フィッシング耐性のあるAuthenticatorの登録

フィッシング耐性のあるAuthenticatorの登録を構成することで、orgのセキュリティを強化できます。

はじめに

フィッシング耐性のあるAuthenticatorを構成します。「フィッシング耐性のある認証」を参照してください。ユーザーが必ずフィッシング耐性のある方法でOkta Verifyに登録するように、Okta Verifyの構成時に［Higher security methods（より高いセキュリティ方式）］を選択します。このオプションにより、ユーザーは登録にQRコード、メール、SMSリンクを使用できません。「Okta Verifyオプションの構成」を参照してください。
既存のフィッシング耐性のあるAuthenticatorを必須にするようにAuthenticator登録を構成します。この機能を有効にするには、Admin Console ［Settings（設定）］に移動し、［Require phishing-resistant authenticator to enroll additional Authenticator（追加Authenticatorの登録にフィッシング耐性のあるAuthenticatorを必須とする）］のトグルをクリックします。この早期アクセス機能が有効になっている場合、ユーザーは追加のAuthenticatorに登録する前にFIDO2 WebAuthnまたはOkta FastPassで認証する必要があります。

ユーザーは多要素認証に登録するとき、またはOktaに次回サインインするときに、フィッシング耐性のあるAuthenticatorに登録するよう求められます。ユーザーが後で別のAuthenticatorを追加する場合は、最初にフィッシング耐性のあるAuthenticatorで認証する必要があります。

ユーザーがフィッシング耐性のあるAuthenticatorに登録していないときは、Authenticator登録ポリシーで定義されている保証要件を満たす任意のAuthenticatorに登録できます。

ユーザーがデバイスにOkta FastPassをセットアップしている場合は、それを使用して同じデバイスで別のAuthenticator（WebAuthnやハードウェアキーなど）に登録できます。［Add account to another device（別のデバイスにアカウントを追加）］オプションを使用することで、Okta Verifyアプリケーションを使用して他のデバイスを登録することもできます。Android、iOS、macOS、およびWindowsデバイスのエンドユーザー向けドキュメントを参照してください。
ユーザーがFIDO 2 YubiKeyなどのローミングAuthenticatorに登録している場合は、それを任意のデバイスに挿入し、そのデバイスでWebAuthnまたはOkta FastPassに登録できます。
ユーザーがWebAuthnなどのデバイスバウンドAuthenticatorを所有している場合は、それを使用して同じデバイスでOkta FastPassに登録できます。その後、Okta Verifyで［Add account to another device（別のデバイスにアカウントを追加）］オプションを使用して他のデバイスを登録できます。