Windows向けDesktop MFA
Desktop MFA for Windowsは、Windowsのサインインプロセスにセキュリティレイヤーを追加します。これにより、ユーザーは物理または仮想のWindowsマシンにアクセスするために、追加の要素を使用してIDを証明する必要があります。
Admin ConsoleでDesktop MFAを構成した後、モバイルデバイス管理(MDM)ソリューションを使ってデプロイします。これにより、パッケージ化された1つのインストーラーがデスクトップコンピューターにプッシュされます。ユーザーエクスペリエンスは、有効化したオプションと、orgのアプリサインインポリシーの構成に応じて異なります。
Desktop MFAでは、以下のAuthenticatorがサポートされます。
-
オンライン:Okta Verifyプッシュ、Okta Verify TOTP(時間ベースのワンタイムパスワード)、またはFIDO2セキュリティキー。
-
オフライン:Okta Verify TOTPまたはOATH準拠のセキュリティキー。
Desktop MFA for Windowsのその他の機能:
-
デスクトップパスワード自動入力:ユーザーはパスワードレスで認証して、Windowsシステムにアクセスできるようになります。ユーザーは、登録済みのモバイルデバイスへのプッシュ通知を通じて認証します。FIDO2セキュリティキーを使用することもできます。
-
セルフサービスによるパスワードリセット:ユーザーはWindowsサインイン画面から直接パスワードリセットを開始できます。この機能は、ロックアウトを防ぎ、ITヘルプデスクの負担を軽減するのに役立ちます。
開始する前に
次の要件が満たされていることを確認します。
-
Okta Identity Engine orgを利用できる。
-
WindowsコンピューターがWindows 11または Windows 10(21H2)以降を実行していること。詳細については、「Okta Verifyでサポートされるプラットフォーム」を参照してください。
-
Azure DirectoryまたはMicrosoft Entra IDが構成されている。
-
Windows仮想マシンまたはデバイスがActive DirectoryまたはMicrosoft Entra IDに接続されている。リモートデスクトッププロトコル(RDP)アクセスがサポートされていない。
-
Okta Verifyが、orgのAuthenticatorとして構成されていること。
-
Okta VerifyPush通知が有効である。
-
ユーザーのモバイルデバイスにOkta Verifyがインストールされている。
-
Group PolicyやSCCMなどのMDMソリューションがセットアップされ、利用可能である。
-
.NET 4.8がインストールされている。
-
セキュリティ上の理由から、OktaはOkta Verifyとそのエンドポイント間のトラフィックの検査や変更を許可していません。SSLプロキシを使用するときは、組織のデフォルトのOktaドメインを検査から除外します。Oktaドメインは、通常は*.okta.comまたは*.oktapreview.comです。Oktaドメインの完全なリストについては、「Okta IPアドレスへのアクセスを許可する」を参照してください。
タスク
Desktop MFAのタスクは2つのセクションに分かれています。まず、管理者側でDesktop MFAアプリをセットアップし構成します。その後、ユーザーのサインインエクスペリエンスをカスタマイズすることができます。