osquery.

3. Sélectionnez la plateforme, puis cliquez sur Enregistrer.

Créer une vérification personnalisée

1. Dans l'Admin Console, accédez à SécuritéVérifications de posture avancées.

2. Dans l'onglet Vérifications personnalisées, cliquez sur Ajouter une vérification personnalisée.

3. Configurez votre vérification de posture .

   1. Saisissez un nom et une description.

   2. Affectez une variable pour identifier cette vérification de posture lorsque vous configurez vos politiques de garantie des appareils.

   3. Sélectionnez macOS ou Windows selon le système d'exploitation des points de terminaison.

   4. Écrivez votre requête à l'aide du langage SQL standard. La requête doit renvoyer 1 (réussite) 0 (échec) et se terminer par un point-virgule.

      Copier

      SELECT
        CASE
          WHEN global_state = 0 THEN 0
          ELSE 1
        END AS firewall_enabled
      FROM
        alf;
      

      Validez et testez vos requêtes dans un environnement de prévisualisation avant de les déployer dans votre org de production.

      Pour tester votre requête sous macOS, exécutez la commande suivante sur un appareil sur lequel la fonctionnalité Vérifications de posture avancées a été activée :

      Copier

      /Applications/Okta\ Verify.app/Contents/XPCServices/OktaAuthenticationService.xpc/Contents/Resources/osqueryd --S --json "YOUR QUERY"

      Dans Okta Verify pour macOS 9.52.0, le nom du fichier binaire a changé. Si vous validez votre requête par rapport à un appareil exécutant Okta Verify pour macOS 9.50 ou une version antérieure, remplacezOktaAuthenticationService.xpc par OSQueryService.xpc dans la commande de requête de validation.

      Pour tester votre requête sous Windows, exécutez la commande suivante à partir d'une invite de commande administrateur sur un appareil sur lequel la fonctionnalité Vérifications de posture avancées a été activée :

      Copier

      "C:\Program Files\Okta\Services\Authenticator Service\osqueryi.exe" --S --json "YOUR QUERY"

      Le résultat de votre requête doit renvoyer une seule entrée dans l'objet JSON. L'exemple de requête précédent renvoie la sortie suivante :

      Copier

      [
          {"firewall_enabled": "1"}
      ]

   5. Lorsque vous configurez votre politique de garantie des appareils, vous pouvez afficher votre vérification de posture sous forme de case à cocher ou de champ de texte. Dans l'Élément de formulaire de l'interface utilisateur, sélectionnez Case à cocher ou Zone de texte.

4. Facultatif. Configurez les instructions de remédiation à afficher dans le navigateur en cas d'échec de l'évaluation de la posture de l'appareil. Voir Configurer des instructions de remédiation personnalisée pour la garantie de l'appareil.

5. Cliquez sur Enregistrer la vérification de posture.

Ajouter la vérification personnalisée de posture à une politique de garantie des appareils

1. Ajoutez une politique de garantie des appareils ou modifiez une politique de garantie des appareils.

2. Configurez vos options pour vos appareils macOS ou Windows.

3. Dans la section Vérifications de posture personnalisées, recherchez une ou plusieurs vérifications de posture dans le menu déroulant et sélectionnez-la/les.

4. Sélectionnez Activé pour confirmer les vérifications à ajouter à la politique.

5. Cliquez sur Enregistrer.

Ajouter la politique de garantie des appareils à une politique de connexion à des applications

1. Suivez les étapes décrites à la section Ajouter une politique de garantie des appareils à une politique de connexion à des applications.

2. Pour la condition Politiques de garantie des appareils, sélectionnez la politique de garantie des appareils qui inclut les vérifications personnalisées.

Limitations et problèmes connus

Les politiques de garantie des appareils qui utilisent des vérifications osquery personnalisées ne fonctionnent pas si l'utilisateur s'authentifie à l'aide de Safari avec l'extension SSO déployée. La solution de contournement consiste à utiliser un autre navigateur.

Rubriques connexes

Assurance des appareils

Ajouter une politique de garantie des appareils