Device TrustからOkta FastPassへの移行

Device TrustOkta FastPassにアップグレードするには、この手順を使用します。

  1. 組織内のデバイスのタイプがデスクトップ(macOSおよびWindows)とモバイル(AndroidおよびiOS)のどちらであるかを特定します。
  2. モバイルデバイスの管理にDevice Trustを使用する場合は、[Mobile Device Trust(モバイル向けOkta Device Trust)]をオフにします。
  3. Okta Classic EngineからOkta Identity Engineにアップグレードします。
  4. Device TrustポリシーがOkta Identity Engineで利用可能であることを確認します。
  5. すべてのユーザーに対してOkta FastPassを有効にします。
  6. [Device Trust]を削除し、Integrated Windows Authentication(IWA)サーバーを廃止します。

Okta Identity EngineではIWAとDevice Trustはサポートされていません。この手順により、組織でOkta FastPassが展開されるまで、Device Trust機能を維持できます。Okta Identity Engineでは、Okta FastPassおよびOkta Verifyを使用する必要があります。

アップグレード後、Device Trustを変更することはできません。Okta Identity Engineでは、Device Trust機能が引き続き構成どおりに動作します。ただし、構成を修正または変更するための管理機能はありません。

開始する前に

  • Okta Classic EngineでIWAエージェントを構成している場合は、構成設定を書き留めておいてください。Okta Admin Consoleで、[Security(セキュリティ)]>[Delegated Authentication(代理認証)]>[IWA Agents(IWAエージェント)]に移動します。

    スクリーンショットは、構成されたIWAエージェントの例を示しています。

    これらの設定は、アップグレード後にOkta Admin Consoleで使用できなくなります。ロールバックシナリオをサポートするには、アップグレード後にIWAを変更しないでください。

  • モバイルデバイス管理(MDM)ツールを使用して、Device Trust証明書を持つすべてのデバイスのインベントリを作成します。これにより、アップグレード後も同じデバイスがOkta Identity Engineで引き続き動作することが保証されます。

  • エンドユーザーはOkta Verifyの最新バージョンを使用する必要があります。Okta Verifyは、Okta Universal Directoryにデバイスを登録します。Okta Verifyは、デバイス上の管理証明書の存在を検出して、デバイスが管理されている、または信頼されていることを証明します。

この手順を開始する

タスク1:組織内のデバイスのタイプを特定する

移行中、デスクトップ(WindowsまたはmacOS)デバイスのみがOkta Identity Engineに転送されます。モバイルデバイスの自動移行は行われません。モバイルデバイスではOkta Verifyを使用します。

  1. 使用しているデバイスのタイプを確認します。Okta Admin Consoleで、[Security(セキュリティ)]>[Device Trust]に移動します。[Enable iOS Device Trust(iOS向けOkta Device Trustを有効化)]または[Enable Android Device Trust(Android向けOkta Device Trustを有効化)]が選択されている場合は、モバイルデバイスがあります。

  2. 使用しているデバイスのタイプに応じて、次のいずれかのタスクを完了します。

タスク2:Okta Classic Engineでモバイルデバイスの移行を準備する

モバイル向けDevice Trustは、Okta Identity Engineへの移行の対象外です。アップグレードする前にオフにしてください。アップグレード後、Okta FastPassまたはOkta Verifyを使用して、モバイルデバイスが信頼できることを確認します。

  1. モバイルデバイスのアプリサインオンポリシー条件を[Any(任意)]に変更します。
    1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authentication Policies(認証ポリシー)]に移動します。

    2. アップデートするポリシーを選択します。

    3. [Rules(ルール)]タブをクリックします。

    4. [Sign On Policy(サインオンポリシー)]セクションで、Device Trustの状態が[Any(任意)]に設定されていないモバイルデバイス([iOS][Android]、または[Other mobile(その他のモバイル)])ポリシールールを見つけます。
    5. [Edit(編集)]をクリックし、[Any(任意)]を選択します。

    6. [Save(保存)]をクリックします。
  2. モバイル向けDevice Trustポリシーを無効にします。
    1. Okta Admin Consoleで、[Security(セキュリティ)]>[General(一般)]の順に進みます。
    2. [Okta Mobile]セクションで[Edit(編集)]をクリックします。
    3. [(APP SETTINGS)アプリの設定]セクションで、[Apply device trust policies when accessing apps in Okta Mobile(Okta Mobileでアプリにアクセスするときにデバイス信頼ポリシーを適用します)]チェックボックスをオフにします。

  3. モバイル向けOkta Device Trustをオフにします。
    1. Okta Admin Consoleで、[Security(セキュリティ)]>[Device Trust]に移動します。
    2. [Enable iOS Device Trust(iOS向けOkta Device Trustを有効化)]または[Enable Android Device Trust(Android向けOkta Device Trustを有効化)]が選択されている場合は、[Edit(編集)]をクリックします。
    3. チェックボックスをクリアします。
    4. [Save(保存)]をクリックします。
  4. Okta Verifyをモバイルデバイスに展開します。
  5. Integrated Windows Authentication(IWA)ルーティングルールを削除します。
    1. ClassicのAdmin Consoleで[Security(セキュリティ)]>[Identity Providers(IDプロバイダー)]に移動します。
    2. [IWA]をクリックします。

    3. スクリーンショットを撮るか、IWAルーティングルールをメモします。後でロールバックが必要になった場合に、この情報が必要になります。
    4. [Failed to update OIE upgrade state(OIEアップグレード状態の更新に失敗しました)]エラーがorgスーパーユーザーに表示されます。[Dismiss(閉じる)]をクリックします。

    5. [Active(アクティブ)]ドロップダウンから、[Deactivate(非アクティブ化)]>[Delete(削除)]をクリックします。
    6. 必要に応じて、他のIWAルールに対してこの手順を繰り返します。

タスク3:Okta Classic EngineからOkta Identity Engineにアップグレードする

アップグレード後、既存のDevice Trust認証(相互TLS認証)はOkta Identity Engineで引き続き機能します。

アップグレードすると、アプリサインオンポリシーのDevice Trust条件は、Okta Identity Engineのデバイス登録および管理対象条件に変換されます。有効なDevice Trust証明書がデバイスに存在する場合、デバイスは登録され、管理対象になります。証明書がデバイスに存在しない場合、または証明書が存在するが有効でない場合、デバイスは管理対象外です。

Okta Identity Engineにアップグレードするには、Oktaアカウントチームにお問い合わせください。「Oktaアカウントチームに問い合わせる」および「Oktaアカウントチームにアクセス権を付与する」を参照してください。

タスク4:Device TrustOkta Identity Engineで機能することを確認する

アップグレード後、Device Trustが有効になります。Okta FastPassはまだ有効になっていません。エンドユーザーエクスペリエンスはOkta Classic Engineと同じです。デバイス条件によって保護されているアプリにユーザーがアクセスしようとすると、OktaDevice Trust証明書を提示するようブラウザーに要求し、それを検証します。検証後、ユーザーはアプリアカウントにアクセスできます。

Device Trustはまだ削除しないでください。このアクションを元に戻すことはできません。

  1. Device Trust構成がOkta Identity Engineに移行されたことを確認します。
    1. Okta Admin Consoleで、[Security(セキュリティ)]>[Device integrations(デバイス統合)]に移動します。
    2. [Endpoint Management(エンドポイント管理)]タブをクリックします。
    3. リストされたプラットフォームが「タスク1:組織内のデバイスのタイプを特定する」で特定したデバイスのタイプと一致することを確認します。

      4. たとえば、Okta Classic EngineでWindowsおよびmacOS向けDevice Trustが有効になっている場合、これらのプラットフォームは[Endpoint management(エンドポイント管理)]ページにリストされます。

  2. アプリサインオンポリシーに、登録済みおよび管理対象のデバイス条件のルールが含まれていることを確認します。
    1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authentication Policies(認証ポリシー)]に移動します。
    2. アップデートするポリシーを選択します。
    3. [Rules(ルール)]タブをクリックします。
    4. サインオンポリシー情報を表示します。ポリシー内のルールの1つで[Device: Registered, Managed(登録済みおよび管理対象)]を指定する必要があります。

  3. 次のSystem Logイベントを表示して、Device Trustがまだ機能していることを確認します。
    • 認証
      • DisplayMessage:証明書によるデバイスの認証
      • EventType:user.authentication.authenticate
    • 登録
      • DisplayMessage:Device Trust証明書の登録
      • EventType:user.credential.enroll
    • 発行
      • DisplayMessage:Device Trust証明書の発行
      • EventType:pki.cert.issue
    • 撤回
      • DisplayMessage:Device Trust証明書の撤回
      • EventType:pki.cert.revoke
    • 更新
      • DisplayMessage:Device Trust証明書の更新
      • EventType:pki.cert.renew
  4. 複数のオペレーティングシステムで次の項目を確認します。
    • 既存のユースケースがすべて機能する。たとえば、Device Trustが有効なデスクトップデバイスを使用するユーザーは認証できます。
    • すべてのアプリサインオンポリシーが正常に移行された。Device Trustによって保護されているアプリの場合、ルールには[Managed(管理対象)]および[Registered(登録済み)]の条件を含める必要があります。
    • 既存の相互TLS(MTLS)証明書を使用している。
    • 任意。証明書の更新が機能する。
    • 任意。新規登録が機能する。

タスク5:一部のユーザーに対してOkta FastPassを有効にする

以下のシナリオを検討してください。

Okta Verifyがインストールされていません:
ユーザーがDevice Trustで保護されたアプリにアクセスしようとすると、orgのサインインページが表示されます。OktaOkta Verifyについてユーザーのデバイスをプローブします。ユーザーがユーザー名を入力すると、OktaはMTLSチャレンジを完了し、デバイスのDevice Trust証明書から管理証明が収集されます。
Okta Verifyがインストールされ、インライン登録が無効になっていますが、ユーザーはまだアカウントを追加していません:
ユーザーがDevice Trustで保護されたアプリにアクセスしようとすると、orgのサインインページが表示されます。ユーザーがユーザー名を入力すると、OktaはMTLSチャレンジを完了し、デバイスのDevice Trust証明書から管理証明が収集されます。
Okta Verifyがインストールされ、インライン登録が有効になっていますが、ユーザーはまだアカウントを追加していません:
ユーザーがDevice Trustで保護されたアプリにアクセスしようとすると、Okta Verifyアカウントを追加するよう求められます。Device TrustステータスはOkta Verifyによって提供されたため、認証フローは相互TLS認証なしで完了します。

詳細については、「デバイス登録」を参照してください。

  1. モバイル向けDevice Trustを無効にした場合は、「モバイルデバイスの管理証明を構成する」の手順を完了します。
  2. Okta FastPass用にエンタープライズデバイスを準備します。Okta Verifyアプリの最新バージョンをすべてのデスクトップデバイスにプッシュします。MDMを使用して、一部のユーザーのインライン登録を有効にします。

    3. このセクションの手順4を完了すると、ユーザーは次回OktaにアクセスするときにOkta Verifyに登録するように自動的に求められます。ユーザーがOkta Verifyをインストールし、アカウントを追加(登録)した場合、Okta FastPassを使用してサインインするようになります。そのため、デバイスは信頼されています。ユーザーがOkta Verifyアカウントを持っていない場合、Okta Classic Engine Device Trust証明書を使用してサインインします。

    EnrollmentOptionsフラグの詳細については、「macOSデバイス向けの管理対象アプリ構成」および「Windowsデバイス向けの管理対象アプリ構成」を参照してください。

    この時点で、Okta Verifyは「準備完了」状態です。Okta FastPassを(手順4で)有効にすると、Okta Verifyを使用するユーザーはOkta FastPassをセットアップするように求められます。この手順により、Okta FastPassおよびOkta Verify登録を制御された方法でロールアウトして、変更管理に役立てることができます。

  3. 認証局(CA)が構成されていること、および管理証明書がすべてのデスクトップデバイスにデプロイされていることを確認します。OktaをCAとして使用することも、独自のCAを提供することも可能です。「認証局を構成する」を参照してください。

    4. 独自のCAを提供する場合は、次の手順に従います。

    1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authentication Policies(認証ポリシー)]に移動します。
    2. [Certificate Authority(認証局)]タブをクリックします。

    3. 管理証明書をデバイスにデプロイします。
  4. アプリサインオンポリシーを更新します。該当するプラットフォームごとに管理対象ルールがあることを確認します。[User must authenticate with(ユーザーが使用する認証方法)]の値を[Any 1 factor type(任意の1要素タイプ)]に変更します。
    • [Allow Trusted macOS(信頼できるmacOSを許可)]:
      • [Platform(プラットフォーム)]:[macOS]
      • [Device(デバイス)]:[Registered, Managed(登録済み、管理対象)]
      • [User must authenticate with(ユーザーが使用する認証方法)]:[Any 1 factor type(任意の1要素タイプ)]
    • [Allow Trusted Windows(信頼できるWindowsを許可)]:
      • [Platform(プラットフォーム)]:[Windows]
      • [Device(デバイス)]:[Registered, Managed(登録済み、管理対象)]
      • [User must authenticate with(ユーザーが使用する認証方法)]:[Any 1 factor type(任意の1要素タイプ)]

      アプリサインオンポリシーの設定の詳細については、「Okta FastPassのアプリサインオンポリシーを構成する」を参照してください。

  5. Okta FastPassを有効にします。これはグローバル設定ですが、次のユーザーカテゴリのみがOkta FastPassにアクセスできます。
    • インライン登録のユーザー(手順2でセットアップ)
    • Okta Verifyに登録し、管理証明書を持っているユーザー(手順3でセットアップ)。

    6. Okta FastPassを有効にする場合は、Okta Device Trustを無効にする前に、[Okta FastPass (all platforms)(Okta FastPass(すべてのプラットフォーム))]チェックボックスをオンにしてください。

  6. Okta FastPassが有効になっている場合は、次のシナリオを確認してください。
    • Okta Verifyに登録されていないが、Device Trustに登録されているユーザーは、管理対象のアプリに正常にアクセスできるはずです。
    • Okta Verifyに登録されていないユーザーは、Okta Verifyに登録できるはずです。
    • 管理対象デバイスからOkta Verifyに登録したユーザーは、管理対象のアプリに正常にアクセスできるはずです。
    • 管理対象外デバイスからOkta Verifyに登録したユーザーは、移行前と同じ方法でアプリにアクセスできるはずです。

タスク6:すべてのユーザーに対してOkta FastPassを有効にする

Okta Verifyに登録し、デバイスに管理証明書を用意するようユーザーに勧めます。理想的には、すべてのユーザーがOkta FastPassが有効になっているOkta Verifyアカウントを持っているため、Device Trustは不要になります。

  1. Okta Verifyに登録するようにすべてのユーザーに要求するか、すべてのユーザーデバイスにデプロイします。

    この情報をエンドユーザーと共有します。

  2. 次の項目を確認します。

タスク7:Device Trustを削除し、IWAサーバーを廃止する

すべてのユーザーがOkta FastPassを使用している場合は、Device Trustを削除できます。

すべてのユーザーがOkta FastPassに登録されるまで、Device Trustを削除しないでください。

  1. System Logイベントを表示して、Device Trustシグナルが存在しないことを確認します。(「タスク4:Device TrustがOkta Identity Engineで機能することを確認する」の手順3を参照)。

    2. Device Trustシグナルが存在する場合は、これらのユーザーをOkta Verifyに移行します。Okta Verifyを使用していないユーザーは影響を受けます。

  2. Device Trustを非アクティブ化します。
    1. Okta Admin Consoleで、[Security(セキュリティ)]>[Device Management(デバイス統合)]に移動します。
    2. [Endpoint Management(エンドポイント管理)]をクリックします。
    3. 必要なプラットフォームについて、[Actions(アクション)]>[Deactivate(非アクティブ化)]をクリックします。

      4. プラットフォームを削除しようとしたときにエラーが発生した場合は、「Device TrustからOkta FastPassへの移行をトラブルシューティングする」の「このOkta Device Trust(Okta Classic Engine)構成を非アクティブ化します」エラーを参照してください。

      または

    4. [Deactivate(非アクティブ化)]をクリックします。
  3. [Device Trust]を削除します。
    1. 非アクティブなプラットフォームについて、[Actions(アクション)]>[Delete(削除)]をクリックします。
    2. [Delete(削除)]をクリックします。
  4. インフラストラクチャからIWAサーバーを廃止し、好みのツールを使用してデバイスからデバイス登録タスクを削除します。

関連項目

Device TrustからOkta FastPassへの移行をトラブルシューティングする

Device TrustからOkta FastPassへの移行に関するよくある質問