デバイス保証に高度なポスチャチェックを構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

この機能を有効にするには、 ［Advanced posture checks（高度なポスチャチェック）］をオンにします。

高度なポスチャチェックを使用すると、標準のデバイス保証ポリシーでは利用できないカスタムのデバイス保証条件を定義して実装できます。この機能により、企業リソースにアクセスする前に、すべてのmacOSデバイスが企業独自のセキュリティ標準を満たしていることが保証されます。

開始する前に

• 次の要件が満たされていることを確認してください。

  • macOSバージョン14.4以降
  • ユーザーのデバイスにOkta Verify 9.39.0がインストールされていなければなりません。
• osqueryを使い始めるには基本レベルの熟練度が必要です。AIアシスタントがクエリの作成と変更をお手伝いします。次のリソースを確認してください。
  • Osqueryスキーマのバージョン5.14.1
  • osqueryを使ったクエリの作成方法を説明するブログ
  • サンプルクエリ

ユーザーデバイスでカスタムのデバイスチェックを有効にする

まず、デバイス管理ソリューション（MDM）を使用して、macOSデバイスでカスタムのポスチャチェックを有効にします。そうすると、Okta Verifyがデバイスからカスタムチェックを収集し、デバイス保証ルールを適用してコンプライアンスを確保します。

カスタムのosqueryチェックを有効にするには、MDMを使用して、構成プロパティを含むplistファイルでOkta Verifyをデプロイします。

1. MDMを使用して、アプリ構成の変更をOkta Verifyにプッシュします。「Okta VerifyをmacOSデバイスにデプロイする」を参照してください。

2. 対応するOkta Verify構成に次のキーを追加します。「macOSデバイス向けのOkta Verify構成」を参照してください。

   • OktaVerify.EnableOSQueryCustomChecks

   • OktaVerify.OSQueryAllowedDomains

カスタムチェックを作成する

1. Admin Consoleで、［Security（セキュリティ）］［Advanced posture checks（高度なポスチャチェック）］に移動します。

2. ［カスタムチェック］タブで、［Add custom check（カスタムチェックの追加）］をクリックします。
3. ポスチャチェックを構成します。
   1. 名前と説明を入力します。
   2. デバイス保証ポリシーを構成する際には、このポスチャチェックを識別する変数を割り当てます。
   3. ［macOS］を選択します。
   4. 標準のSQL形式を使用してクエリを記述します。クエリは「1（合格）」または「0（不合格）」を返す必要があります。クエリはセミコロンで終わります。
      コピー

      SELECT
        CASE
          WHEN global_state = 0 THEN 0
          ELSE 1
        END AS firewall_enabled
      FROM
        alf;
      

      クエリを運用環境にデプロイする前に、プレビュー環境で検証とテストを行います。［Advanced Posture Checks（高度なポスチャ チェック）］ が有効なデバイスについては、ターミナルプロンプトから次のコマンドを実行します。

      コピー

      /Applications/Okta\ Verify.app/Contents/XPCServices/OSQueryService.xpc/Contents/Resources/osqueryd --S --json "YOUR QUERY"

      クエリの結果では、JSONオブジェクトに1つのエントリのみを含めて返す必要があります。上記のサンプルクエリは次の出力を返します。

      コピー

      [
          {"firewall_enabled": "1"}
      ]

4. 任意。デバイスのポスチャ評価が失敗した場合にブラウザーに表示する修復手順を構成します。構成はカスタムチェックの作成中や作成後に実行できます。「デバイス保証のカスタム修復手順を構成する」を参照してください。
5. ［Save posture check（ポスチャチェックの保存）］をクリックします。

カスタムチェックをデバイス保証ポリシーに追加する

1. デバイス保証ポリシーを追加するか、デバイス保証ポリシーを編集します。
2. macOSデバイスのオプションを構成します。
3. ［Custom posture check（カスタムポスチャチェック］セクションで、ドロップダウン メニューから1つ以上のポスチャチェックを検索して選択します。
4. ［Enabled（有効）］を選択して、ポリシーに追加するチェックを確認します。
5. ［Save（保存）］をクリックします。

デバイス保証ポリシーを認証ポリシーに追加する

1. 「デバイス保証を認証ポリシーに追加する」の手順に従います。
2. ［Device assurance policy is（デバイス保証ポリシーは）］条件には、カスタムチェックを含むデバイス保証ポリシーを選択します。

関連項目

デバイス保証

デバイス保証ポリシーを追加する