デバイス保証ポリシーを追加する

サポートするプラットフォームごとに、評価するデバイス属性を1つ以上定義できます。追加できるデバイス保証ポリシーの数に制限はありませんが、各ポリシーには一意の名前が必要です。

  1. Admin Console[Security(セキュリティ)][Device Assurance Policies(デバイス保証ポリシー)]に移動します。

  2. [Add a policy(ポリシーを追加)]をクリックします。

  3. [Add device assurance policy(デバイス保証ポリシーを追加)]セクションに次の情報を入力します。

    • [Policy name(ポリシー名)]:定義するデバイス属性のセットの一意の名前を指定します。

    • [Platform(プラットフォーム)]:デバイス条件を設定するデバイスプラットフォームを選択します。

      プラットフォームごとに個別の認証ポリシーを作成します。デバイス保障条件はプラットフォームに固有です。たとえば、Windowsのデバイス保証を認証ポリシーに追加した場合、ユーザーがmacOSデバイスからアプリにアクセスしてもルールは適用されません。

    • [Device attribute provider(s)(デバイス属性プロバイダー)]Okta Verify、Chrome Device Trust、または両方のサービスをポリシーが状態プロバイダーとして使用するかどうかを選択します。両方をプロバイダーとして選択すると、信号が一部重複する可能性があります。その場合は、Oktaからの信号が優先されます。

  4. プラットフォーム固有の条件を選択します。

  5. 早期アクセス。修復を構成します。

  6. [Save(保存)]をクリックします。

これらの信号は、Okta VerifyとChrome Device Trustのいずれかから収集できます。デバイス状態プロバイダーとしてOkta VerifyとChrome Device Trustの両方を選択した場合、デバイス保障ポリシーの[Okta Verify]セクションに次の信号属性が表示されます。

  • 最小OSバージョン

  • 画面ロック

  • ディスク暗号化

作成するデバイス保障ポリシーに適した属性が選択されていることを確認してください。

プラットフォーム固有のデバイス保証条件

プラットフォームと選択したデバイス属性プロバイダーに従ってデバイス保障条件を設定します:AndroidChromeOSiOSmacOSWindows

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

動的OS条件を有効にするには、[Dynamic OS version compliance(動的OSバージョンコンプライアンス)]機能を有効にします。この機能を有効にすると、[Minimum version(最小バージョン)]オプションが[OS version(OSバージョン)]に置き換えられます。その上で、保障ポリシーの静的または動的バージョンを構成できます。

OS条件の構成に役立つように、OktaはOS定義を維持します。

  • OSベンダーが新しいメジャーOSバージョンやセキュリティパッチをリリースすると、Oktaはそれを追加します。

  • ベンダーがメジャーOSバージョンのセキュリティ更新を発行しなくなると、OktaはOS定義からそのバージョンを削除します。

Android

  • [Minimum Android version(Androidの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。カスタムバージョンを指定するには、Androidのバージョンと、オプションとしてセキュリティパッチを入力します。このポリシーの評価時に、バージョンコンポーネントが最初に評価されます。デバイスのバージョンがポリシー内のバージョンと一致するときは、次にセキュリティパッチコンポーネントが評価されます。
  • [OS version(OSバージョン)](早期アクセス):保障ポリシーのOS要件を指定します。
    • 静的バージョン([OS version must be at least 12(OSバージョンは12以上)]など)を選択すると、その条件は保障ポリシーを更新するまで保持されます。カスタムバージョンを指定することもできます。
    • 動的バージョン([OS version must be at least the latest supported major version(OSバージョンは、サポートされるメジャーバージョン以上)])を選択すると、その条件は最新のメジャーOSリリースと関連付けられます。OSの新規バージョンがリリースされると、OktaはOS定義を更新します。これにより、ユーザーがデバイス保障ポリシーを更新しなくても、ユーザーのOSバージョンを常に最新に保つことができます。

  • [Lock screen(画面をロック)]:チェックボックスを選択すると、デバイスで画面ロックが必須となります。また、生体認証が必要な場合も、このチェックボックスを選択します。

  • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、デバイスディスクの暗号化が必須となります。Android 8または9を搭載したデバイスは、フルディスク暗号化をサポートしています。Android 10以降を搭載したデバイスは、以前のバージョンからアップグレードした場合にのみフルディスク暗号化をサポートします。Android 10以降を搭載したデバイスは、ファイルベースの暗号化を使用します。

  • [Hardware keystore(ハードウェアキーストア)]:チェックボックスを選択すると、デバイスによるハードウェア裏付けキーのサポートが必須となります。

  • [Rooting(ルート化)]:チェックボックスを選択すると、ルート化されたデバイスに対するアクセスをOktaが拒否するようになります。

ChromeOS

  • [Device management(デバイス管理)]:チェックボックスを選択する場合、ChromeOSのデバイス管理へのデバイスの登録が必須となります。

  • [Minimum ChromeOS version(ChromeOSの最小バージョン)]:ChromeOSの最小バージョンの詳細を入力します。

  • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、デバイスディスクの暗号化が必須となります。

  • [Firewall(ファイアウォール)]:チェックボックスを選択すると、ファイアウォールの有効化が必須となります。

  • [Screen lock password(画面ロックパスワード)]:このオプションを選択するときは、ロック解除のためのパスワードが必要です。

  • [Screen lock(画面ロック)]:画面ロックを許可するには、このチェックボックスを選択します。

  • [Minimum Chrome browser version(Chromeブラウザーの最小バージョン)]:Chromeブラウザーの最小バージョンの詳細情報を入力します。

  • [Device enrollment domain(デバイス登録ドメイン)]:デバイス登録のドメインを追加します。

  • [Chrome DNS client(Chrome DNSクライアント)]:Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

  • [Chrome Remote Desktop app(Chrome Remote Desktopアプリ)]:Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

  • [Safe Browsing protection level(セーフブラウジング保護レベル)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

  • [Site Isolation(サイト分離)]:サイト分離を有効化する必要がある場合は、このチェックボックスを選択します。

  • [Password protection warning(パスワード保護警告)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

  • [Enterprise-grade URL scanning(エンタープライズグレードURLスキャニング)]:エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

  • [Key trust level for ChromeOS(ChromeOSのキー信頼レベル)]:このドロップダウンメニューから[Device in verified mode(検証済みモードのデバイス)]を選択します。

iOS

  • [Minimum iOS version(iOSの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。
  • [OS version(OSバージョン)](早期アクセス):保障ポリシーのOS要件を指定します。
    • 静的バージョン([OS version must be at least iOS 15(OSバージョンはiOS 15以上)]など)を選択すると、その条件は保障ポリシーを更新するまで保持されます。カスタム静的バージョンを指定することもできます。
    • 動的バージョン([OS version must be at least the latest supported major version(OSバージョンは、サポートされるメジャーバージョン以上)])を選択すると、その条件は最新のメジャーOSリリースと関連付けられます。OSの新規バージョンがリリースされると、OktaはOS定義を更新します。これにより、ユーザーがデバイス保障ポリシーを更新しなくても、ユーザーのOSバージョンを常に最新に保つことができます。

  • [Lock screen(画面をロック)]:チェックボックスを選択すると、デバイスでパスコードが要求されるようになります。また、Touch IDまたはFace IDが必要な場合も、チェックボックスを選択します。

  • [Jailbreak(ジェイルブレイク)]:チェックボックスを選択すると、Oktaがジェイルブレイクされたデバイスに対するアクセスを拒否するようになります。

macOS

  • [Minimum macOS version(macOSの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。
  • [OS version(OSバージョン)](早期アクセス):保障ポリシーのOS要件を指定します。
    • 静的バージョン([OS version must be at least Monterey (12)(OSバージョンはMonterey(12)以上)]など)を選択すると、その条件は保障ポリシーを更新するまで保持されます。カスタムバージョンを指定することもできます。
    • 動的バージョン([OS version must be at least the latest supported major version(OSバージョンは、サポートされるメジャーバージョン以上)])を選択すると、その条件は最新のメジャーOSリリースと関連付けられます。OSの新規バージョンがリリースされると、OktaはOS定義を更新します。これにより、ユーザーがデバイス保障ポリシーを更新しなくても、ユーザーのOSバージョンを常に最新に保つことができます。

  • [Lock screen(画面をロック)]:チェックボックスを選択すると、デバイスでパスコードまたはTouch IDが要求されるようになります。

  • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、ディスクの暗号化が必須となります。この設定はハードウェアディスク暗号化のみをチェックします。FileVaultのステータスはチェックしません。ディスク暗号化では、内部ボリュームとシステムボリュームのみが評価されます。非表示のボリューム、削除可能なボリューム、自動マウントされたボリューム、または復元に使用されるボリュームは評価されません。

  • [Secure Enclave]:チェックボックスを選択すると、デバイスによるSecure Enclaveのサポートが必須となります。

デバイス状態プロバイダーとしてChrome Device Trustを選択した場合、プラットフォーム属性に加えて次のデバイス属性を構成できます。

  • [Firewall(ファイアウォール)]:ファイアウォールを有効化する必要がある場合は、このチェックボックスを選択します。

  • [Minimum Chrome browser version(Chromeブラウザーの最小バージョン)]:Chromeブラウザーのバージョンの詳細を入力します。

  • [Device enrollment domain(デバイス登録ドメイン)]:デバイス登録のドメインを追加します。

  • [Chrome DNS client(Chrome DNSクライアント)]:Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

  • [Chrome Remote Desktop app(Chrome Remote Desktopアプリ)]:Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

  • [Safe Browsing protection level(セーフブラウジング保護レベル)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

  • [Site Isolation(サイト分離)]:サイト分離を有効化する必要がある場合は、このチェックボックスを選択します。

  • [Password protection warning(パスワード保護警告)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

  • [Enterprise-grade URL scanning(エンタープライズグレードURLスキャニング)]:エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

  • [Key trust level for Chrome(Chromeのキー信頼レベル)]:ドロップダウンメニューからプリセット値を選択します。

Windows

  • [Minimum Windows version(Windowsの最小バージョン)]:リストからプリセットバージョンを選択するか、カスタムバージョンを指定します。
  • [OS version(OSバージョン)](早期アクセス):保障ポリシーのOS要件を指定します。
    • 静的バージョン([OS version must be at least Windows 11 (22H2)(OSバージョンはWindows 11(22H2)以上)]など)を選択すると、その条件は保障ポリシーを更新するまで保持されます。カスタムバージョンを指定することもできます。
    • 動的バージョン([OS version must be at least latest supported major version(OSバージョンは、サポートされるメジャーバージョン以上)])を選択すると、その条件は最新のメジャーOSリリースと関連付けられます。OSの新規バージョンがリリースされると、OktaはOS定義を更新します。これにより、ユーザーがデバイス保障ポリシーを更新しなくても、ユーザーのOSバージョンを常に最新に保つことができます。

  • [Windows Hello must be enabled(Windows Helloを有効にする必要がある)]:このオプションを選択した場合、ユーザーは自分のデバイスでWindows Helloを有効にしなければなりません。ただし、ユーザーはアプリにサインインするのにWindows Helloを使用したり、パスワードを入力したりする必要はありません。

  • [Disk encryption(ディスク暗号化)]:チェックボックスを選択すると、ディスクの暗号化が必須となります。

  • [Trusted Platform Module]:チェックボックスを選択すると、デバイスによるTrusted Platform Moduleのサポートが必須となります。

デバイス状態プロバイダーとしてChrome Device Trustを選択した場合、プラットフォーム属性に加えて次のデバイス属性を構成できます。

  • [Lock screen secured(ロック画面保護)]:ロック画面をパスワード、Windows Hello、またはスマートカードで保護する必要がある場合は、このチェックボックスを選択します。

  • [Firewall(ファイアウォール)]:ファイアウォールを有効化する必要がある場合は、このチェックボックスを選択します。

  • [Minimum Chrome browser version(Chromeブラウザーの最小バージョン)]:Chromeブラウザーのバージョンの詳細を入力します。

  • [Device enrollment domain(デバイス登録ドメイン)]:デバイス登録のドメインを追加します。

  • [Chrome DNS client(Chrome DNSクライアント)]:Chrome DNSクライアントを有効化する必要がある場合は、このチェックボックスを選択します。

  • [Chrome Remote Desktop app(Chrome Remote Desktopアプリ)]:Chrome Remote Desktopアプリをブロックする必要がある場合は、このチェックボックスを選択します。

  • [Safe Browsing protection level(セーフブラウジング保護レベル)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

  • [Site Isolation(サイト分離)]:サイト分離を有効化する必要がある場合は、このチェックボックスを選択します。

  • [Password protection warning(パスワード保護警告)]:事前に設定されている値を選択するときは、このドロップダウンメニューを使用します。

  • [Enterprise-grade URL scanning(エンタープライズグレードURLスキャニング)]:エンタープライズグレードのURLスキャニングを有効化する必要がある場合は、このチェックボックスを選択します。

  • [Secure Boot(セキュアブート)]:Secure Bootを有効化する必要がある場合は、このチェックボックスを選択します。

  • [Windows machine domain(Windowsマシンドメイン)]:ドメインを入力します。

  • [Windows user domain(Windowsユーザードメイン)]:ドメインを入力します。

  • [Third party software injection(サードパーティソフトウェア挿入)]:サードパーティソフトウェアの挿入をブロックする必要がある場合は、このチェックボックスを選択します。

  • [CrowdStrike - Agent ID(エージェントID)]:CrowdStrikeのエージェントIDを入力します。

  • [CrowdStrike - Customer ID(カスタマーID)]:CrowdStrikeのカスタマーIDを入力します。

  • [Key trust level for Chrome(Chromeのキー信頼レベル)]:ドロップダウンメニューからプリセット値を選択します。

修復を構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

[Grace period for device assurance(デバイス保証機能の猶予期間)]を有効にした後、Sign-in Widgetに表示する修復手順を構成することができます。

  • Hide remediation instructions(修復手順を非表示にする)Sign-In Widgetは、デバイス保証のコンプライアンスに合格していないユーザーに対して、修復手順を表示しません。

  • Display remediation instructions(修復手順を表示する)Sign-In Widgetは、デバイス保証のコンプライアンスに合格していないユーザーに対して、修復手順を表示します。

    ポリシーによって保護されたアプリへのアクセスを失う前に、ユーザーにデバイスのコンプライアンス不適合を解決できる猶予期間を与えることができます。[Grace period(猶予期間)]オプションを選択します。

    • No(いいえ):このデフォルト設定では、ユーザーのデバイスがデバイス保証ポリシーの条件を満たさない場合、アプリへのアクセスが拒否されます。アプリへのアクセスを再度獲得するには、ユーザーは修復手順を完了する必要があります。

      Sign-In Widgetには、デバイス保証の修復手順が含まれています。

    • Yes, by a due date(はい、期日まで):修復の期日を選択します。修復の猶予期間は、選択した日の午前0時(GMT +00:00)に終了します。Sign-In Widgetでは、修復期日はユーザーのタイムゾーンに基づいて計算されます。たとえば、期日を2024年9月5日午前0時GMT+00:00として猶予期間を設定した場合、東部夏時間のユーザーは、Sign-In Widgetで「Your device doesn't meet the security requirements. Fix the issue by 09/04/2024, 8:00 PM EDT to prevent lockout(お使いのデバイスはセキュリティ要件を満たしていません。ロックアウトを防ぐには、2024年9月4日午後8時(東部夏時間)までに問題を解決します)」というメッセージを受け取ります。この日時までに修復アクションを完了しないユーザーは、ポリシーで保護されたアプリへのアクセスが拒否されます。

    • Yes, after a number of days(はい、指定日数後に):猶予期間は1日~180日まで設定することができます。Sign-In Widgetに指定された日時までに修復アクションを完了しないユーザーは、ポリシーで保護されたアプリへのアクセスが拒否されます。

[Grace period for device assurance(デバイス保証機能の猶予期間)]をオフにするには、最初に以下の設定を変更します。

  • これまでに設定したデバイス保証ポリシーの猶予期間設定を削除します。
  • すべてのデバイス保証ポリシーの修復設定が一貫していることを確認します。

関連項目

デバイス保証

認証ポリシーにデバイス保証を追加する

ChromeOSおよびGoogle Chrome向けのデバイス保障ポリシーを追加する