挙動検知について

挙動検知機能は、ユーザーが2段階認証を提供する必要がある場合に構成できます。

挙動検知を使用するには、次の情報を指定します。

  • 追跡する特定の挙動タイプ。
  • ユーザーの挙動を評価する際に考慮する、以前に成功した認証の粒度、スコープ、または回数に関する詳細。

目的の挙動条件の定義の一環として実行するアクションは指定しません。これは、挙動条件をサインオン・ポリシーに追加するときに個別に行います。挙動検知を有効にするには、挙動をサインオン・ポリシーに含める必要があります。挙動を定義しても、ポリシーに追加するまでは検知はトリガーされません。

挙動条件に基づいて使用するアクセスは拒否できません。この制限は、正当なユーザーのアカウントがロックアウトされるのを防ぐのに役立ちます。アクセスは、多要素認証が失敗した場合にのみ拒否されます。

挙動タイプ

追跡する挙動タイプを最初に選択して、挙動検知を構成します。次に、挙動条件の名前と、ユーザーのサインイン時に評価される条件の詳細を指定できます。

追跡できる挙動タイプは、次の一般的なカテゴリーに分類されます。

  • ロケーション
  • IPアドレス
  • デバイス
  • 速度

挙動条件

各挙動タイプには、複数の名前付き条件を含めることができます。たとえば、以下の条件でサインイン・アクティビティーを追跡するように挙動検知を設定できます。

  • 新しい国、州、または都市からサインインする
  • 以前成功したサインインのロケーションから、指定された距離以上離れた新しいロケーションでサインインする
  • 新しいデバイスからサインインする
  • 新しいIPアドレスからサインインする
  • 2回連続してサインインしようとすると、ユーザーが移動することが不可能と思われるロケーションからサインインする

この複数の挙動条件の例をもう少し詳しく説明するために、以下の2つのロケーションの挙動条件があると仮定します。

  • 国ベースで、サインインを行った国を追跡する
  • 都市ベースで、サインオンを行った都市を追跡する

これら両方の挙動をサインオン・ポリシーに追加すると、国の変更が最初に検知されたときに多要素認証が要求されますが、都市の変更が検知された場合は2要素認証を行わずにアクセスを許可できます。

挙動条件の評価方法

次の表に、構成可能な挙動検知のタイプに関する追加情報を示します。

挙動タイプ

条件タイプ

説明

デフォルトの評価とカスタマイズ

ロケーション

新しい都市

以前成功したサインインの発信元ではない都市。

過去20回の成功したサインインと照合されます。照合する回数は変更できます。

新しい州以前成功したサインインの発信元ではない州または地域。過去15回の成功したサインインと照合されます。照合する成功したサインインの数は変更できます。
新しい国以前成功したサインインの発信元ではない国。過去10回の成功したサインインと照合されます。照合する成功したサインインの数は変更できます。
新しいジオロケーション以前成功したサインインの発信元ではない、指定された半径範囲外のロケーション。以前成功したサインインのロケーションから半径20キロメートルの範囲外にあるロケーションの、過去20回の成功したサインインと照合されます。照合する成功したサインインの数を変更し、半径サイズを指定して、経度と緯度でロケーションを定義することができます。
デバイス新しいデバイス

以前成功したサインインの発信元ではないデバイス。デバイスはクライアントに基づいています。ブラウザーの変更は新しいデバイスと見なされます。

改良された新しいデバイス検知機能により、HTTP Cookieを保存するブラウザーで新しいデバイスを検知するためのより優れたメカニズムが提供されます。デバイス挙動検知は、Webブラウザーと信頼できるアプリケーションから渡されたデータに基づいています。この機能の詳細については、強化された新規デバイス挙動検知を参照してください。

過去20回の成功したサインインと照合されます。照合する成功したサインインの数は変更できます。

IP

新しいIPアドレス

以前成功したサインインの発信元ではないIPアドレス。

過去50回の成功したサインインと照合されます。照合する成功したサインインの数は変更できます。

速度

速度

不審なサインインを識別するために使用される速度の測定値。

速度は、続いて起こる2回のユーザー・サインイン間の距離と経過時間に基づいて評価されます。

連続する2回のサインイン間の地理的な距離および経過時間と照合されます。デフォルトは時速805 km(時速500マイル)です。

ロケーション・データは、第三者のジオロケーション・プロバイダーによって提供されます。精度を可能な限り向上させるため、OktaはジオロケーションIPデータも毎週更新しています。

関連項目

挙動検知の構成

サインオン・ポリシー・ルール

挙動検知イベント

ユーザーの挙動プロファイルをリセットする