フィッシング耐性のあるAuthenticatorを登録する

フィッシング耐性のあるAuthenticatorの登録を構成することで、orgのセキュリティを強化できます。

開始する前に

フィッシング耐性のあるAuthenticatorを構成します。「フィッシング耐性のある認証」を参照してください。ユーザーが必ずフィッシング耐性のある方法でOkta Verifyに登録するように、Okta Verifyの構成時に［Higher security methods（より高いセキュリティ方式）］を選択します。このオプションにより、ユーザーは登録にQRコード、メール、SMSリンクを使用できません。「Okta Verifyオプションの構成」を参照してください。
既存のフィッシング耐性のあるAuthenticatorを必須にするようにAuthenticator登録を構成します。この機能を有効にするには、Admin Console ［Settings（設定）］に移動し、［Require phishing-resistant authenticator to enroll additional Authenticator（追加Authenticatorの登録にフィッシング耐性のあるAuthenticatorを必須とする）］のトグルをクリックします。この早期アクセス機能を有効にすると、ユーザーは他のAuthenticatorに登録する前に、FIDO2（WebAuthn）またはOkta FastPassで認証する必要があります。

ユーザーは多要素認証に登録するとき、またはOktaに次回サインインするときに、フィッシング耐性のあるAuthenticatorに登録するよう求められます。ユーザーが後で別のAuthenticatorを追加する場合は、最初にフィッシング耐性のあるAuthenticatorで認証する必要があります。

ユーザーがフィッシング耐性のあるAuthenticatorに登録していないときは、Authenticator登録ポリシーで定義されている保証要件を満たす任意のAuthenticatorに登録できます。

ユーザーは、Okta FastPassを使用して、同じデバイス上の別のAuthenticator（FIDO2（WebAuthn）やハードウェアキーなど）に登録できます。また、Okta Verifyアプリを使用して、［Add account to another device（別のデバイスにアカウントを追加）］オプションを使用すると、他のデバイスの登録も可能です。Android、iOS、macOS、およびWindowsデバイスのエンドユーザー向けドキュメントを参照してください。
ユーザーは、FIDO2をサポートする以前に登録されたYubiKeyを任意のデバイスに接続し、そのデバイスでFIDO2（WebAuthn）またはOkta FastPassに登録できます。
ユーザーがFIDO2（WebAuthn）などのデバイスバウンドAuthenticatorを持っている場合、それを使用して同じデバイスでOkta FastPassに登録できます。その後、Okta Verifyで［Add account to another device（別のデバイスにアカウントを追加）］オプションを使用して他のデバイスを登録できます。