Okta Admin ConsoleのMFAを有効にする

Admin Consoleにアクセスする際にMFAを必須にします。必要なAuthenticatorを管理者が登録していなかった場合、Admin Consoleへのアクセスを試みると要素の登録が求められます。

開始する前に

orgのAuthenticatorを少なくとも2つ有効にします。「多要素認証」を参照してください。Okta FastPassFIDO2(WebAuthn).のようなフィッシング耐性のあるAuthenticatorを少なくとも1つ有効にすることをお勧めします。

ポリシーでMFAを有効にする

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [Okta Admin Console]ポリシーを開き、[Admin App Policy(管理者アプリポリシー)]ルールを[Edit(編集)]モードで開きます。
  3. ルールを編集します。「認証ポリシールールを追加する」を参照してください。次の条件を構成します。
    1. [User must authenticate with(ユーザーが認証に使用する要素)]:いずれかの[2 factor types(2要素タイプ)]オプションを選択します。
    2. [Possession factor constraints are(所有要素の制約)]:所有要素の必要な特性を指定します。フィッシング耐性のある所有要素を必須にすることを推奨します。
    3. [Prompt for authentication(認証のためのプロンプト)]:Oktaがユーザーに認証を求める頻度を選択します。[every time the user signs in to the resource(ユーザーがリソースにサインインするたび)]に認証を求めることを推奨します。
  4. [Save(保存)]をクリックします。
  5. これらの手順を繰り返して、MFAを必須とするようにCatch-all(キャッチオール)ルールを編集します。

Admin ConsoleへのアクセスにMFAを強制適用する

この機能を有効にするには、次のことを行う必要があります。

  • MFAに必要なAuthenticatorがあることを確認する。

  • 管理者が認証要件を満たせるように、MFA登録ポリシーで十分な要素が有効になっていることを確認する。

  • すべての管理者が2つ以上の要素に登録されていることを確認する。

この機能は、Admin Consoleにアクセスする際にMFAを必須にします。単一要素でAdmin Consoleを保護する認証ポリシールールを自動的に2要素に更新します。新しいルールも2要素にすることが求められます。

この機能を無効にしても、2要素に更新されたポリシーが自動的に単一要素に戻ることはありません。

Identity Governance管理者アプリのMFAを強制適用する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

orgがOkta Identity Governanceを利用しているときは、これらのファーストパーティアプリにアクセスする管理者にMFAを求めることができます。この機能は、[Enforce MFA to access the Admin Console(Admin ConsoleへのアクセスにMFAを強制適用する)]機能が有効になっている場合にのみ使用できます。Admin Consoleでこの機能を有効にするには、[Settings(設定)] [Features(機能)]に移動します。[機能]ページでこの機能が使用できない場合は、サポートに連絡してください。

この機能を有効にすると、Admin Consoleに対する[Admin App policy(管理者アプリポリシー)]が次のIdentity Governanceアプリに適用されます。

  • Okta Access Certifications
  • Okta Entitlement Management
  • Okta Access Requests Admin

この機能を無効にしても、変更は自動的に元に戻りません。単一要素アクセスを許可するには、ルールを手動で編集する必要があります。