任意のAuthenticatorとしてのメール

自動登録により、ユーザーは次の場合に重複するメール登録チャレンジを受け取らないことが保証されます。

• 自分のメールアドレスを所有していることがすでに証明されている（セルフサービス登録時に作成されたユーザー）。
• メールアドレスを所有していることを証明する必要がない（管理者が作成したユーザー）。

アップグレード後にメールを［Optional（任意）］要素にすることがポリシーによって求められるときは、「メールAuthenticatorの自動登録をスキップする」を参照してください。

それ以外の場合は、アップグレード前にメール要素を［Disabled（無効）］または［Required（必須）］に設定する必要があります。Classic Engineのドキュメント「多要素認証登録ポリシーを構成する」を参照してください。

その上で、ユースケースに基づいてIdentity EngineでメールAuthenticatorの設定を選択します。

• ［Disabled（無効）］：ユーザーのプライマリメールアカウントがOktaによって保護されている場合に推奨されます。認証メールはプライマリメールにのみ送信され、セカンダリメールには送信されません。
• ［Required（必須）］：拡張ワークフォースユースケースとカスタマーアイデンティティおよびアクセス管理（CIAM）ユースケースで推奨されます。プライマリメールの確認は、これらのアイデンティティの一般的なユースケースです。

メールAuthenticatorのデフォルト値は5分ですが、5分単位で最大30分まで延長できます。一般的に受け入れられているベストプラクティスは10分以内です。期限切れのマジックリンクをクリックしたエンドユーザーは、再度サインインする必要があります。

ユーザーがどのように作成され、パスワードが誰によって設定されたかに応じて、ユーザーは初めてサインインするときに、その他のオプションAuthenticatorへの登録を求められない場合があります。