デバイス保証に高度なポスチャチェックを構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

［Advanced posture checks（高度なポスチャチェック）］を使用すると、標準のデバイス保証ポリシーの機能を超えてデバイスセキュリティをより詳細に制御できます。この機能を利用すると、org固有のセキュリティ要件を反映した特定のデバイスポスチャ条件を定義することができます。これにより、デバイスが一連の条件をすべて正確に満たす場合にのみ、機密リソースへのアクセスが付与される安全なorgを構成できます。

開始する前に

• 次の要件が満たされていることを確認してください。

  • ユーザーデバイスには、macOSバージョン14.4以降が必要です。

  • ユーザーのデバイスにOkta Verify 9.39.0以降がインストールされていなければなりません。

• Osqueryは、Okta Admin Console（［Settings（設定）］［Downloads（ダウンロード）］）からダウンロードして利用できるOkta Verifyパッケージを介してのみサポートされます。

• 始めるには、osqueryに関する基本レベルの熟練度が必要です。AIアシスタントがクエリの作成と変更をお手伝いします。次のリソースを確認してください。

  • Osqueryスキーマのバージョン5.14.1

  • osqueryを使ったクエリの作成方法を説明するブログ

  • サンプルクエリ

ユーザーデバイスでカスタムのデバイスチェックを有効にする

macOSデバイスでカスタムのosqueryチェックを有効にするには、デバイス管理ソリューション（MDM）を使用して、構成プロパティを含むplistファイルでOkta Verifyをデプロイします。これにより、Okta Verifyがデバイスからカスタムチェックを収集できるようになります。

1. Okta Verify構成に次のキーを追加します。「macOSデバイス向けのOkta Verify構成」を参照してください。

   • OktaVerify.EnableOSQueryCustomChecks

   • OktaVerify.OSQueryAllowedDomains

2. MDMを使用して、アプリ構成の変更をOkta Verifyにプッシュします。「Okta VerifyをmacOSデバイスにデプロイする」を参照してください。

3. Okta Verifyをインストールする。アプリがすでにデバイスにインストールされている場合は、再インストールを試行します。

Oktaでosqueryを有効化する

1. Admin Consoleで［Security（セキュリティ）］［Device integrations（デバイス統合）］に移動します。

2. ［Endpoint security（エンドポイントセキュリティ）］タブで、［Add endpoint integration（エンドポイント統合を追加）］をクリックし て［osquery］を選択します。

3. プラットフォームを選択して保存します。

カスタムチェックを作成する

1. Admin Consoleで、［Security（セキュリティ）］［Advanced posture checks（高度なポスチャチェック）］に移動します。

2. ［カスタムチェック］タブで、［Add custom check（カスタムチェックの追加）］をクリックします。

3. ポスチャチェックを構成します。

   1. 名前と説明を入力します。

   2. デバイス保証ポリシーを構成する際には、このポスチャチェックを識別する変数を割り当てます。

   3. ［macOS］を選択します。

   4. 標準のSQL形式を使用してクエリを記述します。クエリは「1（合格）」または「0（不合格）」を返す必要があります。クエリはセミコロンで終わります。

      コピー

      SELECT
        CASE
          WHEN global_state = 0 THEN 0
          ELSE 1
        END AS firewall_enabled
      FROM
        alf;
      

      クエリを運用環境にデプロイする前に、プレビュー環境で検証とテストを行います。［Advanced Posture Checks（高度なポスチャチェック）］が有効なデバイスについては、ターミナルプロンプトから次のコマンドを実行します。

      コピー

      /Applications/Okta\ Verify.app/Contents/XPCServices/OSQueryService.xpc/Contents/Resources/osqueryd --S --json "YOUR QUERY"

      クエリの結果では、JSONオブジェクトに1つのエントリのみを含めて返す必要があります。上記のサンプルクエリは次の出力を返します。

      コピー

      [
          {"firewall_enabled": "1"}
      ]

   5. デバイス保証ポリシーを構成する際に、ポスチャチェックをチェックボックスまたはテキストフィールドとして表示できます。［User interface form element（ユーザーインターフェイスフォーム要素）］で、［Checkbox（チェックボックス）］または［Textbox（テキストボックス）］を選択します。

4. 任意。デバイスのポスチャ評価が失敗した場合にブラウザーに表示する修復手順を構成します。構成はカスタムチェックの作成中や作成後に実行できます。「デバイス保証のカスタム修復手順を構成する」を参照してください。

5. ［Save posture check（ポスチャチェックの保存）］をクリックします。

カスタムチェックをデバイス保証ポリシーに追加する

1. デバイス保証ポリシーを追加するか、デバイス保証ポリシーを編集します。

2. macOSデバイスのオプションを構成します。

3. ［Custom posture check（カスタムポスチャチェック］セクションで、ドロップダウン メニューから1つ以上のポスチャチェックを検索して選択します。

4. ［Enabled（有効）］を選択して、ポリシーに追加するチェックを確認します。

5. ［Save（保存）］をクリックします。

デバイス保証ポリシーを認証ポリシーに追加する

1. 「デバイス保証を認証ポリシーに追加する」の手順に従います。

2. ［Device assurance policy is（デバイス保証ポリシーは）］条件には、カスタムチェックを含むデバイス保証ポリシーを選択します。

関連項目

デバイス保証

デバイス保証ポリシーを追加する