Windows向けエンドポイントセキュリティ統合プラグインを管理する

エンドポイントセキュリティ統合プラグインでは、Okta Verifyが実行されているWindowsデバイスから信頼シグナルを収集できるようにすることで、Oktaエンドポイントセキュリティ統合の機能を拡張します。

モバイルデバイス管理(MDM)ツールを使用して、Windowsデバイスで(たとえばPowerShellスクリプトを使用して)プラグインを構成できます。これらのスクリプトを実行して、デバイスごとにプラグインをインストールおよびアンインストールすることができます。これにより、収集するデバイスシグナルを指定できます。

Windowsデバイスでは、プラグインは%PROGRAMDATA%\Okta\OktaVerify\Pluginsフォルダーにあります。

開始する前に

  • エンドポイントセキュリティ統合をセットアップします。 「エンドポイントセキュリティ統合を開始する」参照してください。

  • Okta FastPassを有効にします。 「Okta FastPassを有効にする」を参照してください。

  • WindowsデバイスがOktaに登録されていることを確認します。「デバイス登録」を参照してください。

  • クライアントソフトウェアが最小要件を満たしていることを確認します。

    • Okta Verify for Windows 3.0以降

    • CrowdStrike Falcon Agent 6.14以降

WSCエンドポイントセキュリティ統合プラグインをインストールする

デフォルトでは、Okta Verifyのインストール時にWindowsセキュリティセンター(WSC)プラグインが自動的にインストールされます。

何らかの理由でプラグインを後で再インストールする必要がある場合は、現在のバージョンをアンイストールしてからこのスクリプトを使用してください。

コピー 
$content = "{`r`n`t`"name`": `"com.okta.windowsSecurityCenter`",`r`n`t`"description`": `"Okta provided integration collecting signals through the Windows Security Center APIs.`",`r`n`t`"type`": `"DEFAULT`",`r`n`t`"format`": `"JSON`",`r`n`t`"availabilityChecks`": [`r`n`t`t{`r`n`t`t`t`"type`": `"SERVICE_RUNNING`",`r`n`t`t`t`"value`": `"wscsvc`"`r`n`t`t}`r`n`t]`r`n}"
$path = $env:ProgramData + "\Okta\OktaVerify\Plugins\"
$filePath = $path + "com.okta.windowsSecurityCenter.json"
if (-not (Test-Path $path))
{
New-Item $path -ItemType Directory
}
$content | Out-File -FilePath $filePath

PowerShellスクリプトは、次のJSONプラグインファイルを構成します。

コピー 
{
  "name": "com.okta.windowsSecurityCenter",
  "description": "Okta provided integration collecting signals through the Windows Security Center APIs.",
  "type": "DEFAULT",
  "format": "JSON",
  "availabilityChecks": [
    {
      "type": "SERVICE_RUNNING",
      "value": "wscsvc"
    }
  ]
}

CrowdStrikeエンドポイントセキュリティ統合プラグインをインストールする

CrowdStrikeプラグインはOkta Verifyのインストール時に自動的にインストールされません。インストールシナリオに基づいて、現在のバージョンが存在する場合はそれをアンインストールしてから、適切なインストール手順に従います。

Okta VerifyWindowsデバイスにデプロイする

このシナリオでは、PowerShellスクリプトを使用しないでください。代わりに、ご使用の管理ツール(GPO、MDMソフトウェア)で提供されているコマンドラインを使用して、EnableZTAPluginフラグをインストールコマンドに含めます。

インストールオプションについては、「WindowsデバイスにOkta Verifyをデプロイする」を参照してください。

その他のすべてのデプロイメントのシナリオ

他のシナリオには以下が含まれます。

  • 管理者が管理ツールを通じてインストールするのではなく、エンドユーザーが自分のデバイスにOkta Verifyをインストールしました。
  • Okta Verifyをデバイスにインストールした後で、機能を有効または無効にする必要がある。

以下のPowerShellスクリプトを使用します。

コピー 
$content = "{`r`n`t`"name`": `"com.crowdstrike.zta`",`r`n`t`"description`": `"Okta provided integration with CrowdStrike Falcon endpoint collecting the zta score.`",`r`n`t`"type`": `"FILE`",`r`n`t`"format`": `"JWT`",`r`n`t`"location`": `"%ProgramData%\\CrowdStrike\\ZeroTrustAssessment\\data.zta`",`r`n`t`"availabilityChecks`": [`r`n`t`t{`r`n`t`t`t`"type`": `"SERVICE_RUNNING`",`r`n`t`t`t`"value`": `"csagent`"`r`n`t`t}`r`n`t]`r`n}"
$path = $env:ProgramData + "\Okta\OktaVerify\Plugins\"
$filePath = $path + "com.crowdstrike.zta.json"
if (-not (Test-Path $path))
{
New-Item $path -ItemType Directory
}
[System.IO.File]::WriteAllText($filePath, $content)

PowerShellスクリプトは、次のJSONプラグインファイルを作成します。

コピー 
{
  "name": "com.crowdstrike.zta",
  "description": "Okta provided integration with CrowdStrike Falcon endpoint collecting the zta score.",
  "type": "FILE",
  "format": "JWT",
  "location": "%ProgramData%\\CrowdStrike\\ZeroTrustAssessment\\data.zta",
  "availabilityChecks": [
    {
      "type": "SERVICE_RUNNING",
      "value": "csagent"
    }
  ]
}

osquery統合プラグインをインストールする

高度なポスチャチェック機能には、osquery統合プラグインが必要です。このプラグインはOkta Verifyのインストール時に自動的にインストールされません。

プラグインでは、許可されたドメインのリストを含むプラグインマニフェストファイルとともにEnableOSQueryCustomChecks構成値を設定する必要があります。「Windowsデバイス向けのOkta Verify構成」のEnableOSQueryCustomChecksを参照してください。

マニフェストファイルを生成するには、次のPowerShellスクリプトを使用します。

コピー 
$manifest = [ordered]@{
    name           = "com.okta.device.osquery"
    description    = "Okta provided integration collecting signals through osquery."
    type           = "com.okta.device.osquery"
    format         = "JSON"
    timeout        = 10000
    allowedDomains = @("okta.okta.com", "okta.example.com") # Add your allowed domains here
}
$filePath = "$env:ProgramData\Okta\OktaVerify\Plugins\com.okta.device.osquery.json"
$content = $manifest | ConvertTo-Json
$utf8 = New-Object System.Text.UTF8Encoding($false)
[System.IO.File]::WriteAllText($filePath, $content, $utf8)

マニフェストファイルの例を以下に示します。

コピー 
{
  "name": "com.okta.device.osquery",
  "description": "Okta provided integration collecting signals through osquery.",
  "type": "com.okta.device.osquery",
  "format": "JSON",
  "timeout": 10000,
  "allowedDomains": [
    "okta.okta.com", 
    "okta.example.com"
  ]
}

エンドポイントセキュリティ統合プラグインをアンインストールする

新しいバージョンをインストールする前に、常に現在のエンドポイントセキュリティ統合プラグインをアンインストールしてください。

何らかの理由でWindowsコンピューターからエンドポイントセキュリティ統合プラグインをアンインストールするには、次のPowerShellスクリプトを使用します。

コピー 
$path = $env:ProgramData + "\Okta\OktaVerify\Plugins\[JSON_FILE_NAME]"
if ((Test-Path $path))
{
Remove-Item -Path $path
}

PowerShellスクリプトの[JSON_FILE_NAME]を該当するJSONファイルに置き換えます。

  • Windowsセキュリティセンター:com.okta.windowsSecurityCenter.json
  • CrowdStrikecom.crowdstrike.zta.json
  • osquery:com.okta.device.osquery.json

次の手順