強化された新規デバイス行動検知

強化された新規デバイス行動検知機能は、ユーザーが新しいデバイスからサインインしていることを検知するメカニズムです。

たとえば、ユーザーが組織から新しいラップトップを受け取り、そのラップトップからOktaにサインインすると、Oktaは以前にこのデバイスがOktaへのサインインに使用されていないことを認識し、このデバイスを新規デバイスとして登録します。

この機能は、ユーザーがOktaと信頼できるアプリケーションへのサインインに使用したブラウザーのHTTP Cookieのデータを分析し、新規デバイスに関するデータを提供します。このデータは、ユーザーに多要素認証を(MFA)を求める必要があるか、MFAなしでのサインインを許可するかを判断するためにポリシーによって評価されます。

この機能を有効にする場合は、Oktaサポートsupport@okta.com)にお問い合わせください。

エンドユーザーのアクティビティと行動に基づくorgのセキュリティ保護の詳細については、「行動検知と評価」を参照してください。

既知の制限

  • 強化された新規デバイス行動検知機能がorgで有効になっている場合、HTTP Cookieのないブラウザーを使用したデバイスからのサインインアクティビティも新規デバイスとして処理されますが、精度が制限されます。
  • Oktaは、強化された新規デバイス行動検知機能からのデータを、新規サインインのメール通知を送信するタイミングを判断するためには使用しません。また、deviceTokenまたはブラウザーのCookieを変更した場合、新規サインオンのメール通知がトリガーされない可能性があります。「一般的なセキュリティ」「エンドユーザー向けのサインイン通知」「新規サインオンに関する通知メール」を参照してください。

信頼できるアプリケーション

信頼できるアプリケーションは、新規デバイス検知の一環としてデバイスを識別します。

  • 強化された新規デバイス行動検知機能がorgで有効になっている場合は、コンテキストオブジェクトのdeviceTokenを使用して、各デバイスに一意の識別子を送信できます。「認証コンテキストオブジェクト」を参照してください。
    • 信頼できるアプリケーションによって一意の識別子が送信されない場合、デバイスからのサインインアクティビティは新規デバイスとして識別されます。
  • 強化された新規デバイス行動検知機能が組織で有効になっていない場合は、X-DEVICE-FINGERPRINTヘッダーを使用して各デバイスに一意の識別子を送信できます。「デバイスフィンガープリントを使用したプライマリ認証」を参照してください。

一意の識別子を生成する方法については、「デバイスフィンガープリントのベストプラクティス」を参照してください。

デバイス検知に関する注意

以前、OktaはJavaScriptのフィンガープリントを使用して新規デバイスを識別していました。強化された新規デバイス行動検知機能は、ブラウザーのフィンガープリントに依存しなくなりました(生体認証で物理的なフィンガープリントを使用しません)。

  • AppleやMozillaなどのWebブラウザーベンダーのブラウザーではフィンガープリントの精度が低下するため、ブラウザーフィンガープリントに対応するブラウザーでは精度がベストエフォート型で保証される。
  • 同じブラウザーフィンガープリントが複数のデバイスから送信される場合があるため、ブラウザーフィンガープリントが時間とともに変化する可能性がある。

そのため、Oktaでは、強化された新規デバイス行動検知を有効にして検知精度を改善することを推奨しています。

関連項目

行動検知と評価

ネットワークゾーン

Okta ThreatInsight