Desktop MFAユーザーをサポートする

Desktop MFAを構成してデプロイしたら、ユーザーは1つまたは複数のオフライン認証要素を登録するよう求められます。これらの要素により、コンピューターまたはユーザーがオフラインの場合でも、コンピューターのアプリとデータへの安全なアクセスが可能になります。

セキュリティ強化のため、Desktop MFAは登録プロセス中に非アクティブな状態が5分間続くとタイムアウトします。このタイムアウトは変更できません。デバイスのディスプレイがロックされ、ユーザーは登録プロセスを再開する必要があります。

Oktaでは、ユーザーがサインインフローの変更に対応できるように、Desktop MFAプランについて伝達するための一連のテンプレートを提供しています。Okta管理者向けローンチキットからテンプレートをダウンロードし、新しい認証プロセスをユーザーに説明するのに役立つ適切な文言をコピーしてください。

バグの報告チャネルを確立する

ユーザーに、ユーザーのモバイルデバイスからOkta Verifyで問題やバグを報告するよう依頼します。ユーザーのOkta Verifyモバイルアプリの[Menu(メニュー)]バーには、[Send Feedback(フィードバックを送信)]リンクがあります。ユーザーは、[Report a bug(バグを報告する)]をタップしてフォームに記入する必要があります。システムログが自動的に添付され、レポートがOktaに送信されます。次に、ユーザーは組織内の別のユーザーに連絡し、コンピューターへのサインインをサポートしてもらう必要があります。

Desktop MFAの復旧

デバイス復旧PINをリクエストする

Okta Verifyに登録されたMFAデバイスを紛失したか、そのデバイスへのアクセス権を持っておらず、別のAuthenticatorを使用してコンピューターにサインインできない場合は、IT管理者に問い合わせてください。限られた期間コンピューターへのアクセスを許可する一時デバイス復旧PINをIT管理者から受け取ることができます。

  1. IT管理者に連絡します。コンピューターの名前、モデル、シリアル番号をメモします。この情報はユーザーのIDとコンピュータのIDを確認するために必要になります。コンピューター名は、macOSのログインウィンドウで[Contact Admin(管理者に連絡)]をクリックすると表示されます。

  2. IT管理者がユーザーのIDとデバイスのIDを認証したら、ユーザーにPINを渡すことができます。この復旧PINは2分間だけ有効です。コンピューターへのアクセスの獲得に成功せずに2分間が過ぎた場合は、IT管理者に新しい復旧PINを生成してもらう必要があります。

  3. 渡されたPINを入力し、コンピューターにアクセスできることを確認します。PINを使用すると、PINの有効期限が切れるまでコンピューターにサインインできます。PINの有効期間はIT管理者から知らされるはずです。この情報は必須です。Okta Verifyに登録されたMFAデバイスまたは使用可能な別の登録済みAuthenticatorが見つからない場合、PINの有効期限が切れると、新しいデバイス復旧PINの生成が必要になるからです。

  4. Okta Verifyに登録されたMFAデバイスをできる限り早く復旧するか、Okta Verifyに登録する新しいMFAデバイスを入手します。

渡されたデバイス復旧PINは設定された期間機能します。この期間が過ぎたら、ITに連絡し、新しい時間制限付きのデバイス復旧PINを受け取ってください。

システムログ

システムログは/var/log/com.okta.deviceaccess/OktaDeviceAccess.logにあります。rootまたはsudoのアクセス権でアカウントから次のコマンドを実行する方法もあります:sudo log collect --start "2023-09-18 12:00:00" --output /tmp && tar cvf system_logs.logarchive.tar /tmp/system_logs.logarchive

出力は/tmp/system_logs.logarchive.tarに格納されます。

サインインの問題を解決する

Desktop MFAの問題を解決する前に、「始める前に」の要件が満たされていることを確認してください。

全ユーザーのDesktop MFAをリセットする

端末から次のコマンドをコピーして実行することで、全ユーザーのDesktop MFAをリセットします。

コピー 
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from enrollment"
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from factors"
sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from loginhistory"

オフライン要素を削除する

ユーザーのオフライン認証要素を削除するには、sudo sqlite3 /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/OktaDMFA "delete from factors"コマンドを使用します。MDMを介してユーザーのmacOSコンピューターにコマンドをプッシュすると、オフライン要素が削除されます。

ユーザーが次回、macOSにサインインする際に、オフラインの認証方法を再登録することが求められます。LoginPeriodWithoutEnrolledFactorポリシーの期限が切れている場合、再登録はスキップできません。

認証プラグインをオフにする

マシンがアクセス不能で、エンドユーザーに管理者アカウントへのアクセス権があるときは、そのユーザーは復旧モードを使ってシステムにサインインできます。管理者として復旧モードにあるユーザーは、sudoを実行する必要はありません。

  1. ディスクをロック解除する:[Utilities(ユーティリティ)] [Share Disk(ディスクを共有)]をクリックし、ハード ディスクをクリックします。

  2. [Unlock(ロック解除)]を選択し、管理者パスワードを入力します。

  3. [Share Disk(ディスクを共有)]をクリックし、[Quit Share Disk(ディスクの共有を終了)]を選択します。

  4. 端末を開いて次のコマンドを実行します:rm -rf /Library/Security/SecurityAgentPlugins/OktaDAAuthPlugin.bundle/

このコマンドはマシンから認可プラグインを削除します。ユーザーは、マシンにサインインできるようになります。

デバイスからDesktop MFAを削除する

次のコマンドを実行してmacOSデバイスからDesktop MFAを完全に削除します。

  • macOS Okta Verify内の認証プラグインへのsymlinkを削除します:sudo rm -rf /Library/Security/SecurityAgentPlugins/OktaDAAuthPlugin.bundle

  • サービスデーモンを停止します:sudo launchctl unload /Library/LaunchDaemons/com.okta.deviceaccess.servicedaemon.plist

  • macOS Okta Verify内のサービスデーモンのplistへのsymlinkを削除します: sudo rm -f /Library/LaunchDaemons/com.okta.deviceaccess.servicedaemon.plist

  • macOS Okta Verify内のサービスデーモンの実行可能ファイルへのsymlinkを削除します:sudo rm -f /usr/local/bin/OktaDAServiceDaemon

  • Desktop MFAディレクトリを削除します:sudo rm -rf /Library/Application\ Support/com.okta.deviceaccess.servicedaemon/

  • macOS Okta Verifyを削除します(これにより、認証プラグイン、サービスデーモン、plistが削除されます):sudo rm -rf "/Applications/Okta Verify.app"

関連項目

Okta Device Accessサポートハブ