オプションのオーセンティケーターとしてのメール

アップグレード後にオプションのオーセンティケーターとしてのメールがどのように変わるのかを説明します。

変更の概要	メールオーセンティケーターは、認証フローと復旧フローの両方で自動登録されます。これはClassic Engineからの変更であり、Classic Engineでは登録ポリシーで必要な場合に認証フローでのみ使用できます。自動登録は、ユーザーが自分のプライマリメールアドレスを確認するとき、または管理者がユーザーの作成時にプライマリメールアドレスを提供する場合に発生します。これにより、ユーザーがメールアドレスを所有していることをすでに証明済みの場合（セルフサービス登録）、またはメールアドレスを所有していることを証明する必要がない場合（管理者が作成したユーザー）、ユーザーが不要なメール登録チャレンジを受け取らないことが保証されます。
管理者のエクスペリエンス	Identity Engineにアップグレードする前に、メール要素を［Disabled（無効）］または［Required（必須）］に設定する必要があります。その上で、ユースケースに基づいてIdentity Engineでメールオーセンティケーターの設定を選択します。［Disabled（無効）］：ユーザーのプライマリメールアカウントがOktaによって保護されている場合は、メールオーセンティケーターを無効にすることが推奨されます。認証メールはプライマリメールにのみ送信され、セカンダリメールには送信されません。［Required（必須）］：Oktaでは、拡張ワークフォースユースケースとカスタマーアイデンティティーおよびアクセス管理（CIAM）ユースケースがある場合には、メールオーセンティケーターを必須にすることが推奨されます。プライマリメールの確認は、これらのアイデンティティの一般的なユースケースです。メールオーセンティケーターのデフォルト値は5分ですが、5分単位で最大30分まで延長できます。一般的に受け入れられているベストプラクティスは10分以内です。期限切れのマジックリンクをクリックしたエンドユーザーは、再度サインインする必要があります。
ユーザーエクスペリエンス	メールはオーセンティケーターとして自動登録されます。ポリシーで許可される場合は、ユーザーが他のオプションのオーセンティケーターに登録しているときでさえも表示されます。ユーザーがどのように作成され、パスワードが誰によって設定されたかに応じて、ユーザーは初めてサインインするときに、他のオプションのオーセンティケーターに登録するよう求められない場合があります。
関連項目	オーセンティケーター登録ポリシーを作成するオーセンティケーター登録ポリシーとルールについて