Windows向けDesktop MFAポリシーを構成してデプロイする
レジストリキーをWindowsエンドポイントにデプロイして、Desktop MFAの動作を構成します。
レジストリキーを構成する
PowerShellスクリプトを作成して、初期デプロイメントとアップデートにMDMソリューションを使用することができます。Microsoftドキュメントで「IntuneのWindows 10/11デバイスでPowerShellスクリプトを使用する」を参照してください。
デプロイメントに管理用テンプレート(ADMX)を使用する別のオプションもあります。「グループポリシーテンプレートを使用してWindows向けDesktop MFAをデプロイする」を参照してください。
構成に関する注記
-
Oktaでは、すべてのレジストリキーをHKLM\Software\Policies\Okta\Okta Device Accessに保存します(レジストリキー表に記載されている場合は除く)。
-
コマンドラインパラメーターを使ってOkta Verifyインストーラーをもう一度実行しても、既存のレジストリキー設定は変更されません。
ドメインコントローラーの負荷を軽減するために、MFARequiredListおよびMFABypassListの値は変更に最大10分かかる場合があります。
レジストリキー
|
レジストリキー |
説明 |
||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
名前:AdminContactInfo タイプ:REG_SZ デフォルト:なし |
ユーザーがコンピューターからロックアウトされた場合に管理者への連絡方法に関する情報を提供する構成可能な文字列。 例:Contact your Help Desk at help@org.com or call 1-800-xxx-xxxx。 |
||||||||||||
|
名前:AllowedFactors タイプ:REG_MULTI_SZ デフォルト:* |
ユーザーが認証に使用できる要素のリスト。 AllowedFactorsリストでは、UseDirectAuthの有効化も必要です。 この設定で取り得る値は次のとおりです。
要素のスペルが正しいことを確認してください。 AllowedFactorsリストに含まれる要素が、OfflineLoginAllowedおよびOnlineLoginAllowedレジストリ設定によってユーザーに示される要素と一致しない場合、ユーザーがコンピューターからロックアウトされる可能性があります。 |
||||||||||||
|
名前:CredProvidersToExclude タイプ:REG_MULTI_SZ デフォルト:空 |
プロバイダーのGUIDを指定して、ユーザーにカスタム資格情報プロバイダーを非表示にします。 Okta Desktop MFAの資格情報プロバイダーは、このキーを使っても非表示にできません。 最も一般的な資格情報プロバイダーを除外するには、以下のGUIDを使用してください。
|
||||||||||||
|
タイプ:REG_DWORD デフォルト:60 |
アクティブ化後のデバイス復旧PINの有効期間です。この期間は、ユーザーがPINを使用してサインイン試行を成功させると開始します。 値は分単位で指定します。最大値は7200(5日間)です。 「WindowsにDesktop MFAの復旧を有効にする」を参照してください。 |
||||||||||||
|
名前:DeviceRecoveryValidityInDays タイプ:REG_DWORD デフォルト:90 |
デバイスの復旧PINを生成するために使用されるデバイス復旧シークレットのローテーション頻度を指定します。 期間が終わると、このシークレットはデバイスの新しいPINを生成できなくなります。ユーザーのデバイスがOkta orgに接続すると、シークレットは自動的にローテーションされます。 デバイスがOkta orgに接続できない場合、シークレットはローテーションされません。ユーザーのデバイスが接続してシークレットをローテーションするまで、デバイスの新しい復旧PINは生成できません。 値は日単位で指定します。 |
||||||||||||
|
名前:ExcludePasswordCredProvider タイプ:REG_DWORD デフォルト:空 |
デフォルトでは、標準のWindowsパスワード資格情報プロバイダーは無効になっています。 ユーザーにWindowsパスワード資格情報プロバイダーを復元して表示するには、この値を0に設定します。 |
||||||||||||
|
名前:MaxLoginsWithOfflineFactor タイプ:REG_DWORD デフォルト:50 |
ユーザーがインターネットアクセスなしのオフラインMFA方式を使ってWindowsにサインインできる回数を定義します。 このポリシー設定は、コンピューターがオンライン状態でユーザーが認証にオフラインMFA方式を使用する場合も適用されます。 ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。代わりにオンラインサインイン方式を使って認証できるように、ユーザーにはインターネットへの接続が求められます。 |
||||||||||||
|
名前:MaxLoginsWithoutEnrolledFactors タイプ:REG_DWORD デフォルト:50 |
ユーザーがMFA方式を使わずにWindowsにサインインできる回数を定義します。 このポリシー設定により、新規ユーザーは設定されている回数だけMFA方式のセットアップを延期できます。 Oktaが有効なオンラインまたはオフラインMFA要素を検出すると、Okta Verifyはユーザーにその要素を使用するよう求めます。ユーザーがMFA要素を使用してサインインすると、このポリシー制限は期限切れになります。 ユーザーのサインイン試行が制限を超過すると、アクセスは拒否されます。 |
||||||||||||
|
名前:MFABypassList タイプ:REG_MULTI_SZ デフォルト:空 |
MFAによる認証が必要ないユーザーまたはActive Directoryグループのリスト。 ユーザーがMFARequiredListとMFABypassListの両方にリストされている場合は、MFABypassListキーが優先されます。 この設定で取り得る値は次のとおりです。
例:john.doe@company.com;IT_Admins;Finance_Team |
||||||||||||
|
名前:MFAGracePeriodInMinutes タイプ:REG_DWORD デフォルト:60 |
コンピューターのロック後にユーザーがMFAを使用する必要がない猶予期間。 MFAGracePeriodInMinutesを0に設定した場合、ユーザーはサインインのたびにMFAを使ったID検証を求められます。 猶予期間は、コンピューターのロック時にのみ適用されます。ユーザーアカウントを切り替えた、またはコンピューターを再起動した場合、ユーザーにMFAを使ったID検証が求められます。 パスワード自動入力を有効にしている場合、猶予期間は適用されません。 |
||||||||||||
|
名前:MFARequiredList タイプ:REG_MULTI_SZ デフォルト:* |
パスワード以外にMFAも使って認証する必用があるユーザーグループまたはActive Directoryグループのリスト。 コンピューターがオンライン状態になって組織のネットワークに接続されている(直接、またはVPNを使用)場合、ユーザーは少なくとも1回はWindowsにサインインする必要があります。この接続により、ユーザーのActive Directoryグループメンバーシップが解除されます。 このリストに含まれないユーザー(ローカルユーザーを含む)は、MFAを使って認証する必要はありません。 このリストのユーザーは、パスワード自動入力を使用してサインインする資格もあります。このリストに含まれないユーザーがデスクトップコンピューターにアクセスするには、パスワードを入力する必要があります。 この設定で取り得る値は次のとおりです。
例:john.doe@company.com;IT_Admins;Finance_Team |
||||||||||||
|
名前:NetworkTimeoutInSeconds タイプ:REG_DWORD デフォルト:15 |
この値は、検証のためのオンラインMFA要素のリストを取得する際のネットワークタイムアウトを設定します。 このタイムアウトは、ネットワークオペレーションのみに適用され、ユーザーインタラクションには適用されません。この設定は、ユーザーがDNSの断続的な停止やその他の接続の問題を抱えている場合に役立ちます。 デフォルト値は15秒です。最小値は5、最大値は60です。 |
||||||||||||
|
名前:OfflineLoginAllowed タイプ:REG_DWORD デフォルト:1 |
この値は、ユーザーがオフライン要素を使用してサインインできるかどうかを示します。 デフォルトでポリシーは1(true)に設定されています(つまり、使用可能なオフライン要素がユーザーに表示される)。 このポリシーを1に設定し、OnlineLoginAllowedを0(false)に設定すると、オフライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。この設定は、認証およびサインインフローにオフラインセキュリティキーを使用したいと考えているorgに適しています。 |
||||||||||||
|
名前:OnlineLoginAllowed タイプ:REG_DWORD デフォルト:1 |
この値は、ユーザーがオンライン要素を使用してサインインできるかどうかを示します。 デフォルトでポリシーは1(true)に設定されています(つまり、使用可能なオンライン要素がユーザーに表示される)。 このポリシーを1に設定し、OfflineLoginAllowedを0(false)に設定すると、オンライン要素のみがユーザーに表示され、ユーザーはそれを使用してサインインできます。オフライン要素は使用できません。 |
||||||||||||
|
タイプ:REG_DWORD デフォルト:0 |
この値は、パスワードの自動入力を有効にして、ユーザーがパスワード以外の要素を使用してデバイスに安全にサインインできるようにします。 パスワード自動入力はデフォルトでは無効(0)です。 パスワード自動入力では、Okta VerifyプッシュおよびFIDO2キーがAllowedFactorsとして指定されている場合に、これらがサポートされます。 Desktop MFAは常に、FIDO2キーPINを介したユーザー検証の強制適用を試みます。キーにPINがない場合、Desktop MFAはパスワード認証にフォールバックします。 |
||||||||||||
|
名前:SelfServicePasswordResetEnabled タイプ:REG_DWORD デフォルト:0 |
この値は、ユーザーがパスワードを忘れた場合にセルフサービスによるパスワードリセットを開始できるようにします。 セルフサービスによるパスワードリセットはデフォルトでは無効(0)です。 |
||||||||||||
|
名前:SelfServicePasswordResetErrorMessage タイプ:REG_SZ デフォルト:パスワードを更新できません。入力した値がドメインの要件(長さ、複雑度、履歴)を満たしていません。 |
セルフサービスによるパスワードリセットに失敗した場合にユーザーにカスタマイズされたエラーメッセージを表示するための構成可能な文字列。 |
||||||||||||
|
タイプ:REG_DWORD デフォルト:0 |
この値によって、ユーザーがFIDO2セキュリティキーを使用して認証できるように、Desktop MFAのFIDO2プロトコルが有効化されます。 UseDirectAuthキーをHKLM\Software\Okta\Okta Device Accessに保存します。 この設定はデフォルトでは無効(0)です。 Oktaユーザー名がMicrosoftユーザープリンシパル名(UPN)に一致しない場合は、ユーザープロファイルポリシーで複数の識別子を構成できます。これにより、ユーザーをUPN属性で識別できるようになります。この回避策を実装する手順は、このナレッジベースの記事を参照してください。 |
次の手順
以下の手順は、Desktop MFAに対する組織のニーズに応じて任意です。
Windowsにセルフサービスによるパスワードリセットを有効にする
Windows向けDesktop MFAに番号チャレンジを強制適用する
Desktop MFA for WindowsにFIDO2キーの使用を構成する