Configurer des vérifications de posture avancées pour l'assurance des appareils

Version en accès anticipé. Consultez Activer les fonctionnalités en libre-service.

Les vérifications de posture avancées offrent un contrôle plus fin de la sécurité des appareils allant au-delà des fonctionnalités des politiques de garantie des appareils standard. Avec cette fonctionnalité, vous pouvez définir pour les appareils des conditions de posture spécifiques qui reflètent les exigences en matière de sécurité propres à votre org. Cela vous permet de configurer une org sécurisée où l'accès aux ressources sensibles n'est accordé que lorsqu'un appareil répond à un ensemble de conditions précis.

Avant de commencer

• Cette procédure nécessite un niveau de connaissance de base d'Osquery. Toutefois, les assistants en IA peuvent vous aider à rédiger et à modifier les requêtes. Passez en revue les ressources suivantes :

  • Schéma osquery version 5.18.1

  • Blog d'instructions sur l'écriture de requêtes à l'aide d'osquery

  • Exemples de requêtes

• Les appareilsmacOS doivent respecter la configuration requise minimale suivante :

  • macOS version 14.4 ou ultérieure

  • Okta Verify pour macOS version 9.39.0 ou ultérieure

    L'assistance pour osquery est uniquement disponible via l'application Okta Verifytéléchargée depuis l'Okta Admin Console (Paramètres > Téléchargements)

  • La Protection de l'intégrité du système des appareils doit être activée.

  • Les appareils sont gérés à l'aide d'un outil de gestion des appareils mobiles (MDM), tel que Microsoft Intune ou Jamf Pro

• Les appareilsWindows doivent respecter la configuration requise minimale suivante :

  • Windowsversion 10 (22H2) ou version ultérieure, 64 bits

  • Okta Verify pour Windows version 6.7.0 ou ultérieure

  • Les appareils sont gérés par le biais d'une GPM, comme Microsoft Intune ou Omnissa Workspace ONE

Activer les vérifications personnalisées des appareils sur les appareils des utilisateurs

Suivez la procédure adaptée au système d'exploitation de vos appareils utilisateurs.

macOS

Pour activer les vérifications osquery personnalisées sur les appareils macOS, utilisez votre MDM pour déployer Okta Verifyavec un fichier plist qui comprend les propriétés de la configuration. Cela permet à Okta Verify de recueillir les vérifications personnalisées auprès des appareils.

1. Ajoutez les clés suivantes à la configuration d'Okta Verify. Voir Configurations Okta Verify pour les appareils macOS.

   • OktaVerify.EnableOSQueryCustomChecks

   • OktaVerify.OSQueryAllowedDomains

   • OktaVerify.OSQueryCustomChecksTimeout

2. Envoyez la modification de la configuration de l'application en mode push à Okta Verify en utilisant votre MDM. Consultez la section Déployer Okta Verify sur les appareils macOS

3. Installez Okta Verify. Si Okta Verifyest déjà installée sur l'appareil, réinstallez-la.

Windows

Pour activer les vérifications osquery personnalisées sur les appareils Windows, utilisez votre MDM pour déployer Okta Verify :

1. Configurez votre MDM pour installer Okta Verify, en définissant la valeur de configurationde EnableOSQueryCustomChecks sur True. Consultez EnableOSQueryCustomChecks dans Okta VerifyConfigurations pour les appareils Windows.

2. Générez et installez le fichier manifeste du plug-in osquery. Consultez la section Installer le plug-in d'intégration osquery.

3. Envoyez la modification de la configuration de l'application en mode push à Okta Verify en utilisant votre MDM. Consultez Déployer Okta Verify sur les appareils Windows.

4. Installez Okta Verify. Si Okta Verifyest déjà installée sur l'appareil, réinstallez-la.

5. Facultatif : ajustez la valeur du registre CollectionTimeout si votre environnement exige un délai d'attente plus long pour la collecte des signaux. La valeur par défaut utilisée par Okta Verifyest de 5 000 millisecondes.

   Remarque :

   Le délai d'attente effectif est le plus grand de ce paramètre de registre et de la valeur du délai d'attente définie dans chaque fichier manifeste de plug-in. Les deux valeurs sont en millisecondes. Consultez Gérer les plug-ins d'intégration de la sécurité des points de terminaison pour Windows .

   1. Ouvrez l'Windows éditeur de registre en tant qu'administrateur Windows et accédez à HKLM\SOFTWARE\Okta\Okta Verify\Integrations.

   2. Faites un clic droit dans le volet droit et sélectionnez Nouveau > Valeur de DWORD (32-bit). Nommez cette nouvelle valeur CollectionTimeout.

   3. Double-cliquez sur l'entrée CollectionTimeout, définissez Base sur Decimal et saisissez la valeur souhaitée en millisecondes. Utilisez 20000(20 secondes) si votre environnement implique une latence élevée ou des vérifications de politique étendues.

Activer osquery dans Okta

1. Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.

2. Dans l'onglet Sécurité des points de terminaison, cliquez sur Ajouter une intégration de point de terminaison et sélectionnez osquery.

3. Sélectionnez la plateforme, puis cliquez sur Enregistrer.

Créer une vérification personnalisée

1. Dans l'Admin Console, accédez à Sécurité > Vérifications de posture avancées.

2. Dans l'onglet Vérifications personnalisées, cliquez sur Ajouter une vérification personnalisée.

3. Configurez votre vérification de posture .

   1. Saisissez un nom et une description.

   2. Affectez une variable pour identifier cette vérification de posture lorsque vous configurez vos politiques de garantie des appareils.

   3. Sélectionnez macOS ou Windows selon le système d'exploitation des appareils des points de terminaison.

   4. Écrivez votre requête à l'aide du langage SQL standard. La requête doit renvoyer soit 1 (réussite) ou 0(échec) et se terminer par un point-virgule.

      SELECT
        CASE
          WHEN global_state = 0 THEN 0
          ELSE 1
        END AS firewall_enabled
      FROM
        alf;
      

      Validez et testez vos requêtes dans un environnement de prévisualisation avant de les déployer dans votre org de production.

      Pour tester votre requête sous macOS, exécutez la commande suivante sur un appareil sur lequel la fonctionnalité Vérifications de posture avancées a été activée :

      sudo /Applications/Okta\ Verify.app/Contents/XPCServices/OktaAuthenticationService.xpc/Contents/Resources/osqueryd --S --json "YOUR QUERY"

      Remarque :

      Dans Okta Verifypour macOS 9.52.0, le nom du fichier binaire a changé. Si vous validez votre requête par rapport à un appareil exécutant Okta Verify pour macOS po 9.50 ou une version antérieure, remplacez OktaAuthenticationService.xpc par OSQueryService.xpc dans la commande de requête de validation.

      Pour tester votre requête sous Windows, exécutez la commande suivante à partir d'une invite de commande administrateur sur un appareil sur lequel la fonctionnalité Vérifications de posture avancées a été activée :

      "C:\Program Files\Okta\Services\Authenticator Service\osqueryi.exe" --S --json "YOUR QUERY"

      Le résultat de votre requête doit renvoyer une seule entrée dans l'objet JSON. L'exemple de requête précédent renvoie la sortie suivante :

      [
          {"firewall_enabled": "1"}
      ]

   5. Lorsque vous configurez votre politique de garantie des appareils, vous pouvez afficher votre vérification de posture sous forme de case à cocher ou de champ de texte. Dans l'Élément de formulaire de l'interface utilisateur, sélectionnez Case à cocher ou Zone de texte.

4. Facultatif. Configurez les instructions de remédiation à afficher dans le navigateur en cas d'échec de l'évaluation de la posture de l'appareil. Consultez la section Configurer des instructions de correction personnalisées pour l'assurance des appareils.

5. Cliquez sur Enregistrer la vérification de posture.

Ajouter la vérification personnalisée de posture à une politique de garantie des appareils

1. Ajoutez une politique de garantie des appareils ou modifiez une politique de garantie des appareils.

2. Configurez vos options pour vos appareils macOS ou Windows.

3. Dans la section Vérifications de posture personnalisées, recherchez une ou plusieurs vérifications de posture dans le menu déroulant et sélectionnez-la/les.

4. Sélectionnez Activé pour confirmer les vérifications à ajouter à la politique.

5. Cliquez sur Enregistrer.

Ajouter la politique de garantie des appareils à une politique de connexion à des applications

1. Suivez les étapes décrites à la section Ajouter une politique de garantie des appareils à une politique de connexion à des applications.

2. Pour la condition Politiques de garantie des appareils, sélectionnez la politique de garantie des appareils qui inclut les vérifications personnalisées.

Limitations et problèmes connus

Les politiques de garantie des appareils qui utilisent des vérifications osquery personnalisées ne fonctionnent pas si l'utilisateur s'authentifie à l'aide de Safariavec l'extension SSO déployée. La solution de contournement consiste à utiliser un autre navigateur.

Rubriques connexes

Assurance des appareils

Ajouter une politique de garantie des appareils