デバイス保証に高度なポスチャチェックを構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

［Advanced posture checks（高度なポスチャチェック）］を使用すると、標準のデバイス保証ポリシーの機能を超えてデバイスセキュリティをより詳細に制御できます。この機能を利用すると、org固有のセキュリティ要件を反映した特定のデバイスポスチャ条件を定義することができます。これにより、デバイスが一連の条件をすべて正確に満たす場合にのみ、機密リソースへのアクセスが付与される安全なorgを構成できます。

開始する前の確認事項

開始するにはosqueryに関して基本レベルの熟練度が必要ですが、 AIアシスタントがクエリの作成と変更をお手伝いします。次のリソースを確認してください。
macOSデバイスは、次の最小要件を満たす必要があります。
- macOSバージョン14.4以降
- Okta Verify for macOSバージョン9.39.0以降
  
  Osqueryのサポートは、Okta Admin Console（［Settings（設定）］［Downloads（ダウンロード）］）からダウンロードしたOkta Verifyアプリを通じてのみ利用できます。
- デバイスでシステム整合性保護が有効になっている必要があります。
- デバイスがMicrosoft IntuneやJamf Proなどのモバイルデバイス管理（MDM）ツールを介して管理されていること
Windowsデバイスは、次の最小要件を満たす必要があります。
- Windows 10（22H2）以降、64ビット
- Okta Verify for Windowsバージョン6.7.0以降
- デバイスがMicrosoft IntuneやOmnissa Workspace ONEなどのMDMを介して管理されていること

ユーザーデバイスでカスタムのデバイスチェックを有効にする

ユーザーデバイスのオペレーティングシステムに応じた適切な手順に従います。

macOS

macOSデバイスでカスタムのosqueryチェックを有効にするには、MDMを使用して、構成プロパティを含むplistファイルでOkta Verifyをデプロイします。これにより、Okta Verifyがデバイスからカスタムチェックを収集できるようになります。

Okta Verify構成に次のキーを追加します。「macOSデバイス向けのOkta Verify構成」を参照してください。
- OktaVerify.EnableOSQueryCustomChecks
- OktaVerify.OSQueryAllowedDomains
- OktaVerify.OSQueryCustomChecksTimeout
MDMを使用して、アプリ構成の変更をOkta Verifyにプッシュします。「Okta VerifyをmacOSデバイスにデプロイする」を参照してください。
Okta Verifyをインストールする。Okta Verifyがすでにデバイスにインストールされている場合は、再インストールします。

Windows

Windowsデバイスでカスタムosqueryチェックを有効にするには、MDMを使用してOkta Verifyをデプロイします。

EnableOSQueryCustomChecks構成値をTrueに設定してOkta VerifyをインストールするようにMDMを構成します。「Windowsデバイス向けのOkta Verify構成」のEnableOSQueryCustomChecksを参照してください。
osqueryプラグインマニフェストファイルを生成してインストールします。「osquery統合プラグインをインストールする」を参照してください。
MDMを使用して、アプリ構成の変更をOkta Verifyにプッシュします。「Okta VerifyをWindowsデバイスにデプロイする」を参照してください。
Okta Verifyをインストールする。Okta Verifyがすでにデバイスにインストールされている場合は、再インストールします。

Oktaでosqueryを有効化する

Admin Consoleで［Security（セキュリティ）］［Device integrations（デバイス統合）］に移動します。
［Endpoint security（エンドポイントセキュリティ）］タブで、［Add endpoint integration（エンドポイント統合を追加）］をクリックして［osquery］を選択します。
プラットフォームを選択して［Save（保存）］をクリックします。

カスタムチェックを作成する

Admin Consoleで、［Security（セキュリティ）］［Advanced Posture Checks（高度なポスチャチェック）］に移動します。
［カスタムチェック］タブで、［Add custom check（カスタムチェックの追加）］をクリックします。
ポスチャチェックを構成します。
1. 名前と説明を入力します。
2. デバイス保証ポリシーを構成する際には、このポスチャチェックを識別する変数を割り当てます。
3. エンドポイントデバイスのオペレーティングシステムに応じて、［macOS］または［Windows］を選択します。
4. 標準のSQLを使用してクエリを記述します。クエリは1（成功）または0（失敗）のいずれかを返し、セミコロンで終わる必要があります。
  コピー
```
SELECT
  CASE
    WHEN global_state = 0 THEN 0
    ELSE 1
  END AS firewall_enabled
FROM
  alf;
```
  クエリを運用環境orgにデプロイする前に、プレビュー環境で検証とテストを行います。
  
  macOSでクエリをテストするには、高度なポスチャチェック機能が有効になっているデバイスで次のコマンドを実行します。
  コピー
```
/Applications/Okta\ Verify.app/Contents/XPCServices/OktaAuthenticationService.xpc/Contents/Resources/osqueryd --S --json "YOUR QUERY"
```
  Okta Verify for macOS 9.52.0で、バイナリファイルの名前が変更されました。Okta Verify for macOS 9.50以前のバージョンを実行しているデバイスに対してクエリを検証する場合は、検証クエリコマンドでOktaAuthenticationService.xpcをOSQueryService.xpcに変更します。
  
  Windowsでクエリをテストするには、高度なポスチャチェックが有効なデバイスの管理者コマンドプロンプトで次のコマンドを実行します。
  コピー
```
"C:\Program Files\Okta\Services\Authenticator Service\osqueryi.exe" --S --json "YOUR QUERY"
```
  クエリの結果では、JSONオブジェクトに1つのエントリのみを含めて返す必要があります。上記のサンプルクエリは次の出力を返します。
  コピー
```
[
    {"firewall_enabled": "1"}
]
```
5. デバイス保証ポリシーを構成する際に、ポスチャチェックをチェックボックスまたはテキストフィールドとして表示できます。［User interface form element（ユーザーインターフェイスフォーム要素）］で、［Checkbox（チェックボックス）］または［Textbox（テキストボックス）］を選択します。
任意。デバイスのポスチャ評価が失敗した場合にブラウザーに表示する修復手順を構成します。「デバイス保証のカスタム修復手順を構成する」を参照してください。
［Save posture check（ポスチャチェックの保存）］をクリックします。

カスタムチェックをデバイス保証ポリシーに追加する

デバイス保証ポリシーを追加するか、デバイス保証ポリシーを編集します。
macOSまたはWindowsデバイスのオプションを構成します。
［Custom posture check（カスタムポスチャチェック］セクションで、ドロップダウンメニューから1つ以上のポスチャチェックを検索して選択します。
［Enabled（有効）］を選択して、ポリシーに追加するチェックを確認します。
［Save（保存）］をクリックします。

デバイス保証ポリシーをアプリサインインポリシーに追加する

「デバイス保証をアプリサインインポリシーに追加する」の手順に従います。
［Device assurance policy is（デバイス保証ポリシーは）］条件には、カスタムチェックを含むデバイス保証ポリシーを選択します。

既知の問題と制限事項

SSO拡張機能がデプロイされたSafariを使用してユーザーが認証している場合、カスタムosqueryチェックを使用するデバイス保証ポリシーは機能しません。回避策は、別のブラウザーを使用することです。