デバイス保証ポリシーを追加する

サポートするプラットフォームごとに、評価するデバイス属性を1つ以上定義できます。追加できるデバイス保証ポリシーの数に制限はありませんが、各ポリシーには一意の名前が必要です。

1. Admin Consoleで、セキュリティ（Security） > デバイス保証ポリシー（Device Assurance Policies）に移動します。

2. ポリシーを追加（Add a policy）をクリックします。

3. デバイス保証ポリシーを追加（Add device assurance policy）セクションに次の情報を入力します。

   • ポリシー名（Policy name）：定義するデバイス属性のセットの一意の名前を指定します。

   • プラットフォーム（Platform）：デバイス条件を設定するデバイスプラットフォームを選択します。

     注:

     デバイス保証条件はプラットフォーム固有であるため、プラットフォームごとに個別のアプリサインインポリシーを作成する必要があります。

     たとえば、Windowsのデバイス保証をアプリサインインポリシーに追加した場合、ユーザーがmacOSデバイスからアプリにアクセスするとルールは一致しません。

   • デバイス属性プロバイダー（Device attribute providers）：ポリシーが、Okta Verify、Chrome Device Trust、または両方のサービスをポリシーがポスチャプロバイダーとして使用するかどうかを選択します。両方をプロバイダーとして選択すると、シグナルが一部重複する可能性があります。その場合は、Oktaからのシグナルが優先されます。

4. プラットフォーム固有の条件を選択します。

5. 修復を構成します。

6. 保存（Save）をクリックします。

プラットフォーム固有のデバイス保証条件

プラットフォームと選択したデバイス属性プロバイダーに従ってデバイス保証条件を設定します：Android、ChromeOS、iOS、macOS、Windows。

動的オペレーティングシステム（OS）のバージョンコンプライアンス機能を利用すると、OSバージョン（OS version）で最小バージョン（Minimum version）オプションを置き換える条件を設定できます。その上で、保証ポリシーの静的または動的バージョンを構成できます。

OS条件の構成に役立つように、OktaはOS定義を維持します。

• OSベンダーが新しいメジャーOSバージョンやセキュリティパッチをリリースすると、Oktaはそれを追加します。

• ベンダーがメジャーOSバージョンのセキュリティ更新を発行しなくなると、OktaはOS定義からそのバージョンを削除します。

Android

• Androidの最小バージョン（Minimum Android version）：リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。カスタムバージョンを指定するには、Androidのバージョンと、オプションとしてセキュリティパッチを入力します。このポリシーの評価時に、バージョンコンポーネントが最初に評価されます。デバイスのバージョンがポリシー内のバージョンと一致するときは、次にセキュリティパッチコンポーネントが評価されます。
• OSバージョン（OS version）：保証ポリシーのOS要件を指定します。
  • 静的バージョン（OSバージョンは12以上（OS version must be at least 12）など）を選択すると、その条件は保証ポリシーを更新するまで保持されます。カスタムバージョンを指定することもできます。
  • 動的バージョン（OSバージョンは、サポートされる最新のメジャーバージョン以上（OS version must be at least the latest supported major version）など）を選択すると、その条件は最新のメジャーOSリリースと関連付けられます。OSの新規バージョンがリリースされると、OktaはOS定義を更新します。これにより、ユーザーがデバイス保証ポリシーを更新しなくても、ユーザーのOSバージョンを常に最新に保つことができます。「 Oktaデバイス保証：サポートされるOSレベル」を参照してください。

• 画面をロック（Lock screen）：チェックボックスを選択すると、デバイスで画面ロックが必須となります。また、生体認証が必要な場合も、このチェックボックスを選択します。

• ディスク暗号化（Disk encryption）：チェックボックスを選択すると、デバイスディスクの暗号化が必須となります。Android 8または9を搭載したデバイスは、フルディスク暗号化をサポートしています。Android 10以降を搭載したデバイスは、以前のバージョンからアップグレードした場合にのみフルディスク暗号化をサポートします。Android 10以降を搭載したデバイスは、ファイルベースの暗号化を使用します。

• ハードウェアキーストア（Hardware keystore）：チェックボックスを選択すると、デバイスによるハードウェア裏付けキーのサポートが必須となります。

• ルート化（Rooting）：チェックボックスを選択すると、ルート化されたデバイスに対するアクセスをOktaが拒否するようになります。

• デバイスプロファイルの制限（Device Profile Restriction）：早期アクセス。この条件を選択した場合、ユーザーがこのルールで保護されたアプリにアクセスするとき、ユーザーはワークプロファイルである必要があります。関連するアプリサインインポリシーでは、デバイスの登録と管理を必須にする必要があります。

  注:

  Microsoft Office 365クライアント、Gmail、Workdayなど、WebViewを介して認証するアプリではこの条件を使用しないでください。アプリがWebViewコンポーネントを使用している場合は、ユーザーが管理対象のワークプロファイル内でサインインを試みても、アクセスはブロックされます。Oktaがアクセスを拒否するのは、呼び出しアプリが安全なワークプロファイルにあることの確認にアプリリンクを使用しているためです。一方、WebViewはアプリリンクをサポートしません。

  ポリシーを本番環境にデプロイする前に、Oktaプレビュー環境でデバイスプロファイル制限（Device Profile Restriction）条件を使用してテストします。

  早期アクセスリリース

  デバイスプロファイルの制限（Device Profile Restriction）オプションを使用するには、事前にAndroid向け管理対象アプリ保証（Managed app assurance for Android）を有効にする必要があります。「セルフサービス機能を有効にする」を参照してください。

デバイスポスチャプロバイダーとしてAndroid向けDevice Trust（Android Device Trust）を使用する場合、プラットフォーム属性に加えて次のデバイス属性を構成できます。

• デバイスで利用可能な最新の主要なOSアップデートを適用する（Enforce latest major OS updates available to device）：この条件は、動的OSバージョンコンプライアンス（Dynamic OS version compliance）早期アクセス機能を有効化し、OS要件をOSバージョンは、サポートされるメジャーバージョン以上（OS version must be at least the latest supported major version）などの動的バージョンに設定すると利用できます。

• ロック画面（Lock screen）：画面ロックの複雑さをなし（None）、低（Low）、中（Medium）、高（High）のいずれかに構成します。
• Google Play Protect：チェックボックスを選択すると、Google Play Protectスキャンが必須になります。ユーザーがデバイスでスキャンサービスを無効にした場合は、再度有効にすることを促します。スキャンの最大リスクしきい値を構成します。
  • 低（Low）：問題は見つかりませんでした。これは最も安全なオプションです。
  • 中（Medium）：スキャンで潜在的に有害なアプリが検出されました。
  • 高（High）：スキャンで有害なアプリが検出されたか、スキャンが評価されませんでした。これは安全性が最も低いオプションです。
• デバイス整合性レベル（Device integrity level）：次のいずれかのオプションを選択します。
  • なし（None）：デフォルトです。認証中にデバイスの整合性は評価されません。ポリシーでデバイスの整合性をチェックする場合は、この値を変更します。
  • 基本（Basic）：デバイスは基本的なシステム整合性チェックに合格します。Android 13以降のデバイスには、Androidプラットフォームのキー構成証明が必要です。デバイスはAndroidの互換性要件を満たしていないかもしれません。また、Google Playサービスの実行が承認されない可能性があります。たとえば、認識されないバージョンのAndroidがデバイスで実行されている可能性があります。
  • 標準（Standard）：アプリがGoogle Playサービスを搭載したAndroidデバイスで実行されています。デバイスはシステム整合性チェックに合格し、Androidの互換性要件を満たしています。
  • 強（Strong）：デバイスにGoogle Playサービスが搭載されており、Androidの互換性要件に従ってシステムの整合性が高く保証されています。Android 13以降のデバイスでは、過去1年以内にセキュリティアップデートが適用されていなければなりません。
• USBデバッグ（USB debugging）：チェックボックスを選択して、USBデバッグを確実に無効にします。ユーザーのデバイスがこの要件を満たしていない場合は、開発者オプション（Developer Options.）を使ってデバッグをオフにすることが求められます。
• ネットワークプロキシ（Network proxies）：チェックボックスを選択して、ユーザーのデバイスがネットワークプロキシを使用しないようにします。
• WiFiネットワークセキュリティ（WiFi network security）：チェックボックスを選択して、ユーザーが安全なワイヤレスネットワークでアプリにアクセスするようにします。ネットワークが安全でない場合、ユーザーにはOktaで保護されたリソースへのアクセスにモバイルデータの使用が求められます。

ChromeOS

• デバイス管理（Device management）：ChromeOSのデバイス管理でデバイスの登録が必須である場合、このオプションを選択します。

• ChromeOSの最小バージョン（Minimum ChromeOS version）：ChromeOSの最小バージョンの詳細を入力します。

• ディスク暗号化（Disk encryption）：デバイスディスクの暗号化が必須である場合、このオプションを選択します。

• ファイアウォール（Firewall）：ファイアウォールを有効化する必要がある場合は、このオプションを選択します。

• 画面ロックパスワード（Screen lock password）：このオプションを選択するときは、ロック解除のためのパスワードが必要です。

• 画面ロック（Screen lock）：画面ロックを許可するには、このチェックボックスを選択します。

• Chromeブラウザーの最小バージョン（Minimum Chrome browser version）：ポリシーで許可されるChromeブラウザーの最小バージョンの詳細を入力します。

• デバイス登録ドメイン（Device enrollment domain）：デバイス登録のドメインを追加します。

• Chrome DNSクライアント（Chrome DNS client）：Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

• Chrome Remote Desktopアプリ（Chrome Remote Desktop app）：Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

• セーフブラウジング保護レベル（Safe Browsing protection level）：事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

• サイト分離（Site Isolation）：サイト分離（Site isolation）を有効化する必要がある場合は、このチェックボックスを選択します。

• パスワード保護警告（Password protection warning）：事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

• エンタープライズグレードURLスキャニング（Enterprise-grade URL scanning）：エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

• ChromeOSのキー信頼レベル（Key trust level for ChromeOS）：このドロップダウンメニューから検証済みモードのデバイス（Device in verified mode）を選択します。

iOS

• iOSの最小バージョン（Minimum iOS version）：リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。
• OSバージョン（OS version）：保証ポリシーのOS要件を指定します。
  • 静的バージョン（OSバージョンはiOS 15以上（OS version must be at least iOS 15）など）を選択すると、その条件は保証ポリシーを更新するまで保持されます。カスタム静的バージョンを指定することもできます。
  • 動的バージョン（OSバージョンは、サポートされる最新のメジャーバージョン以上（OS version must be at least the latest supported major version）など）を選択すると、その条件は最新のメジャーOSリリースと関連付けられます。OSの新規バージョンがリリースされると、OktaはOS定義を更新します。これにより、ユーザーがデバイス保証ポリシーを更新しなくても、ユーザーのOSバージョンを常に最新に保つことができます。「 Oktaデバイス保証：サポートされるOSレベル」を参照してください。

• 画面をロック（Lock screen）：チェックボックスを選択すると、デバイスでパスコードが要求されるようになります。さらに、Touch IDまたはFace IDが必要な場合も、このオプションを選択します。

• ジェイルブレイク（Jailbreak）：チェックボックスを選択すると、Oktaがジェイルブレイクされたデバイスに対するアクセスを拒否するようになります。

macOS

• macOSの最小バージョン（Minimum macOS version）：リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。
• OSバージョン（OS version）：保証ポリシーのOS要件を指定します。
  • 静的バージョン（OS version must be at least Monterey (12)（OSバージョンはMonterey（12）以上）など）を選択すると、その条件は保証ポリシーを更新するまで保持されます。カスタムバージョンを指定することもできます。
  • 動的バージョン（OSバージョンは、サポートされる最新のメジャーバージョン以上（OS version must be at least the latest supported major version）など）を選択すると、その条件は最新のメジャーOSリリースと関連付けられます。OSの新規バージョンがリリースされると、OktaはOS定義を更新します。これにより、ユーザーがデバイス保証ポリシーを更新しなくても、ユーザーのOSバージョンを常に最新に保つことができます。「 Oktaデバイス保証：サポートされるOSレベル」を参照してください。

• 画面をロック（Lock screen）：このオプションを選択すると、デバイスでパスワードまたはTouch IDが要求されるようになります。

• ディスク暗号化（Disk encryption）：チェックボックスを選択すると、ディスクの暗号化が必須となります。この設定はハードウェアディスク暗号化のみをチェックします。FileVaultのステータスはチェックしません。ディスク暗号化では、内部ボリュームとシステムボリュームのみが評価されます。非表示のボリューム、削除可能なボリューム、自動マウントされたボリューム、または復元に使用されるボリュームは評価されません。

• Secure Enclave：チェックボックスを選択すると、デバイスによるSecure Enclaveのサポートが必須となります。

• 参加タイプ（Join type）：このオプションを選択するときは、デバイスをOkta-joinedにする必要があります。これは、 デバイスバウンドシングルサインオン を有効にするために必要です。

デバイスポスチャプロバイダーとしてChrome Device Trustを選択した場合、プラットフォーム属性に加えて次のデバイス属性を構成できます。

• ファイアウォール（Firewall）：ファイアウォールを有効化する必要がある場合は、このチェックボックスを選択します。

• Chromeブラウザーの最小バージョン（Minimum Chrome browser version）：ポリシーで許可されるChromeブラウザーの最小バージョンの詳細を入力します。

• デバイス登録ドメイン（Device enrollment domain）：デバイス登録のドメインを追加します。

• Chrome DNSクライアント（Chrome DNS client）：Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

• Chrome Remote Desktopアプリ（Chrome Remote Desktop app）：Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

• セーフブラウジング保護レベル（Safe Browsing protection level）：事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

• サイト分離（Site Isolation）：サイト分離（Site isolation）を有効化する必要がある場合は、このチェックボックスを選択します。

• パスワード保護警告（Password protection warning）：事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

• エンタープライズグレードURLスキャニング（Enterprise-grade URL scanning）：エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

• Chromeのキー信頼レベル（Key trust level for Chrome）：ドロップダウンメニューからプリセット値を選択します。

Windows

• Windowsの最小バージョン（Minimum Windows version）：リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。
• OSバージョン（OS version）：保証ポリシーのOS要件を指定します。
  • 静的バージョン（OS version must be at least Windows 11 (22H2)（OSバージョンはWindows 11（22H2）以上）など）を選択すると、その条件は保証ポリシーを更新するまで保持されます。カスタムバージョンを指定することもできます。
  • 動的バージョン（OSバージョンは、サポートされる最新のメジャーバージョン以上（OS version must be at least the latest supported major version）（OS version must be at least latest supported major version）など）を選択すると、その条件は最新のメジャーOSリリースと関連付けられます。OSの新規バージョンがリリースされると、OktaはOS定義を更新します。これにより、ユーザーがデバイス保証ポリシーを更新しなくても、ユーザーのOSバージョンを常に最新に保つことができます。「 Oktaデバイス保証：サポートされるOSレベル」を参照してください。

• Windows Helloを有効にする必要がある（Windows Hello must be enabled）：このオプションを選択した場合、ユーザーは自分のデバイスでWindows Helloを有効にしなければなりません。ただし、ユーザーはアプリにサインインするためにWindows Helloを使用したり、パスワードを入力したりする必要はありません。

• ディスク暗号化（Disk encryption）：チェックボックスを選択すると、ディスクの暗号化が必須となります。ディスク暗号化では、内部ボリュームとシステムボリュームのみが評価されます。非表示のボリューム、削除可能なボリューム、自動マウントされたボリューム、または復元に使用されるボリュームは、ディスク暗号化では評価されません。

• トラステッドプラットフォームモジュール（Trusted Platform Module）：チェックボックスを選択すると、デバイスによるTrusted Platform Moduleのサポートが必須となります。

• 参加タイプ（Join type）：このオプションを選択するときは、デバイスをOkta-joinedにする必要があります。これは、 デバイスバウンドシングルサインオン を有効にするために必要です。

デバイスポスチャプロバイダーとしてChrome Device Trustを選択した場合、プラットフォーム属性に加えて次のデバイス属性を構成できます。

• ロック画面保護（Lock screen secured）：ロック画面をパスワード、Windows Hello、またはスマートカードで保護する必要がある場合は、このチェックボックスを選択します。

• ファイアウォール（Firewall）：ファイアウォールを有効化する必要がある場合は、このチェックボックスを選択します。

• Chromeブラウザーの最小バージョン（Minimum Chrome browser version）：ポリシーで許可されるChromeブラウザーバージョンの詳細を入力します。

• デバイス登録ドメイン（Device enrollment domain）：デバイス登録のドメインを追加します。

• Chrome DNSクライアント（Chrome DNS client）：Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

• Chrome Remote Desktopアプリ（Chrome Remote Desktop app）：Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

• セーフブラウジング保護レベル（Safe Browsing protection level）：事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

• サイト分離（Site Isolation）：サイト分離を有効化する必要がある場合は、このチェックボックスを選択します。

• パスワード保護警告（Password protection warning）：事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

• エンタープライズグレードURLスキャニング（Enterprise-grade URL scanning）：エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

• セキュアブート（Secure Boot）：Secure Bootを有効化する必要がある場合は、このチェックボックスを選択します。

• Windowsマシンドメイン（Windows machine domain）：Windowsマシンのドメインを入力します。

• Windowsユーザードメイン（Windows user domain）：ユーザーアカウントのドメインを入力します。

• サードパーティソフトウェア挿入（Third party software injection）：サードパーティソフトウェアの挿入をブロックする必要がある場合は、このチェックボックスを選択します。

• CrowdStrike- エージェントID（- Agent ID）：CrowdStrikeエージェントIDを入力します。この値は、ハイフンなしの小文字でなければなりません。

• CrowdStrike- Customer ID（- カスタマーID）：CrowdStrikeのカスタマーIDを入力します。この値は、ハイフンなしの小文字でなければなりません。

• Chromeのキー信頼レベル（Key trust level for Chrome）：プリセット値を選択するときは、このドロップダウンメニューを使用します。

• ウイルスおよび脅威の保護が有効（Virus and threat protection enabled）：デバイスでWindowsセキュリティセンターのウイルスと脅威の保護設定が有効であることを確実にするには、このチェックボックスを選択します。

修復を構成する

Grace period for device assurance（デバイス保証機能の猶予期間）機能を使用すると、Sign-In Widget に表示する修復手順を構成することができます。

• 修復手順を非表示にする（Hide remediation instructions）：Sign-In Widget は、デバイス保証のコンプライアンスに合格していないユーザーに対して、修復手順を表示しません。

• 修復手順を表示する（Display remediation instructions）：Sign-In Widget は、デバイス保証のコンプライアンスに合格していないユーザーに対して、修復手順を表示します。

  ポリシーによって保護されたアプリへのアクセスを失う前に、ユーザーにデバイスのコンプライアンス不適合を解決できる猶予期間を与えることができます。猶予期間（Grace period）オプションを選択します。

  • いいえ（No）：このデフォルト設定では、ユーザーのデバイスがデバイス保証ポリシーの条件を満たさない場合、アプリへのアクセスが拒否されます。アプリへのアクセスを再度獲得するには、ユーザーは修復手順を完了する必要があります。

    

  • はい、期日まで（Yes, by a due date）：修復の期日を選択します。修復の猶予期間は、選択した日の午前0時（GMT +00:00）に終了します。Sign-In Widget では、修復期日はユーザーのタイムゾーンに基づいて計算されます。

    たとえば、期日を09/05/2024 12:00 am GMT+00:00として猶予期間を設定したとします。その後、東部夏時間のユーザーは、 Sign-In Widget で次のメッセージを受信します：Your device doesn't meet the security requirements. Fix the issue by 09/04/2024, 8:00 PM EDT to prevent lockout この日時までに修復アクションを完了しないユーザーは、ポリシーで保護されたアプリへのアクセスが拒否されます。

  • はい、指定日数後に（Yes, after a number of days）：猶予期間は 1日～180日まで設定することができます。Sign-In Widget に指定された日時までに修復アクションを完了しないユーザーは、ポリシーで保護されたアプリへのアクセスが拒否されます。

関連項目

デバイス保証をアプリサインインポリシーに追加する

Android向けDevice Trustのデバイス保証ポリシーを追加する