Desktop MFA for macOSにFIDO2キーの使用を構成する

FIDO2(WebAuthn)Authenticatorをセットアップすると、ユーザーがセキュリティキーを使用してmacOSデバイスに安全にサインインできるようになります。Admin Consoleでこれらのキーを登録することも、ユーザーがOkta End-User Dashboardで登録することもできます。

Yubicoは、ユーザーのデータとorgの構成が事前登録されているYubiKeyを新規ユーザーに直接提供することもできます。

PINのサポート

Desktop MFA for macOSでは、PIN/指紋あり/なしのFIDO2 YubiKeyがサポートされます。

認証ポリシーで生体認証による[User verification(ユーザー検証)]を有効にしている場合は、FIDO2(WebAuthn)設定でも[User verification(ユーザー検証)]を有効にしていることを条件に、ユーザーはFIDO2キーを使用して自分のIDを確認できます。

PINと生体認証でYubiKeyを使用するには、FIDO2(WebAuthn)Authenticator設定と認証ポリシーで[User verification(ユーザー検証)][Required(必須)]に設定します。「認証ポリシー」を参照してください。

タスク

FIDO2(WebAuthn)Authenticatorをセットアップする

ユーザーがFIDO2キーを使用して認証できるようにするには、Admin ConsoleFIDO2(WebAuthn)Authenticatorをセットアップします。すでにFIDO2(WebAuthn)Authenticatorを追加している場合、もう1つ追加することはできません。

既存のFIDO2(WebAuthn)Authenticatorの設定がorgに適していることを確認してください。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Add authenticator(Authenticatorを追加)]をクリックします。

  3. Authenticatorのリストで、FIDO2(WebAuthn)の下にある[Add(追加)]をクリックします。

  4. [一般設定]ページで、[Edit(編集)]をクリックします。

  5. [設定]で、ドロップダウンメニューを使用して[User verification(ユーザー検証)]方法を選択します。

    設定の下の内容を読み、各ユーザー検証タイプの詳細な処理内容を確認します。FIDO2キーによるユーザー認証にPINまたは生体認証を必要にしたい場合は、[Required(必須)]を推奨します。

  6. [Save(保存)]をクリックします。

FIDO2(WebAuthn)authenticatorをセットアップしたら、各ユーザー向けにYubiKeyを個別に構成します。ユーザーは登録を自分で完了することもできます。「ユーザーが自分のFIDO2キーを登録する」を参照してください。

FIDO2キーを構成する

ユーザー向けにFIDO2キーを準備する方法は3つあります。orgに最適な登録方法を以下から選択します。

  • ユーザーの代わりにFIDO2キーを登録する

  • ユーザーが自分のFIDO2キーを登録する

  • 事前登録されているYubiKeyワークフローを使用する。「YubiKeyOkta間のフローを設定する」を参照してください。

ユーザーの代わりにFIDO2キーを登録する

  1. Admin Consoleで、[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. プロファイルを開くユーザーをクリックします。

  3. [More Actions(その他のアクション)]をクリックし、リストから[FIDO2セキュリティキーを登録]を選択します。

  4. FIDO2キーをコンピューターに挿入し、[Register(登録)]をクリックします。

  5. FIDO2キーがユーザーに正常に登録されたことを確認するメッセージが表示されるまでプロンプトに従います。

  6. 登録したFIDO2キーを適切なユーザーに提供します。

管理者は、ユーザーのFIDO2キーに生体認証をセットアップすることはできません。認証ポリシーで[User Verification with Biometrics(生体認証によるユーザー検証)]が必須になっていて、ユーザーがモバイルOkta Verifyの登録時に[User verification(ユーザー検証)]を有効にしていない場合は、「プッシュが拒否されました」というメッセージが表示されます。このメッセージは、ユーザーが検証要素を選択したときに表示されます。ユーザーはOkta End-User Dashboardでこの設定を変更できます。

ユーザーが自分のFIDO2キーを登録する

ユーザーは、FIDO2セキュリティキーを受け取ったら、Okta End-User Dashboardを使用してキーを登録できます。ユーザーに最も安全なオプションとして生体認証によるセキュリティキーをセットアップするよう勧めます。

  1. Okta資格情報を使用してOkta End-User Dashboardにサインインします。

  2. 右上にある自分の名前をクリックし、[Settings(設定)]を選択します。

  3. [セキュリティ方式]で、[セキュリティキーまたは生体認証Authenticator]を見つけて[Set up another(別のAuthenticatorをセットアップ)]をクリックします。

  4. 提示されるオプションのいずれかでIDを確認し、[Set up(セットアップ)]をクリックします。

  5. プロンプトに従ってFIDO2キーをOktaアカウントに登録します。

ユーザーが正常にセキュリティキーを登録したら、FIDO2キーをmacOSデバイスに挿入し、画面のプロンプトに従うことでIDを確認できます。

ユーザーがFIDO2要素を登録すると、使用されるURLに制限されます。たとえば、ユーザーがorgname.okta.com URLにFIDO2要素を登録した場合、その要素によって、同じorgname.okta.com URLを持つorgへのアクセスのみが許可されます。orgのカスタムURLを使用してFIDO2要素を登録すると、要素は、カスタムURLを持つorgへのアクセスのみを許可します。

管理者は、ユーザーがFIDO2認証要素を登録したのと同じドメインを使用するようにDesktop MFAを構成する必要があります。

任意:AppleシリコンデバイスでUSB制限モードを調整する

macOS 13 Ventura以降を実行するAppleシリコンチップを搭載したコンピューターに、AppleはUSB制限モード設定を導入しました。この設定で、YubiKeyFIDO2キーなどの新しいUSBデバイスや不明なUSBデバイスの接続を許可するかどうかを決定します。デフォルトでは、USB制限モードは[Ask for New Accessories(新規アクセサリの場合は確認)]に設定されています。この設定を変更すると、ユーザーが登録済みのセキュリティキーを使用してIDを確認する方法が変更されます。

USB制限モードで利用可能な設定を以下に示します。

  • [毎回確認]:次のいずれかの条件に該当する場合を除き、ユーザーはFIDO2キーを使用できません。

    • キーがここ3日以内に接続を承認された。

    • キーがコンピューターから削除されていない。

    • キーが接続を承認されてからコンピューターが再起動されていない。

  • [新規アクセサリの場合は確認]:キーがここ3日以内に接続を承認された場合を除き、ユーザーはFIDO2キーを使用できません。

  • [ロック解除されたときに自動的に許可]:キーがここ3日以内に接続を承認された場合を除き、ユーザーはFIDO2キーを使用できません。

  • [常に許可]:ユーザーはFIDO2キーを使用できます。

USB制限モードはMDMを使用して変更できます。「AppleサポートからのUSB制限モード]を参照してください。

次の手順

Desktop MFAユーザーをサポートする