デバイス保証ポリシーを追加する

サポートするプラットフォームごとに、評価するデバイス属性を1つ以上定義できます。追加できるデバイス保証ポリシーの数に制限はありませんが、デバイス属性の各セットには一意の名前が必要です。

このタスクを開始する

  1. Admin Consoleで、[Security(セキュリティ)][Device Assurance Policies(デバイス保証ポリシー)]に移動します。

  2. [Add a policy(ポリシーを追加)]をクリックします。

  3. [Add device assurance policy(デバイス保証ポリシーを追加)]ダイアログで、次の情報を入力します。

    • [Policy name(ポリシー名)]:定義するデバイス属性のセットの一意の名前を指定します。

    • [Platform(プラットフォーム)]:デバイス属性を設定するデバイスプラットフォームを選択します。

      • デバイス保障は、そのプラットフォームがエンドユーザーのデバイスと同じである場合にのみ適用されます。たとえば、認証ポリシーにWindowsのデバイス保証が追加されている場合、エンドユーザーがmacOSデバイスからアプリにアクセスしてもルールは適用されません。プラットフォームごとに個別の認証ポリシーを作成します。

    • [Device attribute provider(s)(デバイス属性プロバイダー)]:ポリシーで状態プロバイダーとしてOkta Verify、Chrome Device Trust、または両方のサービスを使用するかを選択します。両方をプロバイダーとして選択すると、信号が一部重複する可能性があります。その場合は、Oktaからの信号が優先されます。

  4. プラットフォーム固有のオプションを選択します。

    プラットフォーム プラットフォーム固有のオプション
    Android
    • [Minimum Android version(Androidの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。

    • [Lock screen(画面をロック)]:チェックボックスを選択すると、デバイスで画面ロックが必須となります。また、生体認証が必要な場合も、このチェックボックスを選択します。

    • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、デバイスディスクの暗号化が必須となります。Android 8または9を搭載したデバイスは、フルディスク暗号化をサポートしています。Android 10以降を搭載したデバイスは、以前のバージョンからアップグレードした場合にのみフルディスク暗号化をサポートします。Android 10以降を搭載したデバイスは、ファイルベースの暗号化を使用します。

    • [Hardware keystore(ハードウェアキーストア)]:チェックボックスを選択すると、デバイスによるハードウェア裏付けキーのサポートが必須となります。

    • [Rooting(ルート化)]:チェックボックスを選択すると、Oktaがルート化されたデバイスに対するアクセスを拒否するようになります。

    ChromeOS

    • [Device management(デバイス管理)]:チェックボックスを選択する場合、ChromeOSのデバイス管理へのデバイスの登録が必須となります。

    • [Minimum ChromeOS version(ChromeOSの最小バージョン)]:ChromeOSの最小バージョンの詳細を入力します。

    • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、デバイスディスクの暗号化が必須となります。

    • [Firewall(ファイアウォール)]:チェックボックスを選択すると、ファイアウォールの有効化が必須となります。

    • [Screen lock password(画面ロックパスワード)]:このオプションを選択するときは、ロック解除のためのパスワードが必要です。

    • [Screen lock(画面ロック)]:画面ロックを許可するには、このチェックボックスを選択します。

    • [Minimum Chrome browser version(Chromeブラウザーの最小バージョン)]:Chromeブラウザーの最小バージョンの詳細を入力します。

    • [Device enrollment domain(デバイス登録ドメイン)]:デバイス登録のドメインを追加します。

    • [Chrome DNS client(Chrome DNSクライアント)]:Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Chrome Remote Desktop app(Chrome Remote Desktopアプリ)]:Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

    • [Safe Browsing protection level(セーフブラウジング保護レベル)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Site Isolation(サイト分離)]:Site Isolationを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Password protection warning(パスワード保護警告)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Enterprise-grade URL scanning(エンタープライズグレードURLスキャニング)]:エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Key trust level for ChromeOS(ChromeOSのキー信頼レベル)]:このドロップダウンメニューから[Device in verified mode(検証済みモードのデバイス)]を選択します。

    iOS
    • [Minimum iOS version(iOSの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。

    • [Lock screen(画面をロック)]:チェックボックスを選択すると、デバイスでパスコードが要求されるようになります。また、Touch IDまたはFace IDが必要な場合も、チェックボックスを選択します。

    • [Jailbreak(ジェイルブレイク)]:チェックボックスを選択すると、Oktaがジェイルブレイクされたデバイスに対するアクセスを拒否するようになります。
    macOS

    • [Minimum macOS version(macOSの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。

    • [Lock screen(画面をロック)]:チェックボックスを選択すると、デバイスでパスコードまたはTouch IDが要求されるようになります。

    • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、ディスクの暗号化が必須となります。この設定はハードウェアディスク暗号化のみをチェックします。FileVaultのステータスはチェックしません。ディスク暗号化では、内部ボリュームとシステムボリュームのみが評価されます。非表示のボリューム、削除可能なボリューム、自動マウントされたボリューム、または復元に使用されるボリュームは評価されません。

    • [Secure Enclave]:チェックボックスを選択すると、デバイスによるSecure Enclaveのサポートが必須となります。

    デバイス状態プロバイダーとしてChrome Device Trustを選択した場合、プラットフォーム属性に加えて次のデバイス属性を構成できます。

    • [Firewall(ファイアウォール)]:ファイアウォールを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Minimum Chrome browser version(Chromeブラウザーの最小バージョン)]:Chromeブラウザーのバージョンの詳細を入力します。

    • [Device enrollment domain(デバイス登録ドメイン)]:デバイス登録のドメインを追加します。

    • [Chrome DNS client(Chrome DNSクライアント)]:Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Chrome Remote Desktop app(Chrome Remote Desktopアプリ)]:Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

    • [Safe Browsing protection level(セーフブラウジング保護レベル)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Site Isolation(サイト分離)]:Site Isolationを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Password protection warning(パスワード保護警告)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Enterprise-grade URL scanning(エンタープライズグレードURLスキャニング)]:エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Key trust level for Chrome(Chromeのキー信頼レベル)]:ドロップダウンメニューからプリセット値を選択します。

    Windows

    • [Minimum Windows version(Windowsの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。

    • [Windows Hello must be enabled(Windows Helloを有効にする必要がある)]:このオプションを選択した場合、ユーザーは自分のデバイスでWindows Helloを有効にしなければなりません。ただし、ユーザーはアプリにサインインするのにWindows Helloを使用したり、パスワードを入力したりする必要はありません。

    • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、ディスクの暗号化が必須となります。[Devices(デバイス)]ページ([Directory(ディレクトリ)] [Devices(デバイス)])とOkta Verify[Device Health(デバイスの正常性)]ページでは、システムボリュームでBitLockerがアクティブで有効化されている場合にのみデバイスは暗号化済みとしてマークされます。

    • [Trusted Platform Module]:チェックボックスを選択すると、デバイスによるTrusted Platform Moduleのサポートが必須となります。

    デバイス状態プロバイダーとしてChrome Device Trustを選択した場合、プラットフォーム属性に加えて次のデバイス属性を構成できます。

    • [Lock screen secured(ロック画面保護)]:ロック画面をパスワード、Windows Hello、またはスマートカードで保護する必要がある場合は、このチェックボックスを選択します。

    • [Firewall(ファイアウォール)]:ファイアウォールを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Minimum Chrome browser version(Chromeブラウザーの最小バージョン)]:Chromeブラウザーのバージョンの詳細を入力します。

    • [Device enrollment domain(デバイス登録ドメイン)]:デバイス登録のドメインを追加します。

    • [Chrome DNS client(Chrome DNSクライアント)]:Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Chrome Remote Desktop app(Chrome Remote Desktopアプリ)]:Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

    • [Safe Browsing protection level(セーフブラウジング保護レベル)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Site Isolation(サイト分離)]:サイト分離を有効化する必要がある場合は、このチェックボックスを選択します。

    • [Password protection warning(パスワード保護警告)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

    • [Enterprise-grade URL scanning(エンタープライズグレードURLスキャニング)]:エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Secure Boot(セキュアブート)]:Secure Bootを有効化する必要がある場合は、このチェックボックスを選択します。

    • [Windows machine domain(Windowsマシンドメイン)]:ドメインを入力します。

    • [Windows user domain(Windowsユーザードメイン)]:ドメインを入力します。

    • [Third party software injection(サードパーティソフトウェア挿入)]:サードパーティソフトウェアの挿入をブロックする必要がある場合は、このチェックボックスを選択します。

    • [CrowdStrike - Agent ID(エージェントID)]:CrowdStrikeのエージェントIDを入力します。

    • [CrowdStrike - Customer ID(カスタマーID)]:CrowdStrikeのカスタマーIDを入力します。

    • [Key trust level for Chrome(Chromeのキー信頼レベル)]:ドロップダウンメニューからプリセット値を選択します。

  5. [Save(保存)]をクリックします。

これらの信号は、Okta VerifyとChrome Device Trustのいずれかから収集できます。デバイス状態プロバイダーとしてOkta VerifyとChrome Device Trustの両方を選択した場合、デバイス保障ポリシーの[Okta Verify]セクションに次の信号属性が表示されます。

  • 最小OSバージョン

  • 画面ロック

  • ディスク暗号化

作成するデバイス保障ポリシーに適した属性が選択されていることを確認してください。

関連項目

デバイス保証

デバイス保証のためのユーザーヘルプを追加する

認証ポリシーにデバイス保証を追加する

デバイス保証ポリシーを追加する

ChromeOSおよびGoogle Chrome向けのデバイス保障ポリシーを追加する

デバイス保証ポリシーを削除する