デバイス保証に高度なポスチャチェックを構成する

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

高度なポスチャチェック（［Advanced posture checks）］を使用すると、標準のデバイス保証ポリシーの機能を超えてデバイスセキュリティをより詳細に制御できます。この機能を利用すると、org固有のセキュリティ要件を反映した特定のデバイスポスチャ条件を定義することができます。これにより、デバイスが一連の条件をすべて正確に満たす場合にのみ、機密リソースへのアクセスが付与される安全なorgを構成できます。

開始する前の確認事項

• 開始するにはosqueryに関して基本レベルの熟練度が必要ですが、 AIアシスタントがクエリの作成と変更をお手伝いします。次のリソースを確認してください。

  • Osqueryスキーマのバージョン5.18.1

  • osqueryを使ったクエリの作成方法を説明するブログ

  • サンプルクエリ

• macOSデバイスは、次の最小要件を満たす必要があります。

  • macOSバージョン14.4以降

  • Okta Verify for macOS バージョン9.39.0以降

    Osqueryのサポートは、Okta Admin Console（設定（Settings） > ダウンロード（Downloads））からダウンロードしたOkta Verifyアプリを通じてのみ利用できます。

  • デバイスでシステム整合性保護が有効になっている必要があります。

  • デバイスがMicrosoft IntuneやJamf Proなどのモバイルデバイス管理（MDM）ツールを介して管理されていること

• Windowsデバイスは、次の最小要件を満たす必要があります。

  • Windows 10（22H2）以降、64ビット

  • Okta Verify for Windows バージョン6.7.0以降

  • デバイスの管理は、Microsoft IntuneやOmnissa Workspace ONEなどのMDMを介して行われます

ユーザーデバイスでカスタムのデバイスチェックを有効にする

ユーザーデバイスのオペレーティングシステムに応じた適切な手順に従います。

macOS

macOSデバイスでカスタムのosqueryチェックを有効にするには、MDMを使用して、構成プロパティを含むplistファイルでOkta Verifyをデプロイします。これにより、Okta Verifyがデバイスからカスタムチェックを収集できるようになります。

1. Okta Verify構成に次のキーを追加します。macOSデバイス向けのOkta Verify構成を参照してください。

   • OktaVerify.EnableOSQueryCustomChecks

   • OktaVerify.OSQueryAllowedDomains

   • OktaVerify.OSQueryCustomChecksTimeout

2. MDMを使用して、アプリ構成の変更をOkta Verifyにプッシュします。Okta VerifyをmacOSデバイスにデプロイするを参照してください。

3. Okta Verifyする。Okta Verifyがすでにデバイスにインストールされている場合は、再インストールします。

Windows

Windowsデバイスでカスタムosqueryチェックを有効にするには、MDMを使用してOkta Verifyをデプロイします。

1. EnableOSQueryCustomChecks構成値をTrueに設定してOkta VerifyをインストールするようにMDMを構成します。「 Okta VerifyWindowsデバイス向けの構成」の「EnableOSQueryCustomChecks」を参照してください。

2. osqueryプラグインマニフェストファイルを生成してインストールします。「osquery統合プラグインをインストールする」を参照してください。

3. MDMを使用して、アプリ構成の変更をOkta Verifyにプッシュします。Okta VerifyをWindowsデバイスにデプロイするを参照してください。

4. Okta Verifyする。Okta Verifyがすでにデバイスにインストールされている場合は、再インストールします。

5. 任意：環境によって信号収集のタイムアウトを長くする必要がある場合は、CollectionTimeoutレジストリ値を調整します。Okta Verifyで使用されるデフォルト値は5000ミリ秒です。

   注:

   有効なタイムアウトは、このレジストリ設定と各プラグインのマニフェストファイルに設定されているタイムアウト値のうち大きい方の値になります。どちらの値もミリ秒単位です。「向けエンドポイントセキュリティ統合プラグインを管理するWindows 」を参照してください。

   1. Windows管理者としてWindows レジストリエディター（Registry Editor）を開き、HKLM\SOFTWARE\Okta\Okta Verify\Integrationsに移動します。

   2. 右側のペインで右クリックし新規（New） > DWORD（32ビット）値（DWORD（32-bit）Value）を選択します。新しい値にCollectionTimeoutという名前を付けます。

   3. CollectionTimeoutエントリをダブルクリックして表記（Base）を10進数（Decimal）に設定し、希望する値をミリ秒単位で入力します。環境が高レイテンシーな場合やポリシーチェックが広範囲にわたる場合は、20000（20秒）を使用します。

OktaでOktaを有効化する

1. Admin Consoleでセキュリティ（Security） > デバイス統合（Device integrations）に移動します。

2. エンドポイントセキュリティ（Endpoint security）タブで、エンドポイント統合を追加（Add endpoint integration）をクリックし てosqueryを選択します。

3. プラットフォームを選択して保存（Save）をクリックします。

カスタムチェックを作成する

1. Admin Consoleで、セキュリティ（Security） > 高度なポスチャチェック（Advanced Posture Checks）に移動します。

2. カスタムチェック（Custom checks）タブで、カスタムチェックの追加（Add custom check）をクリックします。

3. ポスチャチェックを構成します。

   1. 名前と説明を入力します。

   2. デバイス保証ポリシーを構成する際には、このポスチャチェックを識別する変数を割り当てます。

   3. エンドポイントデバイスのオペレーティングシステムに応じて、 macOS または Windows を選択します。

   4. 標準のSQLを使用してクエリを記述します。クエリは1（成功）または0（失敗）のいずれかを返し、セミコロンで終わる必要があります。

      SELECT
        CASE
          WHEN global_state = 0 THEN 0
          ELSE 1
        END AS firewall_enabled
      FROM
        alf;
      

      クエリを運用環境orgにデプロイする前に、プレビュー環境で検証とテストを行います。

      macOSでクエリをテストするには、高度なポスチャチェック機能が有効になっているデバイスで次のコマンドを実行します。

      sudo /Applications/Okta\ Verify.app/Contents/XPCServices/OktaAuthenticationService.xpc/Contents/Resources/osqueryd --S --json "YOUR QUERY"

      注:

      Okta Verify for macOS 9.52.0で、バイナリファイルの名前が変更されました。Okta Verify for macOS 9.50以前のバージョンを実行しているデバイスに対してクエリを検証する場合は、検証クエリコマンドでOktaAuthenticationService.xpcをOSQueryService.xpcに変更します。

      Windowsでクエリをテストするには、高度なポスチャチェックが有効なデバイスの管理者コマンドプロンプトで次のコマンドを実行します。

      "C:\Program Files\Okta\Services\Authenticator Service\osqueryi.exe" --S --json "YOUR QUERY"

      クエリの結果では、JSONオブジェクトに1つのエントリのみを含めて返す必要があります。上記のサンプルクエリは次の出力を返します。

      [
          {"firewall_enabled": "1"}
      ]

   5. デバイス保証ポリシーを構成する際に、ポスチャチェックをチェックボックスまたはテキストフィールドとして表示できます。ユーザーインターフェイスフォーム要素（User interface form element）で、チェックボックス（Checkbox）またはテキストボックス（Textbox）を選択します。

4. 任意。デバイスのポスチャ評価が失敗した場合にブラウザーに表示する修復手順を構成します。デバイス保証のカスタム修復手順を構成するを参照してください。

5. ポスチャチェックの保存（Save posture check）をクリックします。

カスタムチェックをデバイス保証ポリシーに追加する

1. デバイス保証ポリシーを追加するか、デバイス保証ポリシーを編集します。

2. macOSまたはWindowsデバイスのオプションを構成します。

3. Custom posture check（カスタムポスチャチェックセクションで、ドロップダウン メニューから1つ以上のポスチャチェックを検索して選択します。

4. 有効（Enabled）を選択して、ポリシーに追加するチェックを確認します。

5. 保存（Save）をクリックします。

デバイス保証ポリシーをアプリサインインポリシーに追加する

1. デバイス保証をアプリサインインポリシーに追加するの手順に従います。

2. デバイス保証ポリシーは（Device assurance policy is）条件には、カスタムチェックを含むデバイス保証ポリシーを選択します。

既知の問題と制限事項

SSO拡張機能がデプロイされたSafariを使用してユーザーが認証している場合、カスタムosqueryチェックを使用するデバイス保証ポリシーは機能しません。回避策は、別のブラウザーを使用することです。

関連項目

デバイス保証

デバイス保証ポリシーを追加する