グローバルセッションポリシーにネットワークゾーンを追加する

グローバルセッションポリシーにネットワークゾーンを追加してネットワークアクセスを管理できます。

  1. Admin Consoleで、[Security(セキュリティ)][Global Session Policy(グローバルセッションポリシー)]に移動します。
  2. ルールを追加するポリシーを選択します。
  3. [Add Rule(ルールを追加)]をクリックします。
  4. [Rule name(ルール名)]フィールドに、作成するルールのわかりやすい名前を追加します。
  5. 任意。[Exclude users(ユーザーを除外)]フィールドに、ルールから除外するグループの個々のユーザーを示します。
  6. 条件を示します。
    • IF[User’s IP is(ユーザーのIP)]:ドロップダウンメニューを使用して場所のパラメーターを割り当てます。[Anywhere(すべての場所)][In zone,(ゾーン内)][Not in zone(ゾーン外)]のどこで認証を求めるかを指定できます。
    • Manage configuration for Network(ネットワークの構成を管理)[Manage Configurations for Network(ネットワークの構成を管理)]リンクをクリックし、ゲートウェイの設定にアクセスして、アクセスの選択を有効にします。ゲートウェイ設定の詳細については、「IPゾーン」をご覧ください。
    • AND[Authenticates via(認証方法)]:このドロップダウンメニューを使用して、必要な認証方法を指定します。
    • AND[Risk is(リスクレベル)]:リスクレベルを[Low(低)]、[Medium(中)]、[High(高)]から選択して、ルールの一致に必要なリスクのレベルを変更します。「リスクスコアリング」を参照してください。
    • AND[Behavior is(動作)]:動作タイプや名前付きの動作を入力します。「動作タイプについて」を参照してください。
    • THEN[Access is...(アクセスの可否...)]:前のドロップダウンメニューの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。
    • AND[primary factor is(プライマリ要素)][Password / ID(パスワード/IDP)]を選択するか、[Password / IDP / any factor allowed by app sign on rules(パスワード/IDP/アプリのサインオンルールで許可された任意の要素)]を選択します。パスワードなしの認証を設定するには、「パスワードなしサインインエクスペリエンスをセットアップする」を参照してください。
    • AND[secondary factor(予備の要素)]:予備の要素が必要かどうかを示します。プロンプトをデバイスごとに表示するか、サインオンごとに表示するか、指定したセッション時間ごとに表示するか指定するラジオボタンが表示されます。[Every Time(毎回)]を選択すると、エンドユーザーはMFAプロンプトを制御できなくなります。
    • [Manage configuration for Multifactor Authentication(多要素認証の構成を管理)][Manage Configurations for Multifactor Authentication(多要素認証の構成を管理)]リンクをクリックすると、[認証]ページと[Authenticator]タブにすばやくアクセスできます。それぞれの認証オプションの詳細については、「AuthenticatorとMFAの登録」を参照してください。
    • [Factor Lifetime(要素のライフタイム)]:予備の要素が必要な場合、このドロップダウンを使用して、ユーザーが予備の要素の入力を再度試行できるまでの経過時間を指定します。デフォルトのライフタイムは15分で、最長期間は6か月です。
  7. [Maximum Okta global session idle time(Oktaグローバルセッション最大アイドル時間)]フィールドには、認証プロンプトがトリガーされるまでの最長のアイドル時間を指定します。エンドユーザーのセッションが期限切れになる5分前に、ダッシュボードにカウントダウンタイマーと、セッションを延長するためのオプションが表示されます。セッションライフタイムはデフォルトで2時間となっていて、最長の許容期間は90日です。

ネットワークゾーンを編集するときに、変更がすべてのサーバーに反映されて有効になるまで、約60秒待つ必要があります。

関連項目

ネットワークゾーン

サインオンのポリシーとルール