MFA登録ポリシーの必須オーセンティケーターを設定する
orgに対して必須のオーセンティケーターを1つ以上有効にしておくと、指定したポリシーに割り当てられるエンドユーザーが確実にMFAで登録されるようになります。
必須オーセンティケーターを設定したら、サインオンポリシーを更新して、ユーザーが次回サインインするときにオーセンティケーターに登録するように求めることもできます。
Okta HealthInsightタスクの推奨事項
必須オーセンティケーターを設定して、特定のポリシーに割り当てられているエンドユーザーがオーセンティケーターに登録されるようにします。
| Oktaの推奨事項 |
MFA登録ポリシーあたり1つ以上のオーセンティケーターを必須とします。 |
| セキュリティへの影響 |
中 |
| エンドユーザーへの影響 |
なし MFA登録ポリシーの一部としてオーセンティケーターが必須に設定されている場合、エンドユーザーは、orgにサインインする前にオーセンティケーターに登録する必要があります。設定は、指定したオーセンティケーターによって異なります。 |
MFA登録ポリシーの必須オーセンティケーターを設定する
-
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
-
[Enrollment(登録)]タブをクリックします。
- ポリシーを選択し、[Edit(編集)]をクリックして変更します。
- 有効なオーセンティケーターのリストから、少なくとも1つの要素を[Required(必須)]に設定します。
- [Update Policy(ポリシーを更新)]をクリックして、MFA登録ポリシーへの変更を保存します。
プロンプトが表示されたときにユーザーがオーセンティケーターに登録できるようにする登録ポリシールールを設定する
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Enrollment(登録)]タブをクリックします。
- リストからアクティブなポリシールールのいずれかを選択し、[Edit(編集)]をクリックします。[Edit Rule(ルールを編集)]ページが表示されます。
- THEN[Enrollment is(登録)]の条件で、[Allow if required authenticators are missing(必須オーセンティケーターがない場合は許可)]を選択します。
- [Update Rule(ルールを更新)]をクリックすると変更が保存されます。
オーセンティケーターの入力を求めるサインオンポリシールールを設定する
- Okta Admin Consoleで、[Security(セキュリティ)]>[Okta Sign-on Policy]に移動します。
-
ルールを追加するポリシーを選択します。
-
既存のルールを選択し、[Edit(編集)]をクリックします。
- [Then Access is(アクセスの可否)]:前のドロップダウンメニューの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。
- [Prompt for Factor(要素を求める)]:[Password / IDP(パスワード/IDP)]または[Password / IDP / any factor allowed by app sign on rules(アプリのサインオン・ルールで許可されているパスワード/IDP/任意の要素)]を選択します。
- [Update Rule(ルールを更新)]をクリックします。
「グローバルセッションポリシールールを追加する」を参照してください。